Articles

Un responsable de traitement sanctionné pour une faille sur un module développé par un sous-traitant

Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.

La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.

Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.

I- Définition du responsable de traitement

Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.

Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.

La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.

Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.

Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.

II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée

Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.

La violation des données personnelles étant liée à un développement non demandé au sous-traitant,  la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.

La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.

Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.

Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.

La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.

Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.

[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils

Lire la suite

/ Virtualegis

Du CIL au DPO

La Directive n° 95/46 de 1995[1] sur la protection des données personnelles fait apparaître au sein de son article 18 le « détaché à la protection des données à caractère personnel », sans en rendre sa nomination obligatoire ni encadrer la nomination de ce nouvel acteur. La Directive laisse les Etats membres définir plus précisément ce nouvel acteur.

C’est lors de la transposition de la Directive par la loi du 6 août 2004[2], que le « détaché à la protection des données » fait son apparition dans la loi « informatique et libertés » du 6 janvier 1978, en étant renommé « correspondant à la protection des données à caractère personnel ». Par commodité, les professionnels du secteur des données à caractère personnel et la CNIL elle-même (qui déposera même la marque « CIL ») le dénommeront « correspondant Informatique et Libertés » (« CIL »).

Le CIL est mentionné dans l’article 22 dans la loi. Mais son rôle et son statut sont principalement encadrés par le décret du 20 octobre 2005[3] dont un titre entier lui est consacré.

Cet acteur majeur dans la protection des données personnelles en raison de son lien privilégié avec la CNIL a mis du temps à s’imposer, une minorité d’entreprises ayant aujourd’hui recours à un CIL.

Mais ces dernières années, le nombre de CIL a très fortement augmenté. Ce principalement pour trois raisons :

  • La prise de conscience récente de l’enjeu que représente la protection des données personnelles pour les entreprises (image, risques, avantage concurrentiel dans le B to B comme dans le B to C),
  • L’augmentation des sanctions dans le projet de loi sur la République Numérique et le Règlement européen sur la protection des données à caractère personnel,
  • L’obligation de désigner, au plus tard le 25 mai 2018, un correspondant (qui sera alors dénommé « délégué à la protection des données » ou « data protection officer – DPO » en anglais) pour un grand nombre d’entreprises, selon la taille de celles-ci, le volume et/ou le type de données traitées.

Le Règlement du 27 avril 2016[4] qui abroge la Directive de 1995 renforce de façon conséquente les obligations des responsables de traitement, rendant le recours à un spécialiste de la protection des données personnelles rapidement indispensable afin d’éviter de courir le risque de sanctions très lourdes.

Le CIL, acteur majeur trop peu utilisé

Le terme de « Correspondant » préféré par le législateur français au terme de « Détaché » utilisé par la Directive, tend à souligner le rôle principal de cet acteur : faire le lien entre la structure qui l’a nommé et les services de la CNIL en étant appelé à travailler en étroite collaboration avec elle.

Le « correspondant » demeure indépendant par rapport à la CNIL, la loi de transposition précise qu’il « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ».

Le CIL peut être un salarié, un membre de la structure ou un prestataire externe dès lors que moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. Les avocats sont particulièrement légitimes pour jouer ce rôle, en raison de leurs connaissances juridiques et de leur indépendance. Le Règlement Intérieur National qui s’applique à la profession d’avocat encadre d’ailleurs précisément l’avocat-CIL depuis 2009.

Le CIL est tenu principalement de :

  • dresser une liste des traitements automatisés de données nominatives,
  • assurer le respect des obligations prévues dans la loi Informatique et Libertés et à ce titre inscrire au registre tous les traitements nécessitant normalement une déclaration à la CNIL (ne nécessitant pas ou n’ayant pas fait l’objet d’une demande d’autorisation préalable à la CNIL).
  • informer le responsable des traitements des manquements constatés et le conseiller dans la réponse à apporter pour y remédier,
  • établir un bilan annuel à présenter au responsable des traitements et à tenir à disposition de la CNIL,
  • procéder à la sensibilisation du responsable de traitement ainsi que de son personnel, en procédant autant que possible à des formations,
  • recevoir les réclamations et requêtes des personnes concernées par les traitements, pour permettre l’exercice de leurs droits.

Les responsables de traitement qui procèdent à cette nomination bénéficie d’un allègement des formalités à effectuer auprès de la CNIL, les déclarations n’ayant plus à être effectuées.

