Village de la Justice www.village-justice.com

RGPD & données à caractère personnel : que faites-vous au cours des prochains mois ? Par Franck Delamer, CPI.
Parution : vendredi 9 février 2018
Adresse de l'article original :
https://www.village-justice.com/articles/rgdp-donnees-caractere-personnel-que-faites-vous-cours-des-prochains-mois,27156.html
Reproduction interdite sans autorisation de l'auteur.

Alors que les entreprises n’apparaissent pas encore totalement préparées à l’entrée en application du nouveau règlement européen sur la protection des données personnelles, nous vous proposons une « check-list » des changements à anticiper pour assurer la conformité de vos traitements à ces nouvelles exigences. Mêlant les considérations juridiques et techniques, les données personnelles s’imposent ainsi dans le périmètre de compétence des responsables de la propriété intellectuelle de l’entreprise.

Le gouvernement vient de rendre public le projet de loi modifiant la loi « informatique et libertés » (loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) pour prendre en compte la prochaine entrée en application du Règlement européen sur la protection des données personnelles (Règlement 2016/679, en abrégé « RGPD »). Il est prévu que ce projet de loi soit adopté par ordonnance avant l’application du Règlement.

Selon un sondage d’avril 2017, 19 % seulement des entreprises sondées estiment qu’elles seront conformes à ce règlement à la date de son application, le 25 mai 2018, 33% d’entre elles qu’elles ne seraient pas du tout en conformité et 44 % qu’elles ne seront pas totalement en conformité .

Venant remplacer le régime mis en place par la directive 95/46/CE de 1995, le texte vise à établir un régime unifié pour les données à caractère personnel dans l’Union Européenne.

Précisons tout d’abord que le traitement est défini de façon très large et recouvre quasiment toute opération relative aux données personnelles, de la collecte jusqu’à la destruction.

S’il ne bouleverse pas les principes généraux relatifs aux modalités de collecte et de traitement des données personnelles que nous connaissons (par exemple, les fondements juridiques permettant le traitement de données, le consentement, la durée limitée de conservation des données à caractère personnelle), le Règlement apporte un certain nombre de changements au bénéfice des personnes physiques et, par voir de conséquence, de nouvelles obligations pour toutes les personnes physiques ou morales, les autorités publiques, les services ou tous organismes amenés à collecter des données à caractère personnel.

Le Règlement s’applique aux responsables de traitement et aux sous-traitants.

L’un des apports du Règlement est de définir les notions de responsable de traitement et de sous-traitant :
- le responsable de traitement détermine les finalités et les moyens du traitement,
- le sous-traitant traite des données à caractère personnel pour le compte du responsable de traitement.

Il précise aussi les obligations du sous-traitant notamment en ce qui concerne le niveau de sécurité des données, le respect de la confidentialité et son obligation d’assistance du responsable de traitement pour les analyses d’impact, les notifications aux autorités de contrôle, la communication aux personnes concernées en cas de violations de données.

Au plan pratique, cette clarification nécessite de préciser les obligations de chacun dans les contrats impliquant un traitement de données personnelles.

Il est à noter que la Commission Nationale Informatique et Libertés (CNIL) a récemment publié un guide du sous-traitant.

Un territoire d’application étendu

Le Règlement s’applique donc à toutes les personnes physiques ou morales, autorités publiques, services ou organismes (en particulier les entreprises et les organismes publics) de l’Union qui traitent des données personnelles.

Il s’applique également dès lors que sont traitées des données concernant un ressortissant de l’Union. Les entreprises et organismes hors de l’Union Européenne seront donc aussi soumises aux obligations du Règlement si elles sont amenées à traiter des données de citoyens européens.

Le Règlement précise les modalités du consentement des personnes à voir leurs données traitées.

Ces précisions concernent la forme (caractère explicite, forme compréhensible, exigences de clarté et de simplicité, de distinction par rapport aux autres questions si ce consentement est inclus dans un autre document, …) et le fond, le consentement devant être recueilli pour une finalité de traitement déterminé.

