RGPD – Dernière ligne droite !

3 mai 2018
Mis à jour le 21 mai 2018

Le 25 mai 2018 marque l’entrée en vigueur du RGPD[1]. A partir de cette date, vos traitements de données à caractère personnel, présents et futurs, compris dans son champ d’application, doivent se conformer à ce texte fondamental.

  • Le RGPD s’applique aux traitements des informations qui permettent, directement ou indirectement, d’identifier une personne physique (noms, images, sons, numéros de téléphone, adresses IP, données de localisation, traceurs, avis, profils, etc.),
  • Y sont soumis les entreprises, les associations, les organismes publics et les particuliers (sauf dans le cadre d’une activité strictement personnelle ou domestique), qui :
    • disposent d’un établissement sur le territoire de l’Union Européenne, ou
    • mettent en œuvre des traitements de données relatives à des personnes physiques situées sur le territoire de l’UE, liés soit à une offre de biens ou de services qui leur est destinée, soit au suivi de leur comportement sur le territoire de l’UE.

Pour déterminer si votre offre de biens ou de services est à destination d’un public situé sur le territoire de l’UE, vous devrez avoir recours à des faisceaux d’indices tels que l’utilisation d’une langue courante dans un de ses états membres, l’utilisation de l’euro comme devise ou encore, le cas échéant, le ciblage opéré par la publicité de votre site internet.

Contexte règlementaire :

Le RGPD est complété, dans chaque état membre de l’UE, par la législation nationale (même si, à ce jour, seulement 4 états ont révisé leur législation suite au RGPD ; en France, la loi n° 78-17 du 6 janvier 1978, dite « informatique et libertés », fait l’objet d’une révision controversée : votée par l’Assemblée Nationale en lecture définitive le 14 mai, elle a été contestée aussitôt par 60 sénateurs devant le Conseil Constitutionnel). Un deuxième règlement européen (ePrivacy) viendra encadrer plus spécifiquement les traitements des données de communications électroniques – contenus et métadonnées – par les acteurs de l’internet : fournisseurs d’accès, OTT (fournisseurs d’applications de messagerie, voix sur IP, courrier électronique, etc.), utilisateurs de cookies et de traceurs, et dans certains cas les acteurs de l’Internet des objets et des communications machine-to-machine. Les sanctions en cas de manquement seront alignées sur celles prévues dans le RGPD. Ce règlement devait entrer en vigueur le 25 mai 2018, mais sa négociation est actuellement bloquée au niveau des états membres.

Le RGPD met l’accent sur la responsabilisation des acteurs de la chaine de traitement de données. Le système de formalisme connu précédemment a été abandonné au profit d’un système où chaque acteur doit évaluer régulièrement la conformité de ses opérations de traitement et doit prouver les diligences accomplies. Dans certains cas, il sera nécessaire de tenir un registre (I) et/ou de désigner un délégué à la protection des données (II). Certains traitements seront soumis à une analyse d’impact préalable (III). En tout état de cause, chaque acteur devra veiller de manière systématique à respecter un nombre de principes, dont la légalité, la loyauté et la transparence des traitements, la proportionnalité et la sécurité des données (IV). Tout manquement est passible de lourdes sanctions (V).
CI-DESSOUS, LA MARCHE À SUIVRE :

I. Vérifier si vous devez tenir un registre 

Que vous soyez responsable de traitement ou sous-traitant, vous devrez probablement tenir un registre des activités de traitement effectuées sous votre responsabilité. Si le Règlement prévoit une exception pour les entités comptant moins de 250 salariés, c’est à condition que les traitements de données personnelles qu’elles mettent en œuvre :

  • ne soient pas susceptibles de comporter un risque pour les droits et les libertés des personnes concernées,
  • soient occasionnels, et
  • ne portent pas sur des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.

Ainsi, vous aurez l’obligation de tenir un registre si votre entreprise de moins de 250 salariés traite des données personnelles à titre habituel (par exemple, dans le cadre de la gestion des abonnés à un service de contenu en ligne).

Cette obligation est plus qu’une pure formalité, dans la mesure où elle incite chaque acteur à avoir une bonne compréhension des opérations de traitement qu’il met en œuvre et de leurs enjeux. Le registre doit notamment contenir : les catégories de données traitées et de personnes concernées, les destinataires des données, la durée du traitement, …

Son contenu diffère légèrement pour les responsables de traitement et pour les sous-traitants. Ainsi, si vous n’assumez pas le même rôle dans le cadre de tous les traitements que vous mettez en œuvre, vous devrez tenir deux registres.

NB Le responsable de traitement est celui qui détermine à la fois les finalités et les moyens du traitement. A l’inverse, celui qui traite des données à caractère personnel pour le compte de son client, est un sous-traitant. A titre d’exemple, une entreprise proposant des services de publicité ciblée va être qualifiée de sous-traitant lorsqu’elle traite les données de son client pour assurer la promotion des produits du client. En revanche, si cette entreprise décide d’utiliser les mêmes données pour promouvoir d’autres produits, elle sera alors qualifiée de responsable de traitement pour cette finalité.

