3 - RGPD : s’engager dans la conformité d’ici le 25 mai 2018
Marion Depadt Bels
Avocat associé
Cabinet Gramond et Associés
Qu’on le désigne sous l’acronyme RGPD, pour règlement général sur la protection des données, ou GDPR, pour general data protection regulation, rarement un texte européen aura fait autant parler de lui (règlement (UE) 2016/679 du 27 avril 2016, JOUE L. 119 du 4 mai 2016).
Il faut dire que les sanctions susceptibles d’être prononcées en cas de non-respect de ce règlement ne laissent pas indifférent : 10 M€ pour les infractions les moins graves, 20 M€ pour les plus graves, et des montants encore supérieurs pour les sociétés générant un chiffre d’affaires très élevé.
La protection des données entre clairement dans une nouvelle ère.
Le cadre légal
La loi française et le règlement européen
La France a été pionnière en matière de protection des données à caractère personnel. Elle s’est, en effet, dotée d’une réglementation en la matière dès 1978, année d’adoption de la loi Informatique et Libertés. Au niveau européen, il a fallu attendre 1995 pour que soit adopté un premier texte d’ordre général sur le sujet.
C’est dans une volonté d’harmonisation du droit applicable dans les différents États membres, ainsi que de prise en compte des nouveaux enjeux liés à la révolution numérique et aux données, qu’une réflexion a été engagée en 2012 au niveau européen afin de réviser le cadre applicable à la protection des données à caractère personnel. Il aura ensuite fallu plus de quatre ans pour que les États membres trouvent un accord sur le règlement.
Le RGPD, texte de compromis par excellence, a ainsi été adopté le 27 avril 2016 et sera directement et automatiquement applicable dans l’ordre juridique des États membres le 25 mai 2018.
La France prépare un texte d’adaptation de la loi Informatique et Libertés afin d’une part, d’adapter le dispositif légal à l’application des dispositions du règlement et d’autre part, de prendre position sur les marges de manœuvre laissées aux États membres par le règlement.
Projet de loi en discussion. Un consensus n’a pu être trouvé sur ce texte, au jour de la rédaction du présent article, entre le Sénat et l’Assemblée Nationale.
Le projet de loi relatif à la protection des données personnelles, qui devrait néanmoins être adopté dans les jours qui viennent, maintiendra a priori, certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques, pour les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.
Les traitements utilisant des données de santé devraient également faire l’objet de dispositions spécifiques.
Toutes les entreprises ne seront pas prêtes le 25 mai
La Commission Nationale de l’Informatique et des Libertés (CNIL), consciente de la situation et de la complexité de l’exercice, en particulier pour les PME et ETI, s’inscrit dans une démarche d’accompagnement et a indiqué qu’elle ferait preuve de pragmatisme et de souplesse en termes de contrôle.
S’il paraît donc acquis que la CNIL ne sanctionnera pas le 25 mai 2018 une société qui ne serait pas en conformité avec le nouveau règlement, la Commission a également rappelé que toutes les sociétés doivent être conformes à la loi Informatique et Libertés, telle que nous la connaissons depuis de nombreuses années.
Pour les organismes qui ne seraient pas conformes aux principes fondamentaux de la réglementation, non affectés par le RGPD, le risque de sanctions est une réalité.
Il est également fort probable que les organismes qui n’auront pas, à court terme, commencé à appréhender les exigences du règlement et n’auront pas engagé le travail de conformité, ne serait-ce que pour définir un plan de mise en conformité, seront à risque.
Les nouveautés inhérentes au règlement
Ce qui ne change pas
La notion de traitement de données personnelles
Le champ d’application matériel de la réglementation reste le même. La réglementation concerne tous les traitements de données à caractère personnel, qu’ils soient ou non informatisés.
Quant à la notion de « donnée à caractère personnel », celle-ci reste inchangée. Que ce soit sous la loi actuelle ou le nouveau règlement, constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable, que celle-ci intervienne dans un cadre professionnel ou personnel. Seules les données concernant les personnes morales ou les données anonymes, ou anonymisées de façon irréversible, échappent à la qualification.
Données sensibles. Le principe d’interdiction des données considérées comme « sensibles » ou « particulières » est maintenu. La liste de ces données, parmi lesquelles figurent les données de santé, est complétée par les données génétiques et biométriques, qui connaissaient déjà en pratique un traitement particulier.
