Le Règlement Général sur la Protection des Données constituera le cadre réglementaire européen de la protection des données personnelles à compter du 28 mai 2018. Il s’agit d’un règlement et non d’une directive, qui sera donc directement applicable dans les états membres sans délai de transposition. Ce Règlement, loin de constituer une modification mineure de la législation actuelle, implique un véritable changement de perspective dans la façon dont les entreprises devront désormais aborder la sécurisation des données personnelles qu’elles sont amenées à traiter dans le cadre de leurs activités, que ce soit en back office ou pour le cœur de métier.
Jusqu’ici, la conformité à la réglementation sur les données personnelles se bornait à s’assurer que les déclarations ou les demandes d’autorisation imposées par la Loi Informatique et Libertés avaient été faites. C’est en cas de contrôle de la CNIL que les non conformités apparaissaient : données non effacées à l’issue de leur durée utile, mal sécurisées, diffusées de façon inappropriées, ou détournées des objectifs pour lesquels elles avaient été collectées. Ces non conformités faisaient l’objet de corrections a posteriori plus ou moins complètes, sans entraîner de réflexion de fond sur l’organisation et la gestion de la donnée personnelle dans l’entreprise.
Cette ère est terminée car le Règlement met fin à la pratique des déclarations de pure forme et introduit deux principes forts. Le premier est l’obligation de « privacy by design », qui implique d’intégrer – par tous moyens techniques appropriés - la sécurisation des données personnelles dès la conception des applications et des processus métier. Le second est le principe d’ « accountability », en vertu duquel l’entreprise doit pouvoir démontrer à tout moment qu’elle a pris les mesures juridiques, organisationnelles et techniques nécessaires pour respecter les dispositions du Règlement.
Ces mesures doivent être proportionnées au risque, c’est-à- dire au préjudice qui résulterait pour les personnes de l’utilisation inappropriée de leurs données. L’« accountability » est, littéralement la « capacité à rendre compte », traduit de façon approximative dans la version française du Règlement par « principe de responsabilité ».
L’auto-responsabilisation a un prix : l’ignorer pourra coûter à l’entreprise une amende pouvant atteindre la somme la plus élevée entre 20 M € et 4% du chiffre d’affaire total annuel.
Le préalable qui structure toute démarche de mise en conformité avec le Règlement est l’analyse juridique, qui permet d’identifier les zones sensibles tant dans les applications back office que dans les opérations cœur de métier de l’entreprise, d’évaluer le risque afférent, et de prioriser leur encadrement.
L’analyse juridique a également pour objet de déterminer le positionnement de l’entreprise dans la chaîne de traitement des données. Selon que l’entreprise est responsable de traitement, sous-traitant, ou co-responsable de traitement avec un ou plusieurs tiers, il sera nécessaire de mettre en place des organisations et des structures contractuelles différentes.
L’étude juridique conduira naturellement à la réalisation d’une ou plusieurs analyses d’impact ou « PIA » (Privacy Impact Assessment), consistant à identifier au travers d’un audit les mesures mises en œuvre pour éviter que les données personnelles ne soient diffusées ou utilisées à tort, conservées sans limites, gérées de façon incontrôlée, etc. La réalisation d’une analyse d’impact est dans certains cas obligatoire, et celle-ci devra alors être soumise à la CNIL avant que le traitement puisse être mis en œuvre. Ce contrôle a priori diffère de l’actuelle procédure d’autorisation car il sera nécessairement plus interactif et imposera l’instauration d’un dialogue constructif avec la CNIL sur le caractère suffisant – ou non - des mesures proposées dans le PIA.
Même dans les cas où le PIA n’est pas obligatoire, il reste une démarche structurante pour réaliser la mise en conformité au Règlement : il constitue le tableau de bord de la démarche de conformité et appuie la capacité de l’entreprise à démontrer les actions mises en œuvre, conformément au principe d’accountability. Ainsi, en cas de contrôle, la CNIL se fondera sur deux bases documentaires : l’une sera le « registre des activités de traitement », répertoriant de façon détaillée tous les traitements effectués dans l’entreprise ; la seconde sera constituée des PIA qui auront été élaborés et maintenus pour les traitements les plus sensibles. La carence de ce socle documentaire sera, en soi, une infraction susceptible d’entraîner des sanctions s’il n’y est pas remédié rapidement, et ce en l’absence même de toute faille ou de tout préjudice avéré.
Le « Délégué à la Protection des Données », ou DPO (Data Protection Officer), est l’héritier naturel de l’actuel Correspondant Informatique et Libertés, qui peut être un salarié ou un prestataire de l’entreprise. Il rapporte directement au niveau le plus élevé de la direction de l’entreprise et ne doit recevoir aucune instruction dans l’exercice de ses missions. La nomination d’un DPO est a minima obligatoire dans le secteur public, en cas de traitement à grande échelle de données particulières, et en cas de traitement exigeant le suivi régulier et systématique de personnes. Les législations nationales pourront amender, à la hausse, les cas dans lesquels la nomination d’un DPO est obligatoire.
Les failles de sécurité impactant la sécurité des données personnelles devront être notifiées à la CNIL dans les 72h de leur découverte, et il en découlera une obligation éventuelle d’information des personnes concernées. Cette obligation nouvelle a un impact non négligeable en termes d’organisation et de communication pour certains secteurs susceptibles d’être très impactés : banques, assurances, secteur de la santé notamment.
Le Règlement s’applique à toute entreprise ayant des activités impactant des personnes sur le territoire européen, même si elle est établie en dehors de l’Europe, visant ainsi directement les entreprises étrangères qui, sous la législation actuelle, peuvent s’affranchir en grande partie des contraintes européennes sur la protection des données personnelles. L’efficacité réelle du dispositif reste à démontrer, mais l’intention est présente.
Le Règlement européen introduit également une notion qui manquait à la législation actuelle en prenant en considération les groupes de société au travers de la désignation d’une autorité de contrôle « chef de file », qui sera celle de l’établissement principal d’un groupe établi sur plusieurs pays en Europe. Les différentes autorités de contrôle devront coopérer pour leurs prises de décision, notamment les sanctions, concernant les opérations transfrontalières du groupe.
Enfin, le Règlement donne les moyens aux personnes de se replacer au centre du contrôle de leurs données, en renforçant substantiellement la nécessité d’un consentement au traitement, les droits des personnes (droit d’accès, droit de rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition), et les obligations des entreprises en matière d’information des personnes sur leurs droits.
Au final dira-t-on, tout change et rien ne change, car nombre des principes posés dans le Règlement existaient déjà dans la Loi Informatique et Libertés et dans la directive européenne 95/46. Mais ce ne serait que voir là l’écume des choses car, en profondeur, le Règlement change beaucoup de choses pour les entreprises en les obligeant à structurer de façon pérenne leur démarche de conformité en matière de protection des données, rompant avec des années de laxisme plus ou moins affiché sur un domaine qui n’était pas, jusqu’ici, considéré comme un sujet de conformité prioritaire.
Isabelle Renard
Cabinet IRenard Avocats
Avocat au Barreau de Paris
Docteur Ingénieur
« Article initialement publié dans le JMJ n°53 »