Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Le Règlement Général sur la Protection Des Données : l’heure des bonnes résolutions tourne.

Par Jonathan Elkaim, Avocat.

En ce contexte de nouvelle année, 2018 annonce l’avènement d’un des chantiers juridiques les plus importants du droit des données personnelles et des nouvelles technologies avec l’entrée en application, le 25 mai prochain, du fameux et tant redouté, « Règlement général sur la Protection des Données » n°2016/679 adopté le 27 avril 2016 (ci-après RGPD).
Le temps presse pour les responsables de traitement qui n’ont désormais plus que cinq mois pour se conformer à l’ensemble de ses dispositions.

A la suite de la présentation du projet de loi, par le Garde des Sceaux le 13 décembre dernier, visant à adapter la loi Informatique et Libertés à ce nouveau cadre juridique, il convient de revenir sur les apports (I) mais également les impacts du RGPD sur le droit français (II).

I. Les apports du RGPD

La finalité du RGPD prévue en son article 1er est de « protéger les droits et libertés fondamentaux des personnes  » en ce compris, le droit à la protection de leurs données personnelles, tout en assurant une libre circulation des données relatives aux activités économiques et sociales.

Et pour ce faire, le RGPD met désormais à la charge de tout Responsable de traitement situé sur le territoire de l’Union Européenne – à l’exception toutefois des autorités judiciaires en charge « de la prévention et de la détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales  » (article 2 alinéa 2, d) du Règlement 2016/679) – une nouvelle série d’obligations (i) assorties de sanctions (ii).

(i) S’agissant des nouvelles obligations définies par le RGPD

Outre le renforcement du droit à l’information (a) et du recueil du consentement des personnes (b), le RGPD instaure un nouveau principe d’accountability à la charge de tout Responsable de traitement (c), impliquant la désignation d’un Data Protection Officer (d).

a. Le renforcement du droit à l’information

Les articles 13 et 14 du RGPD instaurent une obligation d’information à l’égard des personnes concernées avant tout traitement de données, laquelle doit prévoir la communication d’un ensemble d’éléments dont elles doivent avoir nécessairement connaissance.

La particularité réside dans le fait que les modalités et la teneur de ce droit à l’information vont différer dès lors que la collecte a été effectuée directement auprès de l’intéressé (1) (article 13 du Règlement 2016/679) ou par l’intermédiaire d’un tiers (2).

1.Dans l’hypothèse d’une collecte d’informations directe

L’alinéa 1er de l’article 13 du Règlement 2016/679 dispose que le responsable du traitement doit désormais fournir, au moment où les données en question sont obtenues, toutes les informations suivantes :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
  • son intention éventuelle d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une protection adéquate desdites données ;

Outre ces informations, l’alinéa 2 de cet article impose également au Responsable de traitement la fourniture d’informations « complémentaires » destinées à « garantir un traitement équitable et transparent », à savoir :

  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de solliciter l’accès aux données, leur rectification ou leur effacement ainsi qu’une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • l’existence du droit de diligenter une procédure auprès d’une autorité de contrôle telle que la Commission Informatique et Liberté (CNIL) en France ;
  • L’existence d’une prise de décision automatisée, « y compris un profilage », ainsi que toutes les informations nécessaires concernant la logique de l’algorithme, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

S’agissant de cette dernière obligation, il convient de préciser que le RGPD prévoit en son article 22 que la personne concernée puisse bénéficier d’une intervention « humaine » dans le cadre du traitement des informations et qu’elle peut également s’opposer à la décision du responsable de traitement.

Enfin, l’article 34 du règlement dispose que le Responsable de traitement doit désormais informer la personne concernée de toute violation de ses données à caractère personnel dès lors que celle-ci est susceptible d’engendrer « un risque élevé pour les droits et libertés fondamentales » (telle qu’une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel).

2. Dans l’hypothèse d’une collecte d’information auprès d’un tiers

L’article 14 du RGPD reprend pour l’essentiel les obligations précitées mais intègrent toutefois certaines subtilités à raison de la nature du traitement opéré.

