Le Règlement Général sur la Protection des Données ou General Data Protection Regulation (GDPR) a été définitivement adopté par le Parlement européen le 14 avril 2016 et entrera en application dans les états membres le 25 mai 2018. Ce règlement a un impact sur notre mission d’audit dans le cadre d’une reprise d’entreprise.

En quelques mots, le RGPD poursuit 3 objectifs :
 Renforcer les droits des personnes (droit à la portabilité des données, à la limitation du traitement, droit à l’oubli etc.)
 Responsabiliser les acteurs traitant des données (obligations de conformité au RGPD : obligation de sécurité des données, mise en place de règles internes, notifier les failles de sécurité à la CNIL) : l’application d’un code de conduite est un élément de preuve du respect des obligations.
 Crédibiliser la régulation des données personnelles (sanctions nouvelles en cas de non-conformité au RGPD).

Le règlement a pour objectif de renverser la charge de la preuve de la mise en place des mesures de sécurisation des données. Alors qu’auparavant (jusqu’au 25 mai prochain), le système reposait sur une logique de déclaration préalable à la CNIL voire d’autorisation, le nouveau système repose sur une logique de conformité (Principe d’accountability). Une entreprise aura l’obligation de prendre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (article 24 du RGPD).
Le RGPD s’appliquera à chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Les mesures à prendre sont :

 L’adoption de règles internes.
 La tenue d’un registre des activités de traitement qui attestera du respect des principes posés par le règlement (cartographie des traitements) (article 30 du RGPD).
 La réalisation d’une analyse d’impact relative à la protection des données, en cas de risque élevé pour les droits et libertés des personnes : EIVP. Cela est amené à s’appliquer notamment au traitement de données sensibles (données de santé par exemple) et au traitement reposant notamment sur l’évaluation systématique et approfondie d’aspects personnels des personnes physiques (exemple : profilage) (article 35 du RGPD).
 L’adoption de l’approche « Privacy by design » : les obligations pesant sur la collecte des données doivent être prises en compte dès la conception du traitement de données
 La mise en place d’audit de sécurité.
 La désignation d’un délégué à la protection des données (DPO-Data Protection Officer). Cette désignation est obligatoire dans les cas suivants mais la CNIL recommande la désignation de cette personne dans toute entité traitant des données personnelles puisque toute entreprise doit pouvoir lui rendre compte de l’état de ses traitements de données (article 37 du RGPD) :

• • a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
  • b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;ou
  • c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (origine raciale ou ethnique, opinions politiques, convictions religieuses etc.) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Notez que le DPO peut être une personne interne ou externe à l’entreprise. De nombreux cabinets de conseil et d’avocats proposent déjà ce service.

Qui doit prendre ces mesures :

 Le responsable du traitement doit mettre en œuvre des mesures pour s’assurer que le traitement est effectué conformément au RGPD. Ces mesures sont réexaminées et actualisées si nécessaire (article 24 du RGPD).
 Le sous-traitant : lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée (article 28 du RGPD). Cette relation doit être matérialisée par un contrat qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant respecte les obligations de confidentialité, de sécurité, de portabilité des données, une clause d’audit, etc.

Notez que les mesures sont légèrement différentes selon que l’on agit en qualité de responsable de traitement ou de sous-traitant (la finalité du traitement étant décidée par le responsable de traitement).
Ainsi, il n’y a pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par le RGPD.
Cette nouvelle réglementation présente un nouveau risque dans le cadre de l’acquisition d’une entreprise, d’autant plus lors que plusieurs études révèlent qu’à ce jour la majorité des entreprises n’est pas prête à se conformer à cette nouvelle réglementation.

Risque de sanction administrative :

Les autorités de contrôle peuvent notamment :
 Prononcer un avertissement ;
 Mettre en demeure l’entreprise ;
 Limiter temporairement ou définitivement un traitement ;
 Suspendre les flux de données ;
 Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
 Ordonner la rectification, la limitation ou l’effacement des données.