Le responsable de traitement et le sous-traitant sont liés par un contrat qui détaille leurs droits et obligations respectives. La CNIL a publié un modèle de clauses contractuelles dans l’attente de l’adoption de clauses-type au sens de l’article 28.8 du Règlement.

Le registre doit comporter toutes les informations suivantes :

Si vous êtes responsable de traitement :

  • vos nom et coordonnées et, le cas échéant, celles du responsable conjoint du traitement, de votre représentant et du DPO, et
  • les finalités du traitement, et, dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données, et
  • une description des catégories de personnes concernées, des catégories de données à caractère personnel traitées et des catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, et
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale que vous devrez identifier et, dans le cas des transferts en l’absence d’une décision d’adéquation par la commission européenne ou de garanties appropriées, y compris des règles d’entreprise contraignantes, et ne faisant pas l’objet d’une dérogation pour les situations particulières prévues à l’article 49, par. 1, al. 1, du Règlement, les documents attestant de l’existence de garanties appropriées, et
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en oeuvre.

Si vous êtes sous-traitant:

  • le nom et les coordonnées du (des) sous-traitant(s) et de chaque responsable de traitement pour le compte duquel vous agissez, ainsi que, le cas échéant, de leur représentant et du DPO, et
  • les catégories de traitements effectués pour le compte de chaque responsable du traitement, et
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale que vous devez identifier et, dans le cas des transferts en l’absence d’une décision d’adéquation par la commission européenne ou de garanties appropriées, y compris des règles d’entreprise contraignantes, et ne faisant pas l’objet d’une dérogation pour les situations particulières prévues à l’article 49, par. 1, al. 1, du Règlement, les documents attestant de l’existence de garanties appropriées, et
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

La CNIL a proposé un modèle de registre des traitements, donnant un bon aperçu des diligences à effectuer pour se conformer au Règlement.

Le registre peut être tenu sous forme électronique. Il est tenu à la disposition de l’autorité de contrôle sur demande.

Pour aller plus loin :

II. Vérifier si vous devez désigner un délégué à la protection des données personnelles (« DPO »)

Toujours en qualité de responsable de traitement ou de sous-traitant, vous allez peut-être devoir, ou souhaiter, désigner un DPO.

L‘obligation de désigner un DPO concerne :

  • les entités dont les activités de base les amènent à réaliser un suivi régulier et systématique à grande échelle des personnes concernées,
  • les entités dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions, et
  • les autorités publiques et les organismes publics.

Par exemple, sera tenue de désigner un DPO une régie publicitaire en ligne qui utilise le datamining pour affiner sa connaissance du client final.

D’autres cas de désignation obligatoire pourront être établis par les législations nationales.

En dehors de ces situations, la désignation d’un DPO sera facultative. Toutefois, compte tenu de son rôle de fournir un véritable accompagnement personnalisé et sur la durée, sa désignation est fortement conseillée en pratique.

Le DPO a un rôle :

  • d’information et de conseil concernant vos obligations en matière de protection des données (y compris celles relatives aux analyses d’impact),
  • de contrôle de la conformité de vos traitements à la réglementation applicable, et
  • de point de contact et de coopération avec l’autorité de contrôle.

Si vous désignez un DPO, en vertu d’une obligation légale ou sur une base facultative, vous devez l’impliquer de manière appropriée et en temps utile à toutes les questions relatives à la protection des données pour lui permettre de mener à bien ses missions.

Le DPO peut être un salarié de la société ou un prestataire de services.

Il doit être choisi sur la base de ses connaissances spécialisées du droit et des pratiques en matière de protection de données. Son niveau d’expertise doit être adapté par rapport aux difficultés des traitements envisagés. Il n’existe pas de profil type du DPO, celui-ci pouvant provenir de la filière technique, juridique, etc.

Si vous choisissez un DPO salarié, vous devrez veiller à lui garantir la communication directe avec la direction pour l’exercice de ses missions, ainsi que son indépendance, son immunité disciplinaire, son accès à une formation professionnelle spécifique.

Le recours à un DPO avocat peut avoir un intérêt dans la mesure où, d’une part, il est soumis à des règles déontologiques strictes, dont le secret professionnel absolu et l’interdiction d’intervenir en cas de conflit d’intérêts, et, d’autre part, il bénéficie d’une assurance responsabilité civile importante (jusqu’à 4 millions d’euro par sinistre pour les avocats parisiens).

En tout état de cause, vous devrez faire preuve de vigilance et bien vous renseigner avant de confier les clefs de vos traitements de données personnelles à un tiers. La CNIL a alerté à plusieurs reprises face aux offres peu scrupuleuses de certaines personnes promettant une « mise en conformité clé en main » au RGPD. A retenir que si vous mettez en œuvre un traitement non-conforme sur la base des recommandations d’un DPO non diligent ou insuffisamment préparé, vous serez seul responsable vis à vis des autorités. Le DPO pourra uniquement engager sa responsabilité pénale pour des violations intentionnelles des dispositions pénales de la loi informatique et libertés.

Vous pouvez procéder à la désignation en ligne du DPO sur le site de la CNIL.

Pour aller plus loin :

  • RGPD, articles 37 à 39
  • Page de la CNIL dédiée à la désignation du DPO.