Ainsi, lors de la collecte des données recueillies auprès du tiers, le Responsable de traitement doit fournir les catégories de données à caractère personnel concernées par le traitement (article 14 d) Règlement 2016/679).

De même, et dans le cadre de la fourniture d’informations « complémentaires », le Responsable de traitement doit désormais fournir « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (article 14 alinéa 2 f) Règlement 2016/679).

Les délais impartis pour fournir de telles informations diffèrent également de ceux réservés à la collecte « directe  » puisque l’article 14 alinéa 3 dispose que le Responsable de traitement doit y procéder « dans un délai raisonnable », lequel ne doit toutefois pas dépasser « un mois ».

Ce même alinéa prévoit toutefois que si de telles données doivent être utilisées à des fins de communications avec la personne concernée, le Responsable de traitement devra fournir ces informations « au plus tard au moment de la première communication » (article 14 alinéa 3 b) Règlement 2016/679), tandis que dans le cadre de la communication de ces informations à un autre destinataire, ces informations devront parvenir au plus tard lors de ladite communication (article 14 alinéa 3 c) Règlement 2016/679).

Enfin, l’article 14 du RGPD prévoit également trois hypothèses dans lesquelles l’obligation d’information ne pèse pas sur le Responsable de traitement (article 14 alinéa 5 Règlement 2016/679) :

  • Lorsque la fourniture de telles informations est impossible où nécessite des efforts « disproportionnées » ;
  • Lorsque l’obtention et la communication de telles informations sont déjà prévues par le droit communautaire ou par le droit d’un Etat Membre ;
  • Lorsque les données sont soumises à une obligation de confidentialité au regard du secret professionnel.

b.Un renforcement concernant le recueil du consentement

Le RGPD définit en son article 4 alinéa 11 la notion de consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Si cette définition reste identique à celle donnée par l’article 2 de la désormais défunte directive 95/46 CE, elle a toutefois le mérite d’insister sur un nouvel élément essentiel : le Responsable de traitement doit désormais obtenir un consentement exprès de la personne concernée et doit même en mesure de pouvoir en justifier.

La notion de « déclaration » ou « d’actes positifs » fait clairement peser sur le Responsable de traitement la charge de la preuve du recueil du consentement de la personne intéressée.

L’article 7 du RGPD vient d’ailleurs clairement conforter cette hypothèse dès lors qu’il est désormais indiqué que le responsable du traitement doit être « en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel ».

En pratique, cela impliquera que le Responsable de traitement ne pourra se prévaloir d’une inactivité ou d’une abstention de la personne de la personne concernée pour se prévaloir de son consentement mais devra au contraire, s’assurer qu’une déclaration écrite a bien été signée ou qu’une case a bien été cochée par l’intéressé.

Ce consentement devra, en considération des exigences posées par l’article 4 du RGPD, avoir été donné une fois que l’ensemble des informations obligatoires auront été communiquées par le Responsable de traitement (cf.infra 1) de manière compréhensible et accessible.

A défaut la notion de consentement « éclairé  » pourrait faire défaut.

De même la notion de manifestation « spécifique » suppose que le consentement recueilli ne vaut que pour un traitement de données particulier de sorte que si d’autres questions nécessitent un tel traitement, le responsable devra présenter une nouvelle demande afin de les distinguer.

C’est donc au regard de ces subtilités que le Responsable de traitement devra désormais faire face.

c. L’instauration du principe d’accountability

Véritable pierre angulaire des principes dégagés par le RGPD, cette notion se définie comme l’obligation pour chaque Responsable de traitement de mettre en œuvre un dispositif de nature à assurer la parfaite conformité du traitement des données aux exigences du Règlement 2016/679.