Les acteurs de la réglementation
On retrouve dans le règlement les mêmes acteurs, à savoir principalement la personne physique concernée, le responsable du traitement, celui qui définit les finalités et les moyens du traitement, et le sous-traitant, celui qui traite les données pour le compte du responsable du traitement. Contrairement au droit positif français, le règlement intègre toutefois la notion de responsabilité conjointe du traitement, deux personnes ou plus pouvant définir conjointement les finalités et les moyens d’un traitement.
Sous-traitants. Jusqu’à présent relativement épargnés par la loi Informatique et Libertés, les sous-traitants voient leur périmètre de responsabilité, ainsi que les risques afférents, drastiquement étendus.
Ce qui change
Contrôle a posteriori
On passe avec le RGPD d’une logique déclarative, avec un système de contrôle a priori, à une logique de responsabilisation (accountability), avec un système de contrôle a posteriori. Les formalités préalables auprès des autorités de protection sont, pour l’essentiel, supprimées, charge au responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement.
Dans cette logique de responsabilisation, il incombe aux acteurs de la conformité de s’assurer que ces mesures sont mises en œuvre dès la conception des produits ou services concernés par les traitements de données à caractère personnel et que ceux-ci sont paramétrés par défaut pour que seules les données nécessaires au regard de chaque finalité soient traitées. C’est le principe du privacy by design and by default.
Extension géographique de la réglementation
Le RGPD étend le champ d’application géographique de la réglementation européenne. Ce règlement s’applique ainsi non seulement aux traitements de données à caractère personnel effectués par un responsable du traitement situé sur le territoire de l’Union européenne, mais également aux traitements effectués par un sous-traitant situé sur ce territoire, que le traitement ait ou non lieu dans l’Union.
En outre, il s’applique aux traitements réalisés par des entités situées en dehors de l’Union européenne, dès lors qu’elles proposent des biens ou des services à des résidents européens ou dès lors qu’elles permettent le suivi du comportement de ces personnes.
En parallèle, le nouveau règlement simplifie la gestion des flux transfrontaliers en donnant la possibilité à l'autorité de contrôle de l'établissement principal du responsable du traitement ou du sous-traitant d’agir en tant qu'autorité de contrôle chef de file.
Nouveaux droits accordés aux individus
Le RGPD accorde de nouveaux droits aux individus. Ceux-ci bénéficient désormais d’un droit à l’oubli et du droit à la portabilité de leurs données, dans des conditions toutefois limitativement énumérées et encadrées.
Ainsi le droit à l’oubli ne peut s’exercer pleinement et de façon totalement discrétionnaire que lorsque le traitement est fondé sur le consentement.
Quant au droit à la portabilité, il ne peut être exercé que lorsque le traitement est fondé sur le consentement ou sur l’exécution d’un contrat.
Les mineurs bénéficient de mesures de protection renforcées et la notion de « consentement » fait l’objet de précisions de manière à garantir que celui-ci est donné consciemment et librement. Le règlement encadre par ailleurs de façon plus stricte des activités jugées sensibles telles que le profilage.
Délégué à la protection des données
Certains organismes vont devoir désigner un délégué à la protection des données (le « DPO » pour data protection officer).
Si celui-ci est obligatoire pour les organismes publics, il n’est obligatoire dans le secteur privé que si les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes ou consistent en un traitement à grande échelle de données sensibles.
Violation de données à caractère personnel
Les violations de données à caractère personnel, notion définie de façon très large puisqu’elle comprend non seulement la divulgation non autorisée mais également la destruction, la perte ou l’altération de ces données, vont devoir être identifiées et, si la violation engendre un risque pour les droits et libertés des individus concernés, notifiées à la CNIL dans les 72 heures, voire aux personnes concernées si la violation est susceptible d’engendrer un risque élevé pour celles-ci.
Ce que vous devez faire d'ici le 25 mai 2018 (ou commencer à faire)
Guide de la CNIL
Les autorités de protection des données dans les différents pays européens, parmi lesquelles la CNIL pour la France, se sont efforcées de mettre à disposition des outils pour accompagner les sociétés dans le cadre de l’exercice de mise en conformité avec le RGPD. Si cet exercice reste souvent complexe, en particulier du fait du caractère transverse des exigences inhérentes au règlement, le dispositif mis à disposition des entreprises leur permet de réaliser les premières étapes de façon relativement simplifiée et encadrée.
