Dans l’édition d’octobre 2020 de LEADERS LEAGUE (ex-DECIDEURS) (INNOVATION TECHNOLOGY & PATENTS), Le cabinet VIRTUALEGIS est classé, pour la 5e année consécutive, parmi les meilleurs cabinet d’avocats en droit de la protection des données personnelles, dans la catégorie « Forte Notoriété / Highly recommended – 1 ».
Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans. Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.
Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.
Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.
Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?
Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.
Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.
En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.
Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.
Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].
Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].
Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.
L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.
Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.
Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.
[1] Considérant 75.
[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».
[3] Article 8 du RGPD.
[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL
[5] Article 7-1 de la LIL modifiée.
[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD
[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).
[8] Article 4.1 du RGPD.
[9] Le Considérant 58 reprend cette même idée.
[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.
[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.
[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)
[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;
3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »
[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.
Le 15 avril 2018, Pascal Alix participe avec EVERTEAM à un atelier « Le RGPD en pratique et bien outillé » au Cercle National des Armées de Paris (club des utilisateurs).
Le 20 mars 2018, Pascal Alix participe avec EVERTEAM à un atelier « Le RGPD en pratique et bien outillé » au Salon « DOCUMATION » de Paris.
Le 13 mars 2018, Hubert de Segonzac, Avocat au Barreau de Paris et correspondant Informatique et Libertés (VIRTUALEGIS) participe avec EVERTEAM à un atelier « LA GOUVERNANCE DE L’INFORMATION A L’AUNE DU RGPD ET LES OUTILS POUR ETRE CONFORME » au Salon « Big Data » de Paris.
Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.
Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.
Aujourd’hui, le transfert vers les pays tiers est relativement complexe.
La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.
Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui, après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.
Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.
De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.
Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.
Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.
Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.
C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.
Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :
D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :
Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».
Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.
Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.
Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.
Pascal ALIX, Avocat à la Cour et DPO externe
Hubert de Segonzac, Avocat à la Cour et DPO externe
Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité est très faible. Ce fut vrai. Ce ne l’est plus.
Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].
Pourquoi désigner un CIL externe ?
Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité. Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au pourcentage de non-conformité des petites structures, il est encore bien plus important.
Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.
Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.
Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :
A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :
Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.
Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».
La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.
Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.
Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].
Pascal ALIX, Avocat à la Cour et CIL
Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL
[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié
[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat
[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978
[5] PwC/Iron Mountain, « Beyond Good Intentions »
[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016
[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015
[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »
[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat
[10] 29 occurrences
[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation
[12] 33 occurrences
[13] 68 occurrences
[14] Article 14 du Règlement
[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015
[16] Article 22 III. de la loi
[17] Article 37 5. du Règlement
[18] Article 37 6. du Règlement
A l’heure des objets connectés et de la vidéoprotection, à l’heure des « Smart Cities » ou « villes numériques » visant à la participation active des citoyens à la vie de la cité, à l’heure du tout numérique et des procédures administratives dématérialisées, la politique de protection des données personnelles mises en œuvre par les collectivités publiques ne peut plus être un sujet annexe.
Pourtant, cette problématique n’apparaît pas encore comme une priorité. Le budget dévolu à la sécurité des systèmes informatiques n’évolue pas ou très faiblement pour la majorité des communes alors même que les données affluent de plus en plus. Par ailleurs, les collectivités sont encore peu nombreuses à avoir nommé un correspondant Informatique et Libertés (futur « délégué à la protection des données » selon le Règlement européen). Une carte publiée par la CNIL indique en effet qu’en 2015, seules 650 collectivités locales sur 36700 en avaient un[1].
Les communes, et à leur tête les maires, sont peut-être encore peu au fait des risques qui pèsent en cas de violation de leur part de la loi Informatique et Libertés. C’est pourtant une raison de mise en cause de la responsabilité pénale du maire (5 ans d’emprisonnement, 300 000 euros d’amende). La CNIL prend d’ailleurs très au sérieux le respect de la loi Informatique et Libertés par les personnes publiques. Sa politique de contrôles pour l’année 2015 annonçait ainsi le contrôle des « Outils de mesure de fréquentation des lieux publics » dont beaucoup de collectivités se dotent aujourd’hui afin d’optimiser l’espace. Une étude des avertissements de la CNIL montre d’ailleurs que les collectivités territoriales ne font pas exception aux contrôles. Un exemple parmi d’autres concerne un avertissement adressé par la CNIL à une commune le 9 avril 2015, en raison d’un fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives. Les citoyens étant de plus en plus formés à la problématique des données personnelles, leurs attentes dans ce domaine vont aller grandissantes. L’impact de tels avertissements pour les communes et in fine leurs élus, au-delà même des risques pénaux, peut être destructeur en termes de communication et de confiance.
Ces différentes raisons vont nécessairement amener des évolutions et une prise de conscience.