Du CIL au DPO : l’émergence d’un expert incontournable

Alors que le CIL reste encore aujourd’hui relativement peu connu et peu utilisé, le Règlement du 27 avril 2016 place le « Data Protection Officer » (« DPO ») – ou « délégué à la protection des données » (« DPD ») en français – au cœur du nouveau dispositif de protection des données personnelles en lui consacrant une section entière.

Il en rend la nomination obligatoire, même dans les petites structures :

  • pour les autorités publiques et les organismes publics,
  • pour les structures dont les activités de base en tant que responsable ou sous-traitant exigera « « un suivi régulier et systématique à grande échelle des personnes concernées »,
  • et enfin pour les structures, responsables ou sous-traitants, dont le traitement consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

Il s’ensuit que de nombreuses entreprises aujourd’hui sans CIL sont susceptibles de se retrouver dans l’obligation de nommer un DPO qu’elles soient responsable du traitement ou sous-traitante.

Par ailleurs, même pour les structures qui ne seront pas concernées par l’obligation de nommer un DPO, les obligations nouvelles qui pèsent sur les responsables du traitement/sous-traitants et les sanctions auxquelles ceux-ci s’exposent en cas de non-respect de ces obligations vont rendre la nomination d’un DPO malgré tout particulièrement recommandée. Il reviendra en effet aux responsables de traitement et sous-traitants, entre autre, dans certains cas précis tel que le traitement à grande échelle de données sensibles, de réaliser une étude d’impact avant la mise en œuvre du traitement (article 35). De manière générale, le Règlement européen sur la protection des données, document complexe de plus de 200 pages, nécessite des compétences particulières et notamment des compétences juridiques pour être correctement interprété.

La plupart des CIL d’aujourd’hui deviendront les DPO de demain, sous réserve toutefois de justifier des compétences juridiques et techniques requises. Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions », sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données ».

Procéder dès aujourd’hui à la nomination d’un CIL compétent en matière juridique et en matière de protection des données, et qui deviendra le DPO demain, permet de préparer l’entreprise ou l’organisme à l’application de la loi sur la République Numérique en cours d’adoption, ainsi qu’à l’application, à compter du 25 mai 2018, du Règlement européen ainsi, sachant que la sanctions administratives des non-conformités vont considérablement augmenter, pour passer, dans un premier temps (Loi Lemaire) à 3.000.000 euros au premier manquement et, dans un second temps (25 mai 2018) à 20.000.000 € ou 4% du chiffre d’affaires mondial.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, Avocat et CIL

========================================================================

[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[3] Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[4] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE


 

Pourquoi désigner un CIL externe ?

 

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

 

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

 

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

 

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

 

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.

  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

 

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).

  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

 

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

 

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

 

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

 

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

 

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

/ Virtualegis

Règlement sur la protection des données personnelles : au-delà de l’uniformité, quelques marges de manœuvre laissées aux Etats membres

Le Règlement 2016/679 sur la protection des données personnelles (RGPD) abroge la Directive 95/46/CE datant de 1995.

A la différence d’une Directive, le Règlement s’impose uniformément dans tous les Etats membres de l’Union européenne sans que ces Etats n’aient besoin d’adopter une loi pour transposer les nouvelles règles dans le droit étatique. Le Règlement est un facteur d’unité en matière d’encadrement juridique du traitement des données personnelles dans l’Union européenne.

Le Règlement, facteur d’unité

La disparité des lois de transposition entrainait une perte de confiance des personnes physiques lorsque leurs données circulaient au sein de l’Union, la protection de ces données n’étant pas équivalente entre les différents Etats membres et représentait aussi un frein conséquent pour une concurrence saine au sein de l’Union, les entreprises pouvant être tentées de favoriser une implantation dans les Etats où la loi de transposition était la moins stricte. Cette disparité était encore un facteur de coût et d’insécurité juridique pour les entreprises. En effet, selon le pays dans lequel une entreprise collecte ou souhaite transférer des données, le niveau de protection des données et la réglementation s’appliquant à leur traitement n’étaient pas équivalents. Les autorités de contrôle ne pouvaient, par ailleurs, sanctionner et surveiller de façon cohérente.

L’harmonisation permet de mettre un terme à ces difficultés.

Si le RGPD concède à certains endroits une certaine liberté aux Etats membres de l’UE, son considérant 8 précise que ces marges de manœuvre se limitent à « la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ». Il n’est donc pas question, a priori, de créer des différences de fond, mais de respecter l’ordre juridique interne des Etats-membres là où une uniformité ne serait pas respectueuse des disparités nationales.

