Chaque semaine apporte son lot de scandales relatifs à l’utilisation de données personnelles illégalement collectées.
Le scandale Cambridge Analytica révélé courant mars 2018 ne cesse d’alimenter les peurs. Des données personnelles, dont le traitement a pu influencer l’arrivée de Donald Trump à la Maison Blanche, ont été collectées à très grande échelle via un « test de personnalité » mené à l’origine auprès de 270.000 utilisateurs du réseau Facebook [1], mais dont le traitement viserait finalement les données de plus de 87 millions de personnes [2]. Dans la foulée, l’action de Facebook au Nasdaq plongeait de 20 %, retombant au niveau de sa valorisation de juillet 2017.
Les médias amplifient considérablement les « fuites » de données et les réactions des entreprises
Début avril, on apprenait que le site de rencontres Grindr aurait donné accès à des prestataires externes à des données aussi sensibles que l’orientation sexuelle et le statut VIH de nombre de ses utilisateurs [3], sans leur consentement.
Dans ces deux affaires, les pertes d’informations ne sont pas consécutives à un « piratage » ou à une défaillance technique mais bien causées par des politiques volontaires des sociétés collectrices de données, connues de longue date [4] : au vu de la gravité des infractions, on est cependant frappé par la timidité des réponses judiciaires apportées en France et en Europe.
La CNIL a certes condamné en avril 2017 la société de droit américain Facebook Inc. et sa filiale irlandaise au paiement d’une amende de 150.000 euros pour avoir collecté des informations sensibles relatives aux origines raciales ou ethniques, aux opinions religieuses ou à l’orientation sexuelle de ses utilisateurs sans avoir au préalable obtenu leur consentement libre et éclairé [5]. Ce montant reste dérisoire au regard des amendes administratives qui pourront être prononcées à compter du 25 mai 2018.
De même en décembre dernier [6], la CNIL mettait en demeure la société WhatsApp (acquise par Facebook en 2014) de transmettre à Facebook les données de ses utilisateurs sous condition d’avoir obtenu leur consentement préalable [7].
La judiciarisation est incontournable, à la suite du renforcement des règles et des sanctions encadrant le traitement des données personnelles.
En Allemagne, un tribunal civil berlinois condamnait le 12 février 2018 Facebook pour avoir activé par défaut plusieurs paramètres d’utilisation de son site et l’enjoignait à renforcer l’information due à ses utilisateurs sous peine de sanction de 250.000 euros par infraction constatée [8].
Le 16 février 2018, le Tribunal de première instance de Bruxelles confirmant la décision de la Commission de la protection de la vie privée – la CNIL belge [9] – imposait au réseau social de cesser d’enregistrer les comportements de navigation des personnes tant qu’il ne se conformerait pas au droit belge, et de détruire toutes données à caractère personnel obtenues illégalement, sous astreinte de 250.000 euros par jour dans la limite de 100 millions d’euros [10].
Le 17 avril, la Quadrature du net annonçait une campagne d’actions de groupe dirigées contre les GAFAM en ce qu’ils contournent ou se passent du « consentement » des internautes au traitement de leurs données [11].
Ces premières réponses judiciaires en annoncent d’autres : la judiciarisation des enjeux de protection de la vie privée est inexorable [12]. L’anticipation par les sociétés utilisant des données personnelles des risques encourus est devenue primordiale.
L’impact considérable du RGPD sur la force contraignante des standards de protection des données personnelles.
Il n’est pas inutile de rappeler que le RGPD est un règlement de l’Union : il est par nature d’application directe et sera uniformément appliqué dans l’ensemble des États membres, ce qui n’est pas le moindre de ses apports [13]
Il fait pourtant actuellement l’objet d’un texte de « réception » en droit français couplé avec la transposition de la directive (UE) 2016/680 du 27 avril 2016 [14]. Applicables l’un et l’autre dès le 25 mai 2018, ils inversent la logique déclarative des traitements de données et renforcent la responsabilité des acteurs.
Le RGPD étend aussi le champ d’application des règles aux acteurs non établis sur le territoire d’un État membre de l’Union : les entreprises étrangères qui proposent des produits et services aux consommateurs européens sont désormais concernées par l’application du RGPD.