Le principe d’accountability suppose qu’un certain nombre de mesures soient mises en œuvre par les responsables de traitement telles que :

  • La tenue d’un registre des activités,
  • La mise en place de procédures internes destinées à assurer la protection des données « dès la conception » (Privacy by design),
  • L’analyse préalable des « impacts » susceptibles d’être générés par la mise en œuvre de certains traitements.
  • S’agissant du registre des activités de traitement, le RGPD prévoit en son article 30, que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement  » doivent désormais tenir un tel registre « sous leur responsabilité ».

Ce registre devra mentionner outre les coordonnées complètes du responsable de traitement, sa finalité, les catégories de personnes et des données concernées mais également « une description générale des mesures de sécurité techniques et organisationnelles » (article 30 g) Règlement 2016/679).

En outre, la notion de « responsabilité » énoncée à l’article 30 implique qu’un tel registre devra être rigoureusement mis à jour par le Responsable de traitement en fonction des modifications ou ajouts et devra revêtir une forme écrite afin de pouvoir justifier, le cas échéant, à l’autorité de contrôle, de l’ensemble des mesures réalisées.

L’alinéa 5 de l’article 30 dispose toutefois qu’une telle obligation ne pèse pas sur les « entreprise[s] » ou « organisation » comptant moins « de 250 employés ».

Il convient néanmoins de faire preuve de prudence dès lors que cette exception ne vaut que « si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Ainsi tout traitement qui aurait vocation à s’étendre sur la durée nécessitera la tenue d’un tel registre et ce, peu importe que le nombre de salariés soit inférieur à 250 employés.

  • S’agissant du principe de Privacy by design, le RGPD insiste sur la nécessité de mettre en place des mesures permettant de tenir compte de la protection des données dès leur réalisation afin de s’assurer que les opérations liées à leur collecte soient conformes aux dispositions légales.

Une telle protection peut être mise en œuvre de différentes manières en procédant à titre d’exemple à un chiffrement des données afin de limiter l’accès à leur contenu, la minimisation des données traitées, ou encore la limitation des personnes susceptibles d’y accéder.

Les responsables de traitement devront donc anticiper l’ensemble des contraintes liées à la collecte des données et en lien avec la conception de leur produit et service.

  • S’agissant de l’analyse préalable des impacts, l’article 35 du RGPD prévoit que lorsqu’ un traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », le responsable doit réaliser « une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel » afin de s’assurer qu’elles sont bien conformes aux dispositions du Règlement.

Cette analyse concernera :

  • Les traitements de données à grande échelle ;
  • La surveillance systématique à grande échelle d’une zone accessible au public (notamment la vidéosurveillance) ;
  • Les décisions automatisées produisant des effets juridiques (au regard notamment des offres de prestations, ou le choix de contractualisation) ;
  • Le traitement de données sensibles telles que les opinions politiques et religieuses, les données de santé ou l’orientation sexuelle) ;
  • L’évaluation ou la notation basée sur des données personnelles, tel que « le profilage  » ;
  • Le traitement de données relatives à des condamnations pénales et à des infractions ainsi que les données biométriques,.

Ce faisant et afin de réaliser une étude conforme aux prescriptions du RGPD, le Responsable de traitement devra réaliser les opérations suivantes :
1. Identifier les traitements et leurs finalités,
2. Effectuer un contrôle de proportionnalité des traitements au regard du but poursuivi,
3. Identifier les risques éventuels pour les droits et les libertés des personnes concernées,
4. Indiquer les mesures envisagées pour endiguer les risques précités ainsi que les garanties y afférentes.

L’article 36 du RGPD dispose en outre que si à l’issu d’une analyse d’impact, le traitement en cause présente un risque élevé pour les droits et libertés des personnes, sans pour autant que le responsable ne prenne de mesures pour y remédier, l’autorité de contrôle (en l’occurrence la CNIL) devra être consultée préalablement.

d. la nomination d’un Data Protection Officer (DPO)

L’article 37 du RGPD prévoit désormais la nomination obligatoire d’un DPO dans trois types de structures que sont :

  • Les autorités et organismes publics (telles que les préfectures, ministères ou mairies) ;
  • Les organismes dont l’activité nécessite un suivi régulier et à grande échelle des personnes concernées (telles que les banques, les sociétés d’assurances et mutuelles) ;
  • Les organismes traitant de données sensibles à grande échelle comme les organismes de santé.