Respect de la diversité de l’organisation administrative des Etats membres

Parmi les articles au sein desquels il est précisé que chaque Etat membre bénéficie de souplesse dans leur application, plusieurs concernent des questions d’organisations internes.

Ainsi, si le Règlement impose la création d’une autorité de contrôle en matière de données personnelles, une grande liberté est laissée aux Etats quant aux critères de sélection des membres de ces autorités, au mode de nomination, à la durée de leur mandat, etc.

Le respect de la structure organisationnelle des Etats membres se retrouve encore dans la possibilité qui leur est laissée de préciser eux-mêmes les opérations et procédures de traitement des données à caractère personnel par les juridictions et autres autorités judiciaires, avec la volonté explicite de respecter ainsi la séparation des pouvoirs (considérant 20).

Enfin, le respect de la séparation des pouvoirs au sein des Etats membres se retrouve encore dans la liberté totale laissée en matière de fixation de la sanction pénale. Si l’article 83 fixe le montant des amendes administratives, l’article 84 laisse les Etats membres déterminer le régime des autres sanctions applicables en cas de violation du Règlement. Ces sanctions devront néanmoins être « effectives, proportionnées et dissuasives ».

Liberté pour les Etats membres de renforcer les règles encadrant certaines données

Le respect des souverainetés nationales est visible dans la possibilité laissée aux Etats membres de renforcer certaines règles lorsque celles-ci concernent des données sensibles ou présentant un intérêt public. L’article 6§2 permet ainsi aux Etats membres de déterminer « plus précisément les exigences spécifiques applicables au traitement » nécessaire notamment à l’exécution d’une mission d’intérêt public.

L’article 9 quant à lui pose comme principe l’interdiction du traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) avant de présenter des exceptions à ce principe (consentement de la personne concernée, sauvegarde des intérêts vitaux,…). Le Règlement laisse néanmoins la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». La flexibilité n’autorise ici que l’ajout de conditions en vue de renforcer les règles, le Règlement fixant donc quoiqu’il en soit un minimum de protection dans le traitement des données sensibles relatives à la santé.  

Liberté d’encadrement pour les Etats membres relative à certains secteurs

Enfin, certains secteurs spécifiques font l’objet de contraintes moins fortes imposées par le Règlement afin de respecter, là encore, l’organisation et la culture des Etats membres. Ces secteurs sont en particulier ceux de la presse et de l’audiovisuel. Il revient ainsi aux Etats membres de fixer les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information. Le considérant 153 précise que pour ces secteurs, en cas de disparité au sein des Etats membres, c’est le droit de l’Etat membre dont relève le responsable du traitement qui devra s’appliquer.

Le secteur des ressources humaines offre lui aussi une possibilité accrue pour les Etats membres de prévoir des règles propres. La particularité ici est que les règles spécifiques pourront être créées par le droit des Etats membres, des conventions collectives ou par le droit découlant des accords d’entreprises. Les règles concernées sont toutes celles relatives au traitement des données personnelles dans la relation de travail (recrutement, exécution du contrat de travail, planification de l’organisation du travail, etc.). Ce dernier secteur fera donc sans doute l’objet d’une attention particulière dans les années à venir, des disparités concernant le traitement des données des salariés risquant d’apparaître régulièrement, au gré des modifications des conventions collectives ou des accords d’entreprises. Les syndicats auront un rôle important à jouer dans la défense des données de ces salariés.

***

Le Règlement a cherché à préserver, dans cette uniformisation des règles applicables au traitement des données personnelles, quelques libertés pour les Etats membres afin de respecter les organisations internes ou des secteurs spécifiques.

L’avenir nous montrera si les petites brèches dans l’uniformité n’ont pas créé trop de différences notables, la recherche saine et juste de l’équilibre entre uniformité et liberté en amont laissant courir un risque de déséquilibre, en aval, dans l’usage que les Etats membres feront de ces petits espaces de liberté.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, avocat et CIL

/ Virtualegis

Fichier clients / prospects : modification de la norme simplifiée 48

La CNIL est, rappelons-le, habilitée par l’article 24 de la loi du 6 janvier 1978 modifiée à établir des normes destinées à simplifier l’obligation de déclaration des traitements informatisés « les plus courants ». Parmi ces traitements les plus courants figure la gestion de clients et de prospects.

