I. Les principaux apports du règlement européen sur la protection des données.
A. Le renforcement de la protection des personnes.
Le renforcement de la protection des personnes concernées par un ou des traitement(s) de données à caractère personnel se perçoit à trois niveaux.
1. L’extension du champ d’application territorial.
Le Règlement européen s’appliquera dès lors que le responsable de traitement ou son sous-traitant, qu’ils soient établis ou non sur le territoire de l’Union européenne, mettront en œuvre un traitement visant à fournir des biens et des services aux résidents européens ou à les cibler.
2. La masse d’informations à délivrer à la personne concernée par un traitement.
Le Règlement prévoit qu’une information concise, formulée en des termes clairs et précis doit être délivrée à la personne concernée par le traitement.
Ainsi, outre une information classique relative aux finalités du traitement, à la durée de conservation des données, aux destinataires éventuels et aux transferts des données hors de l’Union européenne, la personne devra être informée :
du fondement du traitement (consentement, exécution d’un contrat, obligation légale/ réglementaire ou intérêt légitime du responsable) ;
des coordonnées du responsable de traitement et du délégué à la protection des données ;
des modalités d’exercice de ses droits d’accès, de rectification, de limitation et de suppression sur ses données ;
de son droit de retirer son consentement ;
de l’existence ou non d’une prise de décision automatisée fondée sur le traitement ;
de la possibilité d’introduire une réclamation auprès de l’Autorité nationale de protection des données, la CNIL en France.
3. La reconnaissance de nouveaux droits.
Le droit à la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable et, le cas échéant, de les transférer ensuite à un tiers ;
Pour les mineurs de moins de 16 ans : pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans : le responsable du traitement doit s’efforcer « raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles. »
Les actions collectives : les associations actives dans le domaine de la protection des droits et des libertés des personnes auront désormais la possibilité d’introduire des recours collectifs en matière de données personnelles.
B. La responsabilisation des acteurs.
1. Trois grands principes à respecter :
Le principe de l’« Accountability » : le responsable du traitement ou le sous-traitant doit mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Le principe du « Privacy By Design » : toutes les mesures techniques et organisationnelles doivent être mises en œuvre par le responsable du traitement et le sous-traitant, « tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même ».
Le principe du « Privacy by default » : le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées « pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». C’est le principe connu en droit français de la minimisation des données. Ce principe s’applique non seulement à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, mais aussi à leur durée de conservation et à leur accessibilité (les données doivent n’être accessibles qu’aux personnes qui en ont strictement besoin en fonction de la finalité du traitement).
La conséquence de cette responsabilisation des acteurs est la suppression des formalités préalables dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes, ou dans le cas contraire, la réalisation d’études d’impact.
A noter que le régime de formalités pourraient subsister en France si la loi à venir le décidait pour certains traitements.
Concernant les traitements d’ores et déjà soumis à autorisation car portant sur des données dites sensibles, ce régime d’autorisation pourrait également être maintenu par le droit national.
2. La notification des failles de sécurité :
En cas de violation d’une donnée à caractère personnel, le responsable doit :
informer l’autorité de contrôle compétente de la violation, dans un délai de 72 heures. Cette notification doit indiquer le nom et les coordonnées du DPO ou toute autre personne auprès de laquelle il sera possible d’obtenir des informations ;
informer la personne concernée de la violation des données à caractère personnel.
La responsabilisation des acteurs se matérialise enfin par l’augmentation des amendes administratives puisque désormais celles-ci pourront atteindre 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial de l’entreprise.
C. La désignation d’un Délégué à la Protection des Données.
Successeur naturel du Correspondant Informatique et Libertés (CIL), un Délégué à la Protection des Données devra obligatoirement être désigné dans trois situations :
1. Pour les traitements réalisés par une autorité ou un organisme public ;
2. Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle ;
3. Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.
La deuxième hypothèse de désignation obligatoire d’un délégué à la protection des données semble contraindre un très large panel d’organismes tant le traitement des données personnelles fait aujourd’hui partie intégrante de la vie des entreprises.
Les missions du Délégué à la Protection des Données sont prévues à l’article 39 du Règlement :
Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que l’ensemble de leur personnel ;
Contrôler le respect du Règlement et de la législation nationale ;
Conseiller l’organisme sur tout sujet relatif à la protection des données à caractère personnel (notamment, sur la pertinence d’une étude d’impact) ;
Coopérer avec l’autorité de contrôle : cette fonction est très importante, puisque le Délégué devra faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité.