Le DPO sera en charge de la conformité du traitement des données collectées aux prescriptions du RGPD et sera, en conséquence, amené à contrôler les différentes diligences liées à la mise en œuvre du traitement dès sa conception.

Cette fonction suppose que le DPO devra assister aux différentes réunions liées à un projet et devra émettre un avis mais également des recommandations.

De l’avis de la Commission Informatique et Libertés, le DPO devra être le « Pilote » permettant d’assurer la conformité des différentes prescriptions du RGPD.

Ce faisant, celui-ci devra être pluridisciplinaires et intervenir dans l’ensemble des domaines clés de l’organisme qui le nommera.

Il devra en conséquence s’entourer d’un large réseau de spécialistes des secteurs clés du responsable de traitement.

Cette communication sera d’autant plus nécessaire dans le cadre de l’analyse d’impact, dès lors que le DPO ne pourra, à lui seul, estimer le niveau de risque d’un système informatique sans l’avis de la direction en charge de sa gestion.

De même, dans le cadre de l’évaluation des risques, le DPO devra nécessairement s’entourer de spécialistes en audit afin de mesurer ceux inhérents au traitement concerné.

A raison de sa position hiérarchique nécessairement élevée au sein de l’organisation concernée, le DPO devra disposer de ressources humaines et financières élevés afin de lui permettre de mener à bien l’ensemble des missions qui lui seront dévolues.

La dotation du DPO ne sera toutefois rendue obligatoire que dans les trois cas précités, de sorte qu’une société dont l’activité n’a pas pour objet un traitement de ressources humaines, ne sera pas contrainte de procéder à sa nomination.

Pour autant, le caractère facultatif de cette nomination ne doit pas inciter les sociétés ou organismes à exclure l’avantage de compter un DPO sans leur rang dès lors qu’il constituera un relais de choix entre les autorités de contrôle et ces derniers.

Il convient d’ailleurs de rappeler que le G29 au même titre que l’Association Data Protection Officers, recommandent fortement la nomination de DPO afin notamment d’éviter de fortes sanctions financières.

(ii). S’agissant des sanctions liées au non-respect des obligations définies par le RGPD

La conformité aux obligations posées par le RGPD sont d’autant plus nécessaires que les sanctions attachées à leur manquement sont proprement dissuasives dès lors que les responsables de traitement peuvent encourir une amende administrative pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaire mondial de l’exercice précédents selon lesdits manquements.

Ainsi, le non-respect du recueil du consentement de la personne concernée ou la collecte de données sensibles telles que les convictions religieuses ou l’état de santé entraineront, pour le responsable de traitement, une condamnation à de tels seuils (article 83.5 du Règlement 2016/679).

Il s’agit donc d’un enjeu de taille pour l’ensemble des acteurs concernés lesquels devront constamment veiller à la proportionnalité, l’adéquation, la pertinence et la nécessité du traitement de données avec sa finalité.

Le respect des dispositions du RGPD semblent d’autant plus nécessaires que les dernières sanctions prononcées par la Commission Informatique et Libertés, en matière de manquement à la sécurité des données personnelles collectées, laissent entrevoir l’influence grandissante du Règlement.

II. L’impact du RGPD sur les premières décisions rendues en matière de sécurité des données personnelles

L’imposant cadre juridique dressé par le RGPD a semble-t-il déjà reçu une application concrète à en juger les deux décisions récemment rendues par la CNIL les 18 et 20 juillet derniers relatives aux sociétés HERTZ (Délibération n°SAN-2017-010 du 18 juillet 2017) et OUICAR (Délibération n°SAN-2017-011 du 20 juillet 2017).