Compte tenu de l’évolution du commerce et des méthodes de prospection, la norme simplifiée n° 48, adoptée le 7 juin 2005, a été modifiée le 21 juin 2012.

Par une délibération n° 2016-264 du 21 juillet 2016, publiée au JORF du 14 septembre 2016, la CNIL, prenant en considération l’évolution du droit et de la pratique, notamment en matière de vente de biens ou de fourniture de services à distance, sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs ainsi que la mise en œuvre du nouveau système dénommé « BLOCTEL », ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique a modifié la norme simplifiée 48 de la manière suivante :

En sus des finalités visées par la NS 48 issue de la délibération du 21 juin 2012, à savoir :

  • effectuer les opérations relatives à la gestion des clients concernant :
  • les contrats ;
  • les commandes ;
  • les livraisons ;
  • les factures ;
  • la comptabilité, et en particulier la gestion des comptes clients ;
  • un programme de fidélité au sein d’une entité ou de plusieurs entités juridiques ;
  • le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;
  • effectuer des opérations relatives à la prospection :
  • la gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ;
  • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
  • la réalisation d’opérations de sollicitations ;
  • l’élaboration de statistiques commerciales ;
  • la cession, la location ou l’échange de ses fichiers de clients et de ses fichiers de prospects ;
  • l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de régulation des jeux en ligne ;
  • la gestion des demandes de droit d’accès, de rectification et d’opposition ;
  • la gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraîne pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • la gestion des avis des personnes sur des produits, services ou contenus.

La nouvelle NS 48 vise également les finalités suivantes :

– effectuer les opérations relatives à la gestion des clients concernant :

– la sélection de clients pour réaliser des études, sondages et tests produits. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6 de la présente norme, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– la sélection de personnes pour réaliser des actions d’étude. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– l’actualisation de ses fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, en application des dispositions du code de la consommation ;

S’agissant des données, la nouvelle NS 48 vise les nouvelles données suivantes :

Les données relatives aux moyens de paiement suivantes : cryptogramme visuel (ce dernier ne devant pas être conservé, conformément à l’article 5 de la présente norme) ;

Les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées au présent article ;

Les données collectées par le biais des actions visées à l’article 32-II de la loi du 6 janvier 1978 modifiée, dans le respect des recommandations figurant dans la délibération n° 2013-378 du 5 décembre 2013 (cookies et traceurs).

Parmi les personnes pouvant avoir accès aux données à caractère personnel,

Est ajouté l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique (« BLOCTEL »).

S’agissant des durées de conservation, la NS 48 est profondément réformée, pour obéïr désormais aux principes suivants :

  • Les données peuvent désormais faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). Il convient de prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active ;
  • Pour pouvoir conserver, au-delà de la durée de conservation fixée au regard de l’article 6 (5°) de la loi, des informations relatives à des clients ou des prospects à des fins d’analyses ou d’élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d’anonymisation ;
  • Pour déterminer la date du dernier contact émanant d’un prospect, une demande de documentation ou un clic sur un lien hypertexte dans un courriel ne peut être considéré comme un contact.

Les données de fréquentation brutes associant un identifiant peuvent désormais être conservées 13 mois et non plus seulement 6 mois.

S’agissant de l’information, du consentement et de l’exercice des droits :

La CNIL a ajouté les précisions suivantes :

Lorsque les données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° de l’article 32. Cette disposition vise les questionnaires au sens large et, notamment, les formulaires à compléter sur un site web.

Lorsque les données à caractère personnel n’ont pas été recueillies directement auprès des personnes concernées, les modalités d’information des personnes sont prévues par les dispositions de l’article 32-III de la loi. Le recueil du consentement exprès et spécifique de la personne concernée, dans les cas suivants :

– la prospection réalisée au moyen des dispositifs visés par l’article L. 34-5 du code des postes et des communications électroniques (système automatisé de communications électroniques au sens de l’article L. 32 du CPCE – SMS, MMS, automate d’appel, Bluetooth, etc. – télécopieur et courrier électronique). Toutefois, dans les conditions visées par l’article L. 34-5 du CPCE, le recueil du consentement n’est pas requis lorsque le courrier électronique concerne des produits ou services analogues ;

– la cession à des partenaires des adresses électroniques ou des numéros de téléphone utilisés à des fins de prospection directe au moyen des dispositifs précités visés par l’article L. 34-5 du CPCE ;