L’entreprise encourt des amendes administratives, qui peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Risque contractuel et extra-contractuel  :

Une partie, un salarié, un co-contractant pourrait engager la responsabilité de la société cible s’il subit un préjudice, matériel ou moral, causé par un manquement de la société à une obligation du RGPD (perte de données par exemples). Exemples :
 Un licenciement pourrait être remis en cause s’il est basé sur des preuves collectées à partir de traitement non conformes au RGPD.
 Une clause contractuelle prévoyant le transfert d’un fichier clients pourrait être annulée si elle n’est pas conforme au RGPD. La Cour de cassation a déjà eu l’occasion d’affirmer que tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par une société d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite. (Cass. Com. 25 juin 2013, n° 12-17037)

Préconisations :

Sur le plan juridique, un audit de conformité devra être réalisé.
Nos listes d’audit devront intégrer notamment les questions suivantes – une nouvelle rubrique « Sécurisation des données » ou « conformité au RGPD » devrait être insérée en fonction de la nature de l’activité de la cible.
L’audit juridique aura pour objet de vérifier que les obligations à la charge de la société cible sont respectées que ce soit en interne (vis-à-vis des salariés notamment), qu’en externe (relations avec les clients, les fournisseurs ou autre partenaire).
Les questions suivantes devront notamment être posées :
D’abord, pour déterminer les obligations à la charge de l’entité au titre du RGPD :
Est-ce que la cible est un responsable de traitement ? Un sous-traitant ? Est-ce qu’elle est tenue de désigner un DPO ?
Vos clients comptent-ils des organismes publics ?
Quel type de traitement de données est effectué ?
Si la cible intervient en qualité de responsable de traitement ou, c’est sans doute le cas qui va le plus souvent se rencontrer, de sous-traitant :

• Liste des mesures internes prises en conformité avec le RGPD ?
• Communication du registre des activités de traitement
• Un DPO a –t-il été désigné ?
• Rapports d’audit - rapports de vérifications issus du dispositif de contrôle interne ;
• Communication des contrats de sous-traitance – vérifier que les mentions visées au RGPD sont bien insérées dans les contrats conclus entre responsable de traitement et sous-traitant. Les contrats doivent prévoir, notamment, que le sous-traitant :
  • a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
  • b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • c) prend toutes les mesures requises en vertu de l’article 32 (sécurité des données) ;
  • d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant (mêmes obligations applicables) ;
  • e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III (droit des personnes) ;
  • f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité et analyse d’impact), compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
  • g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ; et
  • h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Il conviendra de lister l’ensemble des obligations mises à la charge de la cible et de vérifier que la preuve du respect de celles-ci est apportée.

Sur le plan informatique, en fonction de la taille de la cible, il pourra être indispensable d’opérer un audit informatique proprement dit. Il conviendra d’arbitrer entre un audit déclaratif, sur pièces, et un audit technique permettant de connaître le cas échéant les mesures correctives à accomplir sur le plan technique. Un audit déclaratif n’est manifestement pas suffisant pour les experts en système d’information. Selon la plupart de ceux avec lesquels nous avons pu échanger, il conviendrait d’opter pour un contrôle informatique technique.
L’audit pourra être plus ou moins détaillé et plus ou moins technique en fonction de l’activité de la cible, et du budget du repreneur. Cependant, il conviendra d’attirer son attention sur l’importance d’un tel audit qui, s’il n’est pas effectué en amont devra être effectué post-cession. La cybercriminalité représente un risque financier élevé pour les entreprises. Aussi, un système d’information sécurisé est bénéfique pour la rentabilité de l’entreprise.
 Quelles sont les ressources notamment humaines consacrées à la sécurité du système d’information notamment à la conformité au RGPD ?
 Vérifier que ces ressources sont en elles-mêmes régulières (licences, respect des règles de conservation des données personnelles, respect des règles de confidentialité, etc.) ;
 Vérifier que les traitements réalisés par ces ressources sont conformes, et, si possible, évaluer leur fiabilité ;
 Vérifier que la sécurité appliquée à ces ressources, outre le respect des règles de confidentialité, garantit qu’elles ne peuvent être utilisées à des fins frauduleuses notamment.

Nos audits devront évoluer en fonction de l’activité de la cible, de la nature de ses clients, du secteur d’activité. L’étendue de l’audit sera distincte suivant que la cible exerce dans le secteur de la santé ou dans le domaine de l’industrie mécanique par exemple. En tout état de cause, notre mission devra évoluer pour tenir compte des enjeux économiques et juridiques du RGPD.

Juline Morel Avocate en droit des affaires http://jmorel-avocat.com