III. Avant tout traitement, penser à l’analyse d’impact préalable (« DPIA »)  

L’obligation de réaliser une analyse d’impact préalable s’impose aux responsables de traitement qui envisagent de mettre en œuvre un traitement susceptible d’engendrer un risque élevé pour les droits et les libertés des individus concernés, et notamment leur droit à la vie privée.

L’analyse d’impact est requise en particulier lorsque le traitement porte sur :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard des personne physique ou les affectant de manière significative de façon similaire,
  • le traitement à grande échelle de données dites « sensibles » (biométriques, liées à la santé, aux préférences sexuelles, à l’origine raciale ou ethnique des personnes concernées, etc.) ou relatives à des condamnations pénales et à des infractions,
  • la surveillance systématique à grande échelle d’une zone accessible au public.

Ainsi, devra faire l’objet d’une DPIA un service reposant sur la géolocalisation des utilisateurs, distribué et adopté massivement par le public et dont les données sont collectées et envoyées sur un serveur distant.

A des fins de prévisibilité, chaque autorité de contrôle doit publier une liste des types de traitements soumis obligatoirement à une analyse d’impact. La CNIL a également annoncé la publication prochaine d’une liste de types de traitements exonérés.

En attendant, il conviendra d’examiner les traitements que vous envisagez par rapport aux neuf critères établis par le G29 (groupe de travail « Article 29 » des autorités de contrôle européennes) :

  • l’évaluation ou la notation, et/ou
  • la prise de décision automatisée avec effet juridique ou effet similaire significatif, et/ou
  • la surveillance systématique, et/ou
  • le traitement de données sensibles ou à caractère hautement personnel, et/ou
  • le traitement à grande échelle des données et/ou
  • le croisement ou la combinaison d’ensembles de données, et/ou
  • le traitement de données concernant des personnes vulnérables, et/ou
  • l’utilisation innovante ou l’application de nouvelles solutions technologiques ou organisationnelles, et/ou
  • les traitements en eux-mêmes qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

Il est généralement considéré que les traitements envisagés réunissant au moins deux des critères doivent être soumis à une analyse d’impact. Mais parfois la présence d’un seul critère peut être suffisante.

En pratique, compte tenu de la nécessité de prouver vos diligences, il est conseillé de réaliser une évaluation interne de risque pour chaque traitement envisagé et de réaliser des analyses d’impact formelles dès qu’il correspond à au moins un des neufs critères mentionnés ci-dessus.

L’analyse d’impact doit contenir au moins une description systématique des opérations de traitement envisagées et leur finalité, leur nécessité, leur proportionnalité, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques.

Si votre DPIA indique que le traitement souhaité présenterait un risque élevé à la protection des données, vous serez dans l’obligation de consulter l’autorité de contrôle (en France, la CNIL) préalablement à tout traitement. Celle-ci émettra un avis écrit dans un délai de 8 semaines, dont il conviendra de suivre les éventuelles recommandations.

Si vous êtes sous-traitant, vous aurez l’obligation, en vertu du contrat qui vous lie avec le responsable de traitement, d’aider celui-ci à réaliser le DPIA en lui fournissant toutes les informations nécessaires.

Pour aller plus loin :

  • RGPD, article 35
  • Page de la CNIL dédiée à la DPIA.
  • Outil d’analyse d’impact, téléchargeable ici.

IV. En tout état de cause,

4.1 …, veiller à ce que le traitement envisagé soit licite

Cette obligation s’impose aux responsables de traitement.

Contrairement à une idée reçue, vous n’avez pas l’obligation de recueillir systématiquement le consentement des personnes concernées pour que le traitement de leurs données personnelles soit licite au regard du RGPD (tout comme vous ne l’aviez pas sous l’ancien régime, issu de la directive 95/46).

Vous pourrez vous reposer sur tout autre fondement légal énoncé à l’article 6 du Règlement, sous réserve d’en respecter les conditions spécifiques.

Vous êtes dispensé de recueillir le consentement quand le traitement mis en œuvre est nécessaire :

  • à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à la demande de la personne,
  • au respect d’une obligation légale à laquelle vous êtes soumis,
  • à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, ou
  • à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont vous êtes investi, ou
  • aux fins des intérêts légitimes que vous, ou un tiers, poursuivez, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsqu’il s’agit d’enfants.

Par exemple, lorsqu’un fournisseur de contenus en ligne collecte et combine les données de ses abonnés  mentionnées à l’article 5 du règlement du 14 juin 2017 pour vérifier leur état membre de résidence, ou  lorsqu’il traite leurs données de localisation lorsqu’ils voyagent sur le territoire de l’UE pour leur accorder l’accès à leurs contenus, il n’a pas l’obligation de recueillir leur consentement.

A noter toutefois que ces fondements font l’objet d’interprétations strictes et que, selon le G29, le fondement doit être choisi avant la mise en œuvre du traitement, sans possibilité de changer en cours de traitement. Une évaluation sérieuse et prudente s’impose dès le début.

Si aucun des fondements alternatifs ne vous semble accessible, il vous faut recueillir le consentement de la personne concernée.