En outre, comme le note la CNIL dans son guide pratique de sensibilisation au RGPD, les TPE et les PME pour lesquelles les données personnelles ne sont pas au cœur de l’activité n’auront à déployer que des moyens limités.
Cartographie et registre
Cartographie des traitements de données à caractère personnel
Tout exercice de mise en conformité des traitements d’une entreprise avec le règlement commence par l’élaboration d’une cartographie des traitements de données à caractère personnel. Difficile en effet pour une entreprise de prétendre se conformer, ou à tout le moins être engagée dans un processus de conformité, si elle n’a pas procédé au recensement des traitements réalisés. Le registre est l’outil par excellence pour documenter cette cartographie.
Un registre obligatoire dans les faits
Si la tenue d’un tel registre n’est pas obligatoire pour les organismes comptant moins de 250 salariés, les exceptions à ce principe sont telles que dans les faits très peu d’entreprises pourront s’en dispenser. En effet, l’obligation de tenir un registre s’impose à toutes les entreprises, quelle que soit leur taille, dès lors que le traitement est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, porte sur des données sensibles ou, dernière exception qui élargit considérablement le périmètre de l’obligation, dès lors que le traitement n'est pas occasionnel. Rares sont les sociétés qui ne traitent les données de leurs salariés que de façon occasionnelle. À ce jour, et en l’absence d’une interprétation restrictive, il semble donc nécessaire pour toutes les sociétés de disposer d’un registre.
En outre, au-delà de l’obligation prévue par le texte, le registre est un outil de conformité sans lequel il serait périlleux de tenter de démontrer sa conformité. Toute société doit, à compter du 25 mai 2018, être à même d'identifier, en cas de contrôle, quelles sont les données à caractère personnel traitées, qui elles concernent, la raison pour laquelle elles sont traitées, combien de temps elles sont conservées, comment le traitement est réalisé et qui a accès auxdites données. Autant d’informations qui doivent se retrouver dans le registre.
Modèle de registre. La CNIL propose un modèle de registre sur son site. Notons toutefois que le modèle de registre proposé par la CNIL à ce jour correspond au registre des activités du responsable du traitement. La société qui traite des données en qualité de sous-traitant doit adapter le registre afin de prendre en compte les particularités du registre du sous-traitant.
Vérifications pratiques et régularisations
Limiter le traitement des données au strict nécessaire
Comme le mentionne la CNIL dans son guide, « la constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin ». Un certain nombre de vérifications – et le cas échéant de régularisations, voire de modifications des pratiques de l’entreprise – doivent dans ce cadre être réalisées en parallèle de l’établissement du registre.
Parmi les vérifications à mener, on peut citer la nécessité de s’assurer que :
-les données collectées sont nécessaires au regard de la finalité poursuivie. À titre d’exemple, il n’est pas utile de savoir si vos salariés ont des enfants si vous n’offrez aucun service ou rémunération attachée à cette caractéristique ;
-seules les personnes habilitées ayant besoin d’accéder aux données dans le cadre de l’activité de l’entreprise ont accès aux données ;
-les données ne sont pas conservées au-delà de la durée nécessaire.
Vérifier le respect des droits des personnes
La constitution du registre est également l’occasion de faire le point sur la façon dont les personnes sont informées de l’utilisation faite de leurs données. Toute collecte de données doit en effet donner lieu à donner lieu à l’information des personnes.
L’entreprise peut, dans ce cadre, recourir aux mentions d’information proposées par la CNIL sur son site.
Pour limiter la taille des mentions sur les formulaires de collecte, la CNIL indique qu’il est possible de donner un premier niveau d’information en fin de formulaire et de renvoyer à un autre document plus complet du type politique de confidentialité.
Droit d'accès et de rectification. L’entreprise doit également s’assurer qu’elle permet aux personnes d’exercer facilement leurs droits, notamment d’accès et de rectification. Un processus interne doit être mis en place afin de s’assurer que les demandes seront bien prises en compte dans le délai légal d’un mois (RGPD art. 12).