Quant aux sanctions encourues pour violation du nouveau cadre de protection, elles vont s’aggraver sensiblement, au pénal comme au civil. Les amendes civiles pourront atteindre jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de la société réfractaire, voire 4% en cas de violation des principes fondateurs du RGPD [15]. À noter que ces sanctions encourues en cas de violation du règlement « e-Privacy » du Parlement européen et du Conseil seront probablement de même ampleur [16].
Bien appliqué, le RGPD constitue un véritable instrument de gestion de crise.
De nombreuses sociétés affirment avoir déjà intégré dans leurs process les nouvelles normes du RGPD. Cette opération est l’occasion de redéfinir le périmètre des données personnelles utilisées, caractériser leur sensibilité, vérifier le consentement des personnes concernées à la collecte et au traitement, les informer de leurs droits, revoir les politiques contractuelles à l’égard des sous-traitants et des clients finaux ou des prospects.
Le RGPD institue des instruments proposant de nouvelles politiques de gestion des données personnelles : déclaration obligatoire résiduelle auprès de la CNIL de certains traitements de données sensibles, désignation d’un DPO, tenue de registres des activités de traitement, mise en place d’audits, d’analyses d’impact (Art. 35 du RGPD), certifications, etc.
Ces nouveaux instruments doivent être couplés à des pratiques renforcées de sécurité de l’information : étanchéité entre traitements, sécurité des flux, politique de sécurité, chiffrement ou pseudonymisation des données, gestion des habilitations, application des durées légales d’archivage exploitation des traces, etc.
Naturellement, une politique de prévention des fuites d’information (ou data leak prevention) permettra d’identifier les étapes (repérage des vecteurs de fuite et solutions) et d’inventer les actions efficaces pour couvrir ces risques (sensibilisation, contrats, outils, etc.)
La mise en œuvre loyale de ces instruments constitue incontestablement une première réponse adaptée à la gestion des risques associés au traitement des données : il est plus que probable qu’en cas d’audit par une autorité de contrôle ou de contentieux civil ou pénal, le fait pour le responsable du traitement d’établir que des dispositions techniques et juridiques ont été adoptées amoindrira sensiblement le risque de sanction. La mise en place de ces réponses issues du RGPD sera l’occasion de réfléchir à d’autres actions juridiques, y compris en indemnisation des préjudices propres subis par la société responsable des traitements de données.
Les responsables de traitement doivent d’ores et déjà anticiper les notifications à venir de violation de données personnelles.
En marge de la mise en œuvre de ces instruments, il existe une autre obligation créée par le RGPD : les sociétés confrontées à un incident dans le traitement ou le transfert de données personnelles devront signaler cette faille de sécurité aux autorités concernées. L’article 33 du RGPD encadre ce signalement dans un délai très court de 72 heures, dont le respect influera assurément sur la décision subséquente de l’autorité de contrôle. Une autre notification devra être faite aux personnes concernées par la violation, selon des modalités distinctes, si l’incident peut générer un risque élevé pour les droits de ces personnes (Art. 34 du RGPD).
Dans ce délai, il incombera au responsable du traitement de prendre plusieurs décisions stratégiques, et d’abord celle d’apprécier la pertinence du signalement : l’article 33 réserve le cas où « la violation en question [n’est] pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
Or, la teneur du signalement est vaste puisqu’il couvre les faits de la violation, ses effets et les mesures prises pour remédier à l’incident. Une documentation spécifique devra notamment être transmise à la CNIL. Mais le responsable du traitement conserve là aussi une latitude.
Comment l’entreprise doit-elle anticiper les notifications de fuite de données ?
La préparation en amont de ces notifications demeure la part visible et sanctionnée de la mise à niveau requise par le RGPD. Cette préparation sera plus déterminante encore pour les TPE PME et ETI, comme l’indique le rapport d’information de l’Assemblée nationale sur les incidences des nouvelles normes européennes en matière de protection des données personnelles en droit français [17].
L’entreprise doit anticiper le risque de perte de données en construisant un dispositif de gestion de crise. Il est nécessaire pour cela d’identifier les actions prioritaires, de simuler la crise potentielle et de sensibiliser tous les acteurs, internes et externes.
L’enjeu est déterminant : au-delà de la seule mise en conformité au RGPD, l’anticipation par l’entreprise du risque de fuite d’information peut être, en cas de crise, un facteur déterminant de limitation de sa responsabilité, et d’un gain considérable de temps.