A titre d’exemple, le consentement sera nécessaire pour qu’une application pour téléphone mobile puisse collecter les données d’une personne à des fins de profilage publicitaire, si ce profilage n’est pas nécessaire pour l’exécution d’un contrat avec la personne.

Mais attention, car le consentement doit être donné librement et pouvoir être retiré à tout moment.

Si vous conditionnez la prestation d’un service à une personne physique au titre d’un contrat conclu avec elle (par exemple, la mise à jour d’un objet connecté) à son consentement pour un traitement de données qui n’est pas strictement nécessaire à l’exécution du contrat, le consentement obtenu ne sera pas valable. A l’inverse, si le traitement est limité aux données nécessaires pour l’exécution du contrat, alors le fondement le plus approprié sera le contrat, et non le consentement.

Lorsque votre traitement repose sur le consentement de la personne concernée, la demande de consentement devra être :

  • présentée sous une forme écrite ou orale qui la distingue clairement des autres questions, et
  • compréhensible, et
  • aisément accessible, et
  • formulée en des termes clairs et simples.

Pour être valable, votre demande de consentement doit :

  • être indépendante des autres modalités et conditions que vous proposez, et
  • proposer des options granulaires à consentir séparément selon les différents types de traitement, et
  • nommer précisément quelles organisations et tierces parties ont besoin de ce consentement sans que vous ayez recours à des catégories d’organisations.

A titre d’exemple, un consentement ne sera pas valide si vous l’énoncez ainsi : « Si vous adhérez à notre service, alors vous acceptez que nous utilisions vos données pour toute finalité qui nous paraitrait nécessaire ».

Vous devez informer chaque personne du droit à retirer son consentement et lui expliquer comment procéder. En principe le retrait du consentement doit être rendu aussi facile que son octroi.

A noter la nécessité de conserver des registres afin de prouver le consentement recueilli, en y précisant quand et comment chaque personne vous a donné ou a retiré son consentement, et quelles informations vous lui avez communiquées pour obtenir le consentement.

S’il n’existe pas une « date d’expiration », le G29 recommande le renouvellement périodique du consentement recueilli.

  • Cas particulier des données personnelles des enfants :

Pour les mineurs de moins de 16 ans, le consentement doit être donné par le titulaire de l’autorité parentale. Les législations nationales peuvent baisser cet âge dit de la « majorité numérique » jusqu’à 13 ans.

En France, l’Assemblée Nationale a validé, dans le cadre du projet de loi relatif à la protection des données personnelles, une baisse à 15 ans, assortie d’un mécanisme de double consentement par les enfants et leurs parents en deçà de cet âge. Le sort de cette mesure est à présent entre les mains du Conseil Constitutionnel.

Aux Etats Unis, où la COPPA (Children’s online privacy act) protège la vie privée en ligne des enfants de moins de 13 ans, une étude publiée récemment par des chercheurs de l’Université de Berkeley sur près de 6000 applications pour Android de la catégorie «Designed for Families» disponibles en téléchargement sur Google Play Store révélait une multitude de pratiques irrégulières, parmi lesquelles l’absence de moyens conformes d’obtention du consentement des parents, aussi bien pour la collecte des données de leurs enfants, que pour leur transfert à des agences publicitaires. Les applications ayant fait l’objet d’une certification volontaire « Safe Harbor » présentaient globalement les mêmes irrégularités concernant le transfert des données que celles non certifiées.

Pour aller plus loin :

  • RGPD, articles 6 à 8
  • Lignes directrices du G29 sur le consentement (version soumise à consultation, en anglais)

4.2 …, garantir une bonne utilisation des données

Aux termes du RGPD, le responsable de traitement doit s’assurer, et être en mesure de prouver, que les données personnelles traitées par lui ou pour son compte sont : adéquates, pertinentes, proportionnées et exactes, collectées pour des finalités déterminées, explicites et légitimes, et traitées de manière loyale et transparente.

Nous revenons sur ces conditions ci-dessous :

  • Les données traitées doivent être adéquates, pertinentes et proportionnées

S’agissant de l’obligation de collecte proportionnée, il vous appartiendra de mettre en adéquation la nature et la quantité de données personnelles que vous entendez traiter aux objectifs poursuivis.

Exemple : une application de lampe torche pour téléphone portable ne doit pas avoir accès à l’ensemble des informations enregistrées sur le téléphone portable.

  • Les données traitées doivent être exactes et, si nécessaire, tenues à jour

A ce titre, vous devrez prendre toutes les mesures raisonnables pour effacer ou rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles ont été collectées ou traitées.

Vous pourrez soit laisser la possibilité à la personne concernée de modifier ou supprimer ses données à sa convenance (sous réserve de vos éventuelles obligations légales), soit l’interroger régulièrement sur un potentiel changement de situation.

  • Les données doivent être collectées pour des finalités déterminées, explicites et légitimes

Pour chaque opération de collecte, il vous incombera de vous interroger de savoir quel est son but, s’il est légitime notamment au regard des fondements du traitement et par rapport aux droits et libertés des personnes, et comment expliciter ces finalités à tous.

Exemple : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

  • Les données doivent être traitées de manière loyale et transparente

A ce titre, vous ne pourrez pas utiliser les données personnelles à des fins secondes, non prévues, ou camouflées.