Le consentement pourra par ailleurs être retiré à tout moment, ce qui impliquera, par exemple quand le consentement est donné en ligne, l’obligation pour les responsables de traitement de prévoir les modalités de retrait effectif de ce consentement et de mise en œuvre informatique des suppressions des données.

Il renforce la protection des citoyens et de leurs données

Le Règlement confirme certains droits : droit des personnes à accéder à leurs données personnelles ; « droit à l’oubli » (i.e. droit de faire effacer les données) ; droit d’obtenir la rectification des données personnelles et droit de faire compléter les données si elles sont incomplètes.

Il fournit également des précisions concernant le droit d’information des personnes sur la manière dont les données vont être traitées (information concise, transparente, compréhensible et aisément accessible en termes clairs et simples, en particulier pour les informations destinées aux enfants et gratuite, sauf cas de demandes d’information infondées ou excessives).

Une nouveauté : le Règlement institue un droit à la portabilité des données. Dès lors que ses données auront été collectées avec son consentement et que le traitement aura lieu par un procédé automatisé, une personne pourra exiger du responsable de traitement que celui-ci transfère ses données à un autre responsable de traitement.

Une exception cependant : ce droit à la portabilité ne concerne pas les données traitées pour une mission de service public ou relevant de l’autorité publique.

Le responsable de traitement a des responsabilités accrues

C’est un des changements les plus notables du nouveau régime : les obligations de déclarations préalables (« les déclarations CNIL ») sont supprimées et remplacées par l’obligation pour le responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles pour s’assurer et démontrer la conformité du traitement au Règlement, dans une logique de « compliance », étant entendu que les autorités de contrôle (la CNIL en France) seront chargées de vérifier le respect de l’ensemble de ces obligations.

- « Privacy by design » et « Privacy by default »

Dès qu’un traitement de données personnelles est envisagé et au moment de la détermination des moyens de traitement du traitement, le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées (par exemple la pseudonymisation ) pour assurer la protection des données de manière effective.

D’autre part, et par défaut, seules les données personnelles nécessaires pour une finalité déterminée peuvent faire l’objet d’un traitement. Cette exigence s’appliquant à la quantité de données, l’étendue du traitement, la durée de conservation, l’accessibilité des données.

- Obligation de tenir un registre de traitement

La tenue d’un registre des activités de traitement est obligatoire pour les entreprises ou organismes, à l’exception de ceux de moins de 250 salariés (sauf pour ces derniers, si le traitement comporte des risques, et n’est pas occasionnel, ou s’il porte sur des données sensibles ou des données personnelles relatives à des condamnations et infractions).

Ce registre sera à la disposition de la CNIL en cas de contrôle. Il contient les informations suivantes :
- nom et coordonnées du responsable du traitement,
- finalités du traitement,
- description des catégories de personnes concernées et des catégories de données traitées,
- catégories de destinataires des données,
- transferts vers pays tiers,
- et, dans la mesure du possible : les délais d’effacement des données et la description des mesures de sécurité.

- Réaliser des analyses d’impact

Le responsable de traitement doit effectuer une analyse d’impact, avant la réalisation d’un traitement, si ce traitement présente un risque élevé pour les droits et libertés des personnes, notamment en cas d’utilisation de « nouvelles technologies ».

Une telle analyse sera notamment obligatoire en cas :
- d’évaluation systématique et approfondie d’aspects personnels par un traitement automatisé et si l’évaluation entraîne des effets juridiques ou affecte significativement la personne,
- de traitement à grande échelle de données sensibles et de données relatives à des condamnations pénales et à des infractions,
- de surveillance systématique à grande échelle d’une zone accessible au public.

Schématiquement, une analyse d’impact recense les risques liés au traitement de données personnelles et les mesures prises par le responsable de traitement pour minimiser ces risques.

Les lignes directrices donnent divers exemples de situations à risque élevé : évaluation (travail, santé, comportement, …), prise de décision automatique, traitement de données sensibles, volume de données importants, combinaison de jeux de données, …).