– la collecte ou la cession des données susceptibles de faire apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la vie sexuelle de celle-ci (par exemple, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l’abonnement souscrit) ;

Les consommateurs qui ne souhaitent pas faire l’objet de prospection commerciale par voie téléphonique peuvent s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique prévue par les articles L. 223-1 et suivants du code de la consommation. Il est notamment interdit à un professionnel, directement ou par l’intermédiaire d’un tiers agissant pour son compte, de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition, sauf en cas de relations contractuelles préexistantes. La location ou la vente de fichiers contenant des données téléphoniques et comportant les coordonnées d’un ou de plusieurs consommateurs inscrits sur la liste est également interdite.

D’où la nécessité de mettre régulièrement à jour les fichiers susceptibles d’être loués ou cédés.

Le contrôle du respect de ces obligations est assuré par les services de la direction générale de la concurrence, de la consommation et de la répression des fraudes du ministère de l’économie, de l’industrie et du numérique.

Conformément à l’article 39 de la loi, toute personne peut demander au responsable de traitement la communication, sous une forme accessible, des données à caractère personnel la concernant ainsi que toute information quant à l’origine de celles-ci. Le droit de rectification s’exerce dans les conditions prévues à l’article 40 de la loi.

La CNIL anticipe l’application du Règlement européen sur la protection des données à caractère personnel.

S’agissant des cookies, la CNIL a également apporté des précisions :

Les cookies de mesure d’audience peuvent être déposés et lus sans recueillir le consentement des personnes lorsqu’ils remplissent les conditions visées à l’article 6 de la délibération n° 2013-378 du 5 décembre 2013, portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

De manière générale, pour l’ensemble des traitements mis en œuvre pour les finalités définies à l’article 2 de la présente norme qui utilisent des données collectées par le biais des technologies visées à l’article 32-II de la loi, la présente norme renvoie aux recommandations de la délibération n° 2013-378 du 5 décembre 2013 susvisée.

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la création d’un compte par l’utilisateur, les données doivent être effacées dès que le compte est supprimé, sous réserve des exceptions listées à l’article 5 de la présente norme.

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par l’utilisateur, un délai doit être fixé pour déterminer la durée à partir de laquelle ces comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les données relatives au compte inactif doivent être supprimées. Le responsable de traitement doit avertir l’utilisateur par tous les moyens disponibles avant de procéder à cette suppression et lui donner la possibilité de manifester sa volonté contraire. Il est envisageable que la personne concernée donne son consentement spécifique pour que tout ou partie des données soient archivées par le responsable de traitement, pour une durée déterminée et raisonnable, en vue d’une réactivation future du compte.

Le laps de temps au terme duquel un compte doit être considéré comme inactif doit être défini par le responsable de traitement conformément aux dispositions de l’article 6 (5°) de la loi du 6 janvier 1978 modifiée. A titre indicatif, une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.

Dans tous les cas, le responsable de traitement doit ménager la possibilité pour la personne concernée d’exercer ses droits si des données à caractère personnel la concernant restent traitées indépendamment de la clôture du compte et de la suppression des données de celui-ci.

S’agissant de la sécurité

Pour déclarer que les traitements sont conformes à la norme simplifiée, il est désormais précisé que :

  • Les mots de passe ne doivent pas être stockés « en clair »,
  • Le transit des données doit faire l’objet de mesures techniques « visant à rendre ces données incompréhensibles à toute personne non autorisée » (par exemple, protocole HTTPS),
  • De manière générale, s’agissant de mesures de sécurité à mettre en place pour les données relatives aux cartes bancaires, la présente norme renvoie vers l’article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée.
  • Concernant les pièces d’identité, celles-ci ne doivent être accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité doivent être mises en œuvre afin d’empêcher toute réutilisation détournée de ces données (apposition d’un marquage spécifique, fourniture du seul recto de la pièce d’identité et photocopie en noir et blanc par exemple).

S’agissant des transferts de données à l’étranger

Il est désormais précisé, dans la nouvelle NS 48, qu’elle couvre notamment les transferts de données vers l’étranger qui « s’effectuent à destination d’un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue de négociations avec la Commission européenne, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes » ou qui sont « encadrés par les clauses contractuelles types de la Commission européenne ou par des règles internes d’entreprise (« Binding Corporate Rules », ou BCRou des clauses contractuelles ad hoc dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.