Exemple : l’utilisation d’un jouet connecté ne doit pas autoriser le fabricant à traiter les données récoltées par l’application du jouet sans l’accord explicite de la personne concernée/de son responsable légal.

Pour aller plus loin :

  • RGPD, article 5
  • Lignes directrices du G29 sur la transparence (version soumise à consultation, en anglais)

4.3 …, assurer la sécurité des données

Cette obligation a un périmètre différent selon que vous avez un rôle de responsable de traitement ou de sous-traitant.

  • Tout d’abord, elle implique, pour les responsables de traitement, la nécessité de prendre les mesures techniques et organisationnelles appropriées pour protéger les données dès la conception du traitement et par défaut. Il s’agit de la consécration des principes :
    • « privacy by design », imposant la prise en compte des enjeux de protection des données personnelles, et particulièrement des risques pour les droits et libertés des personnes, dès le stade de la conception technique et fonctionnelle du produit ou du service mettant en œuvre un traitement de données (par ex. en minimisant les données collectées et en opérant, dès que possible, leur pseudonymisation), et
    • « privacy by default », garantissant que, par défaut, sont traitées seulement les données nécessaires au regard des finalités spécifiques du traitement. La nécessité est appréciée par rapport à la quantité de données collectées, à l’étendue de leur traitement, à la durée de leur conservation et à leur accessibilité (qui doit, par défaut, être limitée à un nombre déterminé de personnes – par ex. en sécurisant les URL).

Ainsi, pour déterminer l’étendue de l’obligation de protection vous devrez d’abord délimiter les traitements de données, leur contexte et leurs enjeux, puis identifier les risques, leur origine, leur probabilité et l’impact prévisible sur les droits et libertés des personnes, ensuite identifier les mesures de protection existantes ou préconisées pour respecter les exigences légales relatives à la mise en œuvre des traitements et minimiser les risques. Si vous détectez un risque élevé pour les droits et libertés des personnes, vous devrez formaliser en outre le DPIA mentionné plus haut.

NB Si les sous-traitants ne sont pas expressément soumis par l’article 25 du Règlement à cette obligation, ils devront tout de même s’y conformer dans la mesure nécessaire pour garantir au responsable de traitement que les outils et moyens de traitement qu’ils mettent en œuvre respectent les exigences du Règlement en termes de protection des données.

  • Ensuite, aussi bien les responsables de traitement que les sous-traitants sont tenus de prendre les mesures techniques et organisationnelles appropriées, compte tenu des spécificités du traitement (portée, finalités, etc.) et des risques encourus pour les droits et libertés des personnes, pour garantir un niveau de sécurité des données adapté au risque de violation des données.

Une violation de données est, selon l’article 4 12) du RGPD, une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée des données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Le règlement mentionne, parmi les mesures de sécurité préconisées, la pseudonymisation et le chiffrement des données, ou des moyens de rétablir l’accès aux données dans des cas d’incident physique ou technique.

La CNIL a publié un guide de sécurité des données personnelles listant en plusieurs fiches les principales actions à mener pour assurer un niveau de sécurité élémentaire.

A noter la recommandation d’utiliser le protocole de transmission sécurisée des données TLS, qui semble être ignoré par une très grande partie des éditeurs d’applications (selon l’étude américaine sur Google Play Store mentionnée plus haut, 40% des 5.855 applications pour Android destinées au jeune public analysées n’utilisaient pas ce protocole standard).

L’obligation de sécurité et celle de protection des données mise spécifiquement à la charge du responsable de traitement sont complémentaires. Leur respect pourra être démontré, du moins en partie, par l’adhésion à un mécanisme de certification volontaire délivré par un organisme de certification agréé ou par une autorité de contrôle, que le responsable de traitement et, le cas échéant, le sous-traitant, aura dûment appliqué. Par ailleurs, l’application d’un code de bonne conduite approuvé par l’autorité de contrôle compétente peut aider à prouver le respect de l’obligation de sécurité.

  • Enfin, en cas de violation des données, le responsable de traitement et le sous-traitant ont des obligations de notification :
    • le sous-traitant notifie toutes les violations de données au responsable de traitement, dans les meilleurs délais après en avoir pris connaissance ;
    • le responsable de traitement notifie à l’autorité de contrôle compétente (ou à l’autorité « chef de file » pour les violations impactant des personnes dans plusieurs États membres), dans les meilleurs délais et si possible dans les 72h, les violations faisant courir un risque pour les droits et libertés des personnes concernées; il informe par ailleurs chaque personne concernée des violations susceptible d’engendrer un risque élevé pour ses droits et libertés, sauf dans certains cas (par exemple, lorsque, ultérieurement à la violation intervenue, ont été mises en œuvre des mesures garantissant que le risque élevé n’est plus susceptible de se matérialiser, ou lorsque la communication à chaque personne concernée exigerait des efforts disproportionnés et qu’il conviendrait de l’informer par un autre moyen, par ex. au moyen d’une communication publique).