- Nommer un délégué à la protection des données

Le Règlement institue la fonction de délégué à la protection des données (autrement appelé data processing officer - DPO) qui doit être associé à toute question relative à la protection des données personnelles et notamment informer et conseiller le responsable de traitement ou le sous-traitant, contrôler l’application du Règlement et coopérer avec l’autorité de contrôle.

La désignation d’un délégué sera obligatoire :
- pour les autorités publiques ou organismes publics (sauf pour les juridictions),
- si les activités de base du responsable de traitement ou sous-traitant exigent un suivi régulier et systématique à grande échelle des personnes ou consistent en un traitement à grande échelle de catégories spéciales de données sensibles (origine raciale ou ethnique, données de santé, opinions politiques, appartenance syndicale, …) et ou de données relatives aux condamnations pénales et aux infractions.

Dans les autres cas, les États membres pourront rendre la désignation d’un DPO obligatoire.

Il est à noter que le délégué est un rôle personnel (ce n’est pas un service) et qu’il bénéficiera d’un statut particulier dans l’entreprise ou organisme (confidentialité, protection dans l’exercice de ses fonctions, …).

- Informer la CNIL et les personnes concernées en cas de violations de données personnelles

En cas de violation de données personnelles (« breach of security »), le Règlement crée une obligation pour le responsable de traitement :
- d’en notifier l’autorité de contrôle (la CNIL) dans les meilleurs délais et au plus tard dans les 72 heures de la connaissance de cette violation,
- de communiquer dans les meilleurs délais auprès des personnes concernées si la violation engendre un risque élevé pour les personnes.

Le transfert de données à caractère personnel vers des pays tiers est encadré

Le transfert de données personnelles hors de l’Union ne peut avoir lieu que :
- si la Commission décide que le pays tiers offre un niveau adéquat de protection des données personnelles et que les personnes disposent de droits opposables et de recours effectifs (par ex. l’accord « ‘Privacy Shield » entre l’Union Européenne et les USA),
- si le responsable de traitement ou le sous-traitant a prévu des garanties appropriées, notamment, pour les groupes de sociétés, des accords relatifs à la protection et au transfert de données (dénommés « règles d’entreprises contraignantes » dans le Règlement),
- dans certaines conditions : la personne a donné son consentement au transfert après information sur les risques, ce transfert est nécessaire pour l’exécution d’un contrat ou pour l’exercice de droits en justice.

Quelles sanctions ?

On notera d’abord que le Règlement donne aux autorités de contrôle des pouvoirs d’enquêtes et le pouvoir d’ordonner des mesures correctrices (par ex. rappel à l’ordre, ordre, limitation des traitements, suspension des flux de données, …).

Les autorités de contrôle ont ensuite le pouvoir de prononcer des amendes administratives (selon les dispositions du Règlement qui auront été violées) :
- jusqu’à 10M€ ou (pour les entreprises) 2% du chiffre d’affaires mondial annuel,
- jusqu’à 20M€ ou (pour les entreprises) 4% du chiffre d’affaires mondial annuel.

Par ailleurs, la personne ayant subi un dommage pourra être indemnisée de son préjudice. Des « class actions » (actions collectives de personnes ayant subi le même dommage) pourront également être intentées selon les législations nationales.

Au plan pratique, ce nouveau régime amène à revoir l’approche des entreprises (et de toute autre personne) à l’égard de ces données à caractère personnel, et à réexaminer les pratiques de collecte et de traitement de données personnelles et des processus pouvant concerner des données à caractère personnel.

Cet exercice doit impliquer toutes les composantes de l’entreprise concernées y compris notamment, le service juridique, l’informatique, les ressources humaines, les services commerciaux ou la relation client et mobilise des compétences à la fois juridiques et techniques.

Franck DELAMER Conseil en Propriété Intellectuelle, spécialisé en Droit des Contrats [->delamer@regimbeau.eu] REGIMBEAU www.regimbeau.eu roux@regimbeau.eu