Pascal Alix, Avocat et CIL

/ Virtualegis

Règlement européen sur les données personnelles : 2018 se prépare dès maintenant

Le 14 avril 2016, le Parlement européen a adopté le Règlement 2016/679 sur la protection des données personnelles, après plus de quatre ans de négociation et discussions. Il sera applicable à partir du 25 mai 2018 dans tous les pays membres de l’Union européenne.

Ce texte représente une avancée majeure alors que le texte européen applicable en matière de données personnelles était jusqu’alors la directive 95/46/CE datant de 1995, époque où Internet balbutiait et où les smartphones et les applications qui les accompagnent relevaient encore de la science-fiction.

L’émergence rapide de l’ère du numérique a rendu nécessaire l’adoption d’un nouveau texte. La nature juridique de ce texte, un règlement, est déjà une avancée conséquente pour les entreprises. Alors qu’une directive demande une transposition dans chaque Etat membre, impliquant des différences entre les lois de transposition, le Règlement, applicable sans transposition, permet d’unifier le marché européen en matière de protection des données personnelles. A l’heure du big data, cette unification permet de garantir un niveau de protection des données personnelles équivalent au sein de tous les pays membres et d’éviter le forum shopping [1].

En parallèle, et au fur et à mesure de l’importance qu’a pris le recueil des données par les entreprises, le citoyen a pris conscience du danger que peut représenter l’utilisation de ses données. En consacrant le droit à l’oubli, déjà reconnu par la Cour de Justice de l’Union Européenne par l’arrêt du 13 mai 2014[2], et le droit à la portabilité des données personnelles, l’Europe confirme avec ce Règlement que les données personnelles sont et demeurent la propriété des personnes physiques concernées. Partant, le citoyen demandera sans cesse plus de gages concernant le recueil et l’utilisation des données qu’il accepte de transmettre.

Ainsi, bien qu’applicable à partir du 25 mai 2018[3], les entreprises sont encouragées à prendre connaissance des obligations du Règlement et anticiper cette application. D’autant plus que ce texte appelle à un changement de comportement, en mettant la protection des données personnelles au cœur de la réalisation des produits tout d’abord, puis de la politique de l’entreprise.

 

La protection des données dès la conception des produits ou services

En faisant explicitement référence à la notion de « privacy by design »[4], le Règlement pose la protection des données personnelles en principe structurant dès la conception des produits, services ou applications.

Chiffrement, pseudonymisation et autres mesures… devront être anticipés par les responsables des traitements des données. Le Règlement impose que les mesures de protection soient proactives et préventives, au lieu d’être comme aujourd’hui, principalement correctives.

La notion de « privacy by design » est par ailleurs accompagnée, dans le même article du Règlement (article 25), du principe de « privacy by default ». Il revient au responsable du traitement des données de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

L’obligation pour le responsable du traitement et le sous-traitant de pouvoir démontrer le respect du Règlement

Le Règlement vise à responsabiliser les entreprises en leur demandant d’être à même de démontrer qu’elles respectent les règles relatives à la protection des données personnelles lors des traitements. Ce paradigme du Règlement peut se retrouver sous la notion d’accountability.

L’accountability se retrouve en arrière-plan de la nouvelle obligation de réalisation d’une analyse d’impact en amont de certains traitements. Cette analyse s’impose lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La qualification du traitement à risque va découler de sa nature, de sa portée, du contexte et des finalités de ce traitement. L’analyse doit être effectuée avant le traitement et peut conduire le responsable du traitement à consulter l’autorité administrative de contrôle, la CNIL en France, au cas où l’analyse conclut à un risque élevé.

L’accountability passe encore par la tenue d’un registre des traitements comme cela est fait aujourd’hui par les correspondants informatique et libertés (« CIL »). Le registre sera obligatoire pour les responsables de traitement ou les sous-traitants de plus de 250 salariés ou lorsque le traitement pourra constituer un risque pour les droits et libertés des personnes concernées, ne sera pas occasionnel ou qu’il portera notamment sur des données sensibles. Les sous-traitants, qui pourront donc aussi être amenés à respecter cette obligation voient ainsi leur responsabilité et leur rôle auprès des responsables de traitement avec lesquels ils travaillent s’accroître.

Ce registre devra en particulier préciser la finalité du recueillement des données, les mesures de sécurité, le transfert éventuel de ces données vers un pays tiers, la durée de la conservation des données.