Compte tenu des délais très brefs et des particularités de chaque notification, il est conseillé de créer un comité spécifique à la notification des violations, composé notamment du DPO et des membres de la direction des systèmes d’information et des systèmes de sécurité afin d’assurer un traitement rapide et efficace.

Notez que le responsable de traitement doit documenter toutes les violations de données à caractère personnel, en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier, afin de permettre le contrôle du respect de ses obligations. Le concours du sous-traitant sera essentiel.

Pour aller plus loin :

  • RGPD, articles 5 1. f), 25 et 32 à 34
  • Guide de la CNIL sur la sécurité des données personnelles
  • Formulaire de notification d’une violation de données et outil d’évaluation de la CNIL (avant RGPD)
  • Lignes directrices du G29 sur les notifications de violations de données (en anglais)

4.4 …, garantir les droits des personnes concernées sur leurs données

Si vous êtes responsable de traitement, vous devez garantir aux personnes concernées l’exercice de certains droits ; votre sous-traitant (le cas échéant) devra vous y aider.

Ces droits sont :

– d’une part, des droits protégés par la loi informatique et libertés et maintenus ou renforcés par le RGPD : droits d’information, d’accès, de rectification, d’opposition et de limitation;

– d’autre part, des droits créés par le RGPD: droits d’effacement et de portabilité des données.

A noter que vous aurez l’obligation, concernant l’ensemble de ces droits :

– de toujours communiquer avec la personne concernée de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, particulièrement s’il s’agit d’un enfant ;

– de faciliter l’exercice des droits et de ne refuser que les demandes pour lesquelles vous pouvez démontrer que vous n’avez pas pu identifier la personne concernée, et

– de répondre aux demandes d’exercice des droits dans les délais fixés par le règlement et sans exiger un paiement, sauf si les demandes sont manifestement infondées ou excessives.

  • Droit d’information et d’accès

Le droit de la personne d’être informée sur les traitements de données dont elle fait l’objet est renforcé : le RGPD augmente le nombre d’informations à fournir. Par ailleurs, lorsque vous collectez les données auprès d’un tiers (pratique désormais courante), vous devez informer la personne concernée dans un délai limité (et en tout état de cause, au plus tard lors de la première communication que vous lui adressez).

L’information est généralement effectuée par écrit (par ex. un panneau d’information pour une vidéosurveillance, une mention d’information sur un formulaire), mais d’autres modalités sont envisageables, par ex. une lecture des informations en cas de recueil de données par téléphone.

Le RGPD prévoit des cas où vous serez exempté d’informer la personne, notamment lorsqu’elle dispose déjà des informations concernées, lorsque la fourniture des informations serait impossible ou exigerait des efforts disproportionnés, ou lorsque les informations sont couvertes par le secret professionnel.

Au titre du droit d’accès, vous devez confirmer à la personne concernée, sur demande, si vous traitez ou non des données à caractère personnel la concernant. Dans l’affirmative, vous devez lui fournir un certain nombre d’informations sur le traitement et sur ses droits qu’elle a auprès de vous, ainsi qu’une copie des données que vous traitez, dans un format lisible qui lui permette de vérifier les conditions du traitement.

  • Droit de rectification

La personne concernée a le droit d’obtenir de votre part, dans les meilleurs délais, que les données à caractère personnel la concernant qui sont inexactes ou incomplètes soient rectifiées ou complétées.

Par exemple, vous pourriez lui laisser la possibilité de modifier les informations qu’elle vous a fournies directement sur votre site internet ou votre application.

  • Droit d’opposition 

Toute personne a le droit de s’opposer, à tout moment, au traitement de ses données personnelles à des fins de prospection (ce qui implique non seulement la cessation des sollicitations, mais l’arrêt de toutes opérations de traitement à des fins de prospection).

Par ailleurs, toute personne a le droit de s’opposer, pour toutes raisons tenant à sa situation particulière, aux autres traitements de données, y compris le profilage, fondés sur votre intérêt légitime ou celui d’un tiers, ou sur une mission d’intérêt public. Vous pouvez continuer de traiter les données si vous démontrez l’existence de motifs légitimes et impérieux pour le traitement mis en œuvre qui prévalent sur les droits de la personne concernée, ou pour l’exercice de droits en justice. Autrement, vous devrez mettre fin au traitement.

A noter que ce droit d’opposition a été encadré différemment par rapport à celui connu avant le RGPD, qui pouvait être exercé uniquement pour des motifs légitimes, mais indépendamment des fondements du traitement. Quant à elles, vos obligations, ont été alourdies notamment concernant l’information sur l’existence et l’étendue du droit d’opposition.

La France a souhaité maintenir un droit d’opposition général, ce qui conforte la prise de position initiale du G29.

Le droit d’opposition a été renforcé par un droit de la personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, et produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Le profilage est un traitement automatisé de données destiné à évaluer certains aspects personnels à des fins prédictive ou d’analyse.

Le Règlement prévoit toutefois certaines exceptions. Ainsi, lorsque votre activité de traitement implique une prise de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, assurez-vous que la décision est nécessaire à la conclusion ou à l’exécution d’un contrat avec la personne concernée, ou est fondée sur son consentement explicite, ou encore est autorisée légalement.