II. L’obligation de mise en conformité.
Les différentes étapes à planifier et à réaliser avant le 25 mai 2018 sont les suivantes :
1. La désignation d’un pilote.
Ce pilote sera soit le délégué à la protection des données, soit une personne qui, disposant de relais internes, serait chargée de la mise en conformité au Règlement. Selon les termes de la CNIL, cette personne serait un « chef d’orchestre exerçant une mission d’information, de conseil et de contrôle en interne. »
2. La tenue d’un registre et la priorisation des actions.
Le premier pas dans le processus de mise en conformité est de réaliser un état de lieux (audit). Ainsi, il est recommandé aux organismes de demander auprès de la CNIL, sur le fondement de l’article 31 de la Loi informatique et Libertés, la liste des traitements ayant d’ores et déjà fait l’objet d’une déclaration.
Puis, chaque responsable de traitement devra mettre en place un registre, registre qui permettra de s’assurer de la conformité du traitement au Règlement, plus généralement de sa licéité.
Dans ce registre, conformément à l’article 30 du Règlement, devront notamment être mentionnés :
Le nom et les coordonnées du responsable de traitement ;
Les différents traitements de données personnelles ;
Les catégories de données personnelles traitées ;
Les différentes catégories de personnes concernées ;
Les objectifs poursuivis par les opérations de traitements de données ;
Les acteurs (internes ou externes) qui traitent ces données (identification des sous-traitants éventuels) ;
Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne ;
Les durées de conservation ;
La description générale des mesures de sécurité techniques et organisationnelles.
A partir de ce registre, il sera plus aisé pour le responsable de traitement d’identifier les actions à mener en priorité pour mettre en conformité un traitement de données personnelles.
3. La gestion des risques.
Dès lors que le responsable de traitement aura un doute quant au risque d’un traitement sur les droits et la vie privée des personnes, il devra mener une étude d’impact sur la vie privée.
Afin que l’étude d’impact soit la plus complète possible, et donc que les risques soient le plus précisément identifiés, il conviendra de faire figurer dans l’étude :
La description des traitements envisagés et des finalités afférentes et, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
L’étude et l’évaluation de la nécessité et de la proportionnalité des traitements envisagés ;
Les éléments relatifs à la sécurité des données : au titre de son obligation de sécurité, le responsable de traitement doit prendre toutes les mesures utiles pour préserver dans des conditions optimales de sécurité et de confidentialité les données personnelles, afin qu’elles ne soient ni déformées, ni endommagées, ni accessibles à des tiers non expressément autorisés ;
L’appréciation des risques sur les droits et libertés de la ou des personnes ;
Les mesures envisagées et nécessaires à la gestion du risque et à la mise en conformité au Règlement.
4. La sécurité des données et l’organisation interne.
Afin de protéger au mieux les données personnelles qui sont traitées, les organismes vont devoir mettre en place des procédures qui prendront en compte l’ensemble des événements pouvant affecter la protection desdites données, à savoir notamment les failles de sécurité, la gestion des demandes d’accès, ou encore le changement de sous-traitant.
5. La conservation de l’ensemble des documents nécessaires à la mise en œuvre du traitement et à la mise en conformité.
Conformément aux conseils formulés par la CNIL, « les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. »
Ainsi, concernant la documentation sur le traitement de données en lui-même, devront être conservés :
Le registre,
Les études d’impact sur la vie privée,
Les documents relatifs aux transferts des données hors Union européenne (ex. : les clauses contractuelles types, les Binding Corporate Rules).
Concernant l’information des personnes, devront être conservés :
Les mentions d’informations,
Les modèles de recueil du consentement des personnes concernées par le traitement,
Les modalités d’exercice de leurs droits d’accès, de rectification et de suppression par les personnes concernées par le traitement.
Enfin, concernant les rôles et responsabilités des acteurs, devront être conservés :
Les contrats de sous-traitance,
Les politiques de sécurité informatique,
Les procédures internes en cas de violation des données personnelles.
Il est également conseillé de rédiger des process (ex. : gestion des appels téléphoniques sortants, recrutement) et de conserver les supports de formation qui pourraient être dispensés en interne.
Tout cela doit être mis en œuvre avant le 25 mai 2018, date d’application du Règlement.
Discussions en cours :
Bonjour Maître,
Cet article est très intéressant et je vous en remercie. Je suis de très prêt cette réglementation et je voulais savoir comment vous interprétiez la notion de traitement à "grande échelle" pour la désignation du DPO ?
Merci d’avance.
Mademoiselle,
Je viens également d’écrire un article sur mon site sur le DPO. Voici le lien : http://avocatspi.com/2017/08/25/lobligation-de-designer-un-dpo-data-protection-officer-ou-dpd-en-francais-delegue-a-la-protection-des-donnees/