Dans la première affaire, la Commission a prononcé une sanction financière d’un montant de 40.000 € à l’encontre de la société HERTZ, laquelle avait subi une violation de son système de sécurité permettant un accès aux données personnelles de près de 36.000 clients.

Bien qu’à la suite de l’alerte donnée par la CNIL, la société HERTZ a immédiatement alerté son sous-traitant en charge de la sécurité des données traitées, et que la violation ait manifestement cessée, la Commission a estimé qu’une telle violation résultait d’une négligence dans la surveillance des actions du sous-traitant justifiant ainsi la sanction pécuniaire mais également la publicité de la délibération entreprise.

Dans la seconde affaire, la CNIL a constaté que le traitement de données ms en œuvre par la société OUICAR permettait d’accéder à une liste de véhicules mis en location ainsi qu’aux données personnelles des propriétaires et locataires amenées à déposer un avis sur les prestations de la société.

Bien que la société OUICAR ait également remédié à la défaillance de son système de traitement, la CNIL a de nouveau considéré qu’une telle violations des données ne pouvait résulter que d’une négligence de la société qui aurait dû restreindre l’accès aux fichiers litigieux par un processus d’identification.

En dépit de la réactivité de la société OUICAR , la CNIL a relevé qu’à raison du très nombre de personnes impactées par cette défaillance et du nombre de catégories de données concernées, la divulgation litigieuse revêtait un caractère particulièrement grave justifiant le prononcé d’un avertissement et la publicité de la décision.

Ces deux décisions, postérieures à l’entrée en vigueur du RGPD le 25 mai 2016, démontrent un changement de logique de la part de la CNIL qui semble tout d’abord beaucoup plus encline à rendre publique ses décisions notamment en matière de sécurité des données personnelles.

Ainsi, en l’absence, durant encore quelques mois, de l’obligation de notifier à l’autorité nationale une violation de données personnelles susceptibles de présenter « un risque élevé pour les droits et libertés », la CNIL rappelle au bon souvenir des responsables de traitement, qu’ils leur appartiennent de rester vigilant et de mesurer l’étendue des devoirs qui leur incombent en matière de sécurité de données.

C’est d’ailleurs certainement à cette fin que la CNIL a prononcé une condamnation pécuniaire à l’encontre de la société HERTZ et ce, en l’absence de toute mise en demeure préalable alors même qu’une telle sanction ne peut être mise en œuvre que lorsque le manquement « ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure » conformément à l’article 64 de la loi n°2016-1321 du 7 octobre 2016.

L’ombre du RGPD semble d’autant plus grandissante que la CNIL semble suivre la méthodologie suivie par le Règlement pour prononcer la sanction envers les deux sociétés.

L’article 83 du RGPD dispose que « pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative il est dûment tenu compte, dans chaque cas d’espèce » de différents critères tels que « la nature, la gravité, et la durée de la violation  » au regard du nombre de personnes concernées.

Or, c’est précisément sur de tels critères que la CNIL va justifier sa sanction dans chacune des délibérations précitées, se référant notamment au nombre de personnes impactées par ces failles de sécurité, à savoir près de 36.000 personnes pour la société HERTZ France et 52.000 pour la société OUICAR .

De même, la CNIL n’a pas manqué de rappeler dans la décision du 20 juillet 2017 (Délibération n°SAN-2017-011), que la durée de la violation avait été extrêmement longue, à savoir près de 3 ans, justifiant, malgré la réactivité de la société OUICAR, le prononcé d’un avertissement public.

Étrangement, la CNIL n’a pas semblé suivre les dispositions du RGPD sur la responsabilité des sous-traitants prévue en son article 82, dès lors qu’elle semble, dans ces deux décisions, totalement insensibles aux carences du prestataire.

Cette appréciation sera sans doute amenée à être modifiée lors des prochaines décisions et à mesure que l’entrée en application du RGPD se rapproche.

Jonathan ELKAIM - Avocat au Barreau de Paris

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

121 votes