La notion d’accountability tend enfin à imposer aux entreprises la transmission à leurs salariés et collaborateurs d’une culture de protection des données qui peut passer en particulier par la mise en place de formations internes, l’application de codes de conduite élaborés par les associations représentant des catégories de responsables du traitement ou encore la demande de certifications.

Le DPO : un acteur stratégique pour l’application du Règlement par les entreprises

Afin de veiller au respect de ces différentes obligations, le Règlement crée un nouvel acteur pour l’application des règles encadrant le traitement des données personnelles : le délégué à la protection des données, ou Data Protection Officer (« DPO »). Ce DPO, tout comme le CIL aujourd’hui, pourra être un salarié ou un expert externe tel un avocat.

Le DPO – dont la dénomination française n’a pas encore été choisie, la CNIL pouvant, par exemple décider de continuer à exploiter la marque « CIL » – aura comme principales responsabilités d’être garant de la conformité de la protection des données personnelles par les responsables de traitement et les sous-traitants. Il bénéficiera en outre de prérogatives accrues en matière de gestion des risques, en particulier lors de la réalisation de l’analyse d’impact, le cas échéant, pour la réalisation de laquelle le responsable du traitement doit lui demander conseil. Il sera par ailleurs l’interlocuteur privilégié des autorités administratives et des personnes concernées en cas de violations de données personnelles. Le DPO pourra aussi conseiller les entreprises quant à l’adhésion à des codes de conduite ou la soumission à des certifications.

Sa nomination sera obligatoire pour les personnes morales de droit public et pour les personnes morales de droit privé lorsque, sans que ces critères soient cumulatifs :

  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (données sensibles) et de données à caractère personnel relatives à des condamnations pénales et aux infractions.

Pour autant, même pour les entreprises responsable de traitement ou sous-traitante non concernées par l’obligation, la nomination d’un DPO est fortement recommandée. En effet, être conseillé par un professionnel formé et ayant la pleine connaissance des enjeux, contraintes et règles à respecter pour être en conformité en matière de protection des données permettra à l’entreprise de garantir le respect du Règlement.

Cette mise en conformité est d’autant plus importante que le règlement modifie les sanctions en cas de violation. Oubliée la sanction maximum de 150 000 €. A partir de 2018, les sanctions administratives pourront aller jusqu’à 4% du chiffre d’affaires mondial.

Mais au-delà de la crainte engendrée par la sanction, le respect du Règlement peut surtout permettre à l’entreprise de communiquer sur ses bonnes pratiques en matière de protection des données.

Comme il est dorénavant primordial pour une entreprise de montrer qu’elle est respectueuse de l’environnement, gageons qu’avec l’entrée en vigueur du Règlement il sera bientôt impératif pour les entreprises de prouver à leurs clients qu’elles sont intransigeantes en matière de sécurité, de protection des données personnelles et de transparence lors de leur recueil.

Les premières entreprises à prendre en considération les différents points énoncés ci-dessus bénéficieront à n’en pas douter d’un avantage concurrentiel majeur.

2018 se prépare dès aujourd’hui.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, avocat et CIL

[1] Rattachement volontaire au pays offrant la loi la plus favorable

[2] Cour de Justice de l’Union Européenne, 13 mai 2014

[3] Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adopté le 14 avril 2016, puis publié au Journal Officiel de l’Union Européenne le 4 mai 2016. Il est entré en vigueur vingt jours après sa publication, soit le 24 mai 2016. Il sera applicable deux ans après, soit le 25 mai 2018

[4] Intégration de mécanismes de protection des données personnelles dès la conception de l’architecture du traitement de données

/ Virtualegis

Intervention au Congrès du réseau ALTAJURIS, à Amsterdam

,

20 mars 2015 : L’Avocat Correspondant Informatique et Libertés (Congrès d’ALTAJURIS à Amsterdam).

Atelier destiné aux membres du réseau ALTAJURIS pour s’initier ou se perfectionner dans l’exercice de la mission de CIL.

Lire la suite

/ VirtuaLegis

Intervention à la Convention Nationale des Avocats de Montpellier

,

30 octobre 2014 : L’avocat-CIL

Présentation, aux côtés notamment d’Albine Vincent, responsable des CIL de la CNIL, du métier de CIL tel qu’il peut être exercé par les avocats, en insistant par ailleurs sur les exigences particulières de la profession d’avocat s’agissant de la protection des données à caractère personnel des clients.

Lire la suite

/ VirtuaLegis