  • Droit à la limitation du traitement

La personne concernée a le droit d’obtenir de votre part la limitation du traitement de ses données :

– à titre temporaire, pendant le temps que vous vérifiez certains éléments (l’exactitude des données, quand la personne concernée le conteste, ou la balance des intérêts lorsqu’elle exercice son droit d’opposition), ou

– à la demande de la personne concernée, ou lorsque c’est dans son intérêt, dans des cas où, à défaut, vous devriez effacer ses données.

La limitation est définie par le Règlement comme le marquage de données à caractère personnel enregistrées, en vue de limiter leur traitement futur.

Pendant la durée de la limitation, le traitement des données sera réduit à leur conservation, sauf si la personne consent autrement, ou s’il intervient pour quelques finalités limitativement prévues.

En pratique, pour les systèmes d’information fermés, vous pouvez recourir à une mesure de marquage des données, ou de déplacement dans une autre location, de manière à les rendre inaccessible pour le traitement. Pour les informations rendues publiques, la limitation implique de les retirer, autant que possible, de l’accès public.

  • Droit à l’effacement des données (« droit à l’oubli »)

Dans certains cas vous devrez effacer, dans les meilleurs délais, les données à caractère personnel d’une personne :

– en cas de retrait de son consentement sur lequel repose le traitement,

– en cas d’exercice de son droit d’opposition, lorsque vous ne pourrez pas y opposer un motif légitime impérieux,

– lorsque les données ne sont plus nécessaires au regard des finalités du traitement,

– lorsque les données ont fait l’objet d’un traitement illicite,

– lorsqu’elles doivent être effacées en vertu d’une obligation légale, ou

– lorsque vous avez collecté ses données (dans le cadre d’une offre de services de la société de l’information) à l’époque où elle était enfant, et qu’elle souhaite les faire supprimer.

Si vous avez préalablement rendu ces données publiques, vous devrez prendre les mesures raisonnables pour informer les autres responsables de traitement qui les traitent, qui devront à leur tour les effacer.

A noter que ce nouveau droit, qui ne correspond pas tout à fait au droit à l’oubli consacré par la CJUE dans l’arrêt Google Spain, est limité par une série d’exceptions, notamment l’exercice du droit à la liberté d’expression et d’information, et qu’il conviendra que vous mettiez en balance les intérêts en jeu avant tout effacement des données.

  • Droit à la portabilité des données

La personne concernée a le droit de recevoir les données à caractère personnel qu’elle vous a fournies (à l’exclusion des données que vous avez enrichies), dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que vous puissiez y faire obstacle. Elle peut aussi vous demander de transmettre vous-même les données à un autre responsable de traitement, sous réserve toutefois qu’il n’existe pas d’impossibilité technique (par ex. si vous et le responsable de traitement destinataire utilisez des formats de fichiers propriétaires non compatibles).

Vous ne serez pas obligé, au titre de la portabilité, de supprimer les données que vous avez transmises.

En France, le Sénat souhaiterait également créer un droit à la récupération et à la portabilité des données non personnelles pour les personnes concernées.

Pour aller plus loin :

  • RGPD, articles 12 à 22
  • Lignes directrices du G29 sur la portabilité
  • Lignes directrices du G29 sur le profilage (en anglais)

4.5 …, et, en cas de transfert de données, respecter les exigences spécifiques

Le RGDP ne modifie pas en l’état les règles déjà applicables en matière de transfert des données à caractère personnel en dehors de l’Union. En revanche, si vous avez mis en place des règles contraignantes, vous devez les revoir et compléter à l’aune des dispositions du RGPD.

Les transferts de données doivent, pour être réguliers :

  • être fondés sur une décision d’adéquation :

A noter qu’à partir du 25 mai 2018, les pays considérés comme ayant un niveau de protection adéquat au transfert des données ne seront plus fixés par les Etats membres mais par la Commission européenne.

La Commission européenne prend une décision d’adéquation lorsqu’elle constate que le pays tiers assure un niveau de protection adéquat. Ce contrôle de l’adéquation fait l’objet d’un réexamen au moins tous les 4 ans et ses décisions sont publiées au Journal officiel de l’UE.

Par exemple : si vous souhaitez transférer les données personnelles que vous traitez aux USA, vous devrez alors vous référer au « Privacy shield », entré en vigueur le 1er août 2016. Il s’agit d’un mécanisme d’auto-certification pour les entreprises établies aux USA, qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel. Il convient donc dans cette situation que vous vous assuriez que la certification de la société américaine est bien valide (celle-ci devant être renouvelée tous les ans) et qu’elle couvre bien les données que vous traitez. Pour ce faire, consultez la Liste du Bouclier de Protection des Données publiée sur le site du Département du Commerce américain.

  • à défaut, être accompagnés des garanties appropriées et permettre l’exercice effectif des droits des personnes concernées. Les garanties appropriées peuvent être fournies par plusieurs moyens, et notamment :
    • par des règles d’entreprise contraignantes,
    • par des clauses types de protection de données (adoptées par la Commission, ou adoptées par les autorités de contrôle et approuvées par la Commission),
    • par un code de conduite ou un mécanisme de certification.