L’une de ces évolutions va même être imposée puisqu’à compter du 25 mai 2018, jour de l’entrée en vigueur du Règlement européen sur les données personnelles, la nomination d’un délégué à la protection des données (ex-« CIL ») sera rendue obligatoire dans chaque « autorité publique » ou « organisme public »[2].
Mais sans attendre mai 2018, la nomination d’un CIL dès aujourd’hui revêt de nombreux atouts.
Le CIL permet en effet au responsable du traitement, en l’occurrence le Maire dans une commune, ou le président de l’établissement public de coopération intercommunale (par ex. communauté de communes) d’être accompagné notamment lors de la mise en place de nouveaux traitements de données et de la modification des traitements existants. Or ces derniers sont particulièrement nombreux dans une collectivité et peuvent revêtir des questions juridiques complexes. Le traitement de certaines données sensibles nécessite en effet des demandes d’avis ou d’autorisation auprès de la CNIL. Parmi ces données, se trouvent les données relatives aux infractions et aux condamnations, qui intéressent la police municipale, les données biométriques, les appréciations sur les difficultés sociales des personnes (fichiers des centres communaux d’action sociale,…). Une autorisation est encore nécessaire à chaque fois que la collectivité procède à une interconnexion de fichiers dont les finalités sont différentes. Ces interconnexions sont pourtant amenées à être de plus en plus souvent effectuées, en raison des applications gérées par les collectivités et des objets connectés.
Le CIL permet aussi, toujours dans sa mission d’accompagnement, de procéder à la mise en conformité si des demandes d’avis ou d’autorisation n’ont pas été pas été effectuées ou irrégulièrement effectuées, si la sécurité informatique est insuffisante (absence de PSSI et de matrice d’habilitation, mesures techniques et de protection des données insuffisantes, etc.) ou si des recommandations n’ont respectées. Les règles de protection de données personnelles concernent l’ensemble des traitements de données, que ces données soient relatives au personnel interne à la collectivité ou aux administrés. Ainsi par exemple, alors que les exigences en termes de sécurité des citoyens sont de plus en plus fortes, un système de vidéo protection ne peut être installé sans respect des recommandations de la CNIL[3] en veillant en particulier à la proportionnalité du dispositif déployé. La CNIL contrôle aussi les dispositifs en ligne des collectivités (sites internet, applications, téléservices,…). Ces contrôles en ligne ont ainsi montré que plus de 60% des communes ne sécurisent pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Cette mise en conformité peut être accompagnée d’une sensibilisation des agents qui ont accès au traitement des données aux problématiques juridiques liées à ces traitements afin de limiter les risques.
Enfin, la nomination d’un CIL permet à la collectivité d’innover dans le respect de la loi. La demande des citoyens est forte de bénéficier de services en ligne (dématérialisation). A court terme, la grande majorité des communes disposera de son application afin de communiquer des informations et de connaître plus finement les attentes des habitants. Le CIL peut avoir pour rôle de vérifier, en amont, que ces outils respectent les règles en matière de données personnelles et de garantir aux élus une innovation respectueuse des règles légales. Ce service du CIL sera particulièrement précieux à compter de l’entrée en vigueur du Règlement européen qui impose lors de la mise en place d’innovations pouvant créer des risques en matière de protection des données personnelles la réalisation, avant tout développement, d’une analyse d’impact[4]. Pour la réaliser, le recours à un spécialiste sera, en pratique, nécessaire.
Le CIL peut être nommé en interne[5] ou être un prestataire externe. La loi n’est actuellement pas très exigeante puisqu’il faut simplement que la personne nommée dispose des « qualifications requises », sans qu’aucune précision ne soit apportée sur ce point. Or, le Règlement est bien plus précis et impose que le CIL soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) »[6]. Les connaissances juridiques et l’indépendance statutaire de l’avocat praticien du droit des nouvelles technologies, qui peut être CIL depuis 2009, le désigne tout naturellement pour accomplir une telle mission. Plusieurs collectivités ou un groupement de collectivités (Par ex. communautés de communes) peuvent, au demeurant, désigner un CIL mutualisé qui peut être un CIL externe.
[1] Gazette des communes, 4 septembre 2015, Protection des données personnelles : y a-t-il un CIL près de chez vous ?
[2] Article 37.
[3] Délibération n°94-056 du 21 juin 1994.
[4] Article 35.
[5] Le CIL est obligatoirement nommé en interne lorsque plus de 50 personnes sont chargés de la mise en œuvre des traitements ou y ont accès. L’entrée en vigueur marquera l’abandon de ce critère et la possibilité de recourir à un CIL externe dans tous les cas.
[6] Article 37.
La Directive n° 95/46 de 1995[1] sur la protection des données personnelles fait apparaître au sein de son article 18 le « détaché à la protection des données à caractère personnel », sans en rendre sa nomination obligatoire ni encadrer la nomination de ce nouvel acteur. La Directive laisse les Etats membres définir plus précisément ce nouvel acteur.
C