Assurer la sécurité des données
Il incombe au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Le guide de la CNIL comporte un questionnaire d’évaluation du niveau de sécurité des données personnelles qui permet, de façon simple, d’apprécier la maturité de l’entreprise quant aux enjeux de sécurité.
Parmi les nombreux aspects couverts par le guide de la CNIL, on peut citer :
-la sensibilisation des utilisateurs et la mise en place au sein de l’entreprise d’une charte informatique ;
-la création d’un identifiant unique par utilisateur et l’interdiction corrélative des comptes partagés ;
-le respect de la recommandation de la CNIL dans le cas d’une authentification par mot de passe ;
-la journalisation des accès ;
-l’identification des violations de données à caractère personnel et leur notification à la CNIL, voire aux personnes concernées ;
-la gestion des sous-traitants en s’assurant que ceux-ci présentent des garanties suffisantes et en documentant les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant ;
-la contractualisation avec les sous-traitants, le contrat avec ceux-ci devant comprendre l’ensemble des mentions exigées par l’article 28 du règlement.
Désigner, ou non, un délégué à la protection des données
Il peut être difficile pour une société de savoir si elle entre dans le périmètre des sociétés soumises à l’obligation de désigner un délégué à la protection des données (voir § 3-9).
Elle peut notamment se demander si elle doit être considérée comme une société dont les activités de base l'amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
Lorsque l’entreprise a un doute, elle peut recourir, pour l’aider dans son analyse, aux lignes directrices du G29 qui constituent un guide pour l’interprétation du règlement (le G29 est un groupe de travail au niveau européen rassemblant les représentants de chaque autorité indépendante de protection des données nationales). Ainsi, à propos de la notion d’« activités de base », le G29 précise, concernant la rémunération des employés, que, bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité de base.
La désignation d’un délégué n’est donc absolument pas systématique.
L'entreprise qui décide de désigner un délégué, qu’elle ait l’obligation de le faire ou qu’elle décide volontairement de le faire, devra respecter l’ensemble des textes concernant le délégué, notamment son indépendance et l’absence de conflit d’intérêts.
L'entreprise qui décide de ne pas désigner un délégué a tout intérêt à disposer en interne d’un référent sensibilisé à ces questions et capable de gérer les demandes afférentes, que celles-ci émanent d’un client, d’un employé, d’une autorité de protection ou d’un tiers.
Adopter une gestion par les risques
Adapter les mesures aux risques
Le RGPD repose sur une approche basée sur les risques. Dans ce cadre les mesures techniques et organisationnelles devant être mises en œuvre par le responsable du traitement doivent être adaptées au regard des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques (RGPD art. 24, 1).
Le sous-traitant partage cette responsabilité en termes de sécurité (RGPD art. 32, 1).
C’est en fonction de ces risques que devra être appréciée l’opportunité voire la nécessité de recourir à des mécanismes de protections spécifiques, tels que la pseudonymisation ou le chiffrement.
Analyse d'impact
Point d’orgue de l’approche basée sur les risques, lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel (RGPD art. 35, 1).
En pratique, différents éléments sont plus susceptibles que les autres de créer un risque, voire un risque élevé, pour les personnes. Le G29 a élaboré une liste indicative, reprise par la CNIL, des critères susceptibles de déclencher la réalisation d’une étude d’impact. Ces critères sont les suivants :
-les traitements consistant en l’évaluation ou la notation des personnes, y compris les activités de profilage et de prédiction ;
-les traitements ayant pour finalité la prise de décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative ;
-les traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public ;
-le traitement de données sensibles ou données à caractère hautement personnel ;
-le traitement de données personnelles à grande échelle ;
-le croisement ou combinaison d’ensembles de données, d’une manière qui outrepassera les attentes raisonnables de la personne concernée ;
-le traitement de données concernant des personnes vulnérables, telles que les mineurs ;
-l’usage innovant de nouvelles solutions technologiques ou organisationnelles ;
-les traitements en eux-mêmes qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
En règle générale, un traitement répondant à deux des critères susvisés nécessite une étude d’impact. En toute hypothèse, tout traitement présentant un de ces éléments requiert une attention particulière, une évaluation des risques en résultant pour les personnes concernées et, le cas échéant, la réalisation d’une étude d’impact.
Lorsqu’une étude d’impact apparaît opportune, voire obligatoire, l’outil proposé en ligne par la CNIL peut être utilisé.