Enfin, des dérogations pour des situations particulières peuvent être autorisées (par exemple lorsque vous obtenez le consentement de la personne concernée ou que le transfert est nécessaire à la conclusion de votre contrat) si le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, ou enfin est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, qui doit alors dans tous les cas avertir l’autorité de contrôle du transfert.

Cette dérogation est également envisageable si vous poursuivez des motifs importants d’intérêt public.

Pour aller plus loin :

  • RGPD, articles 45 à 47
  • Page de consultation sur le transfert des données sur le site de la CNIL

V. Conséquences des manquements

L’un des objectifs du Règlement est de renforcer la confiance, aussi bien entre les entreprises elles-mêmes, mais également entre les entreprises et les personnes physiques. Ainsi, un manquement constaté risque avant tout d’impacter votre crédibilité sur la scène nationale et internationale.

En outre, vous vous exposez à des poursuites aussi bien par les autorités, que par les personnes concernées.

Les autorités de contrôle nationales, dont la CNIL, possèdent des prérogatives étendues :

  • d’enquête (obtenir la communication d’informations, mener des enquêtes ou des audits sur la protection des données, accéder aux données, aux locaux, aux moyens de traitement,…), et
  • d’injonction et sanction (avertissement, rappel à l’ordre, demande de mise en conformité, demande de rectification ou d’effacement, limitation ou interdiction de traitement, retrait de certification, prononcé d’une amende administrative, etc.

Le RGPD contient des conditions générales sur le prononcé d’amendes administratives, qui devront être non seulement effectives, mais également proportionnées et dissuasives. Elles pourront s’élever à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, selon les caractères de la violation du Règlement. Le montant le plus élevé est retenu.

A savoir que votre comportement suivant le constat d’une violation du Règlement (par ex. le fait de procéder à un audit de sécurité postérieurement à la résolution d’une violation de données) est apprécié par la CNIL et pourrait, le cas échéant, vous permettre de bénéficier d’une peine allégée.

En France, si le Sénat souhaitait que le produit des amendes prononcées par la CNIL soit affecté au financement de mesures d’accompagnement des responsables de traitement pour la mise en conformité de leurs traitements, cette proposition n’a pas été retenue par l’Assemblée Nationale dans son projet de loi.

Le comité européen de la protection des données, organe de l’UE composé des chefs des autorités de contrôle de chaque Etat membre, qui remplace le G29 à partir du 25 mai 2018, assure un rôle de régulateur : il assure la cohérence des interventions des différentes autorités de contrôle nationales et règle les litiges lorsque les autorités se retrouvent dans une position d’extraterritorialité ou de « territorialité partagée » (lorsque les personnes parties au litige appartiennent à différents états membres). Il assure le respect du Règlement dans le cadre des décisions les plus importantes prises par les autorités de contrôle, en lien par exemple avec les analyses d’impact.

Les personnes concernées peuvent mettre en place une action de groupe : celle-ci, déjà prévue en droit français, ne peut tendre actuellement qu’à la cessation du manquement, tel que l’arrêt d’un traitement illicite.

L’action de groupe n’est envisageable que lorsque plusieurs conditions cumulatives sont remplies, à savoir :

  • plusieurs personnes physiques,
  • placées dans une situation similaire,
  • subissant un dommage ayant une cause commune,
  • qui est un manquement aux dispositions de la Loi informatique et libertés (et bientôt au RGPD),
  • de même nature,

par un responsable de traitement des données ou par un sous-traitant.

Le Règlement n’impose aucune réparation pour le dommage subi (articles 79, 80 et 82) : cette possibilité a été laissée à la discrétion des législations nationales.

En France, le projet de loi sur la protection des données personnelles permet à l’action de groupe la réparation des dommages causés par la violation du RGPD, mais cette action de groupe est limitée à la réparation des dommages dont le fait générateur est survenu postérieurement au Règlement.

Pour aller plus loin :

EN CONCLUSION :

Compte tenu de la complexité des exigences évoquées, une bonne organisation est essentielle.

Il conviendra, pour vos activités de traitement de données en cours et à venir, si ce n’est déjà fait :

  • d’identifier les collaborateurs internes et externes en mesure de piloter la mise en conformité, de sorte à disposer à tout moment de l’ensemble des compétences nécessaires : juridiques, techniques, opérationnelles ;
  • le cas échéant, de désigner un DPO ;
  • le cas échéant, de mettre en place un registre des traitements ;
  • d’identifier vos besoins en termes de traitements de données et de cartographier les traitements en cours et envisagés ;
  • d’analyser chaque traitement par rapport à l’ensemble des critères juridiques, techniques et organisationnels afin de pouvoir lister les adaptations nécessaires par rapport aux exigences légales ou, à défaut, les mesures à prendre pour en restreindre la portée,
  • d’évaluer et de valider les mesures de mise en conformité nécessaires,
  • de mettre en œuvre les mesures validées
  • de réitérer les dernières étapes pour chaque changement intervenu au niveau des traitements que vous mettez en œuvre.

Il est fortement conseillé de mettre en place des outils (fiches, notes, consignes) et des process (veille, information, consultation, prise de décision, etc.) aussi bien pour la mise en conformité initiale que pour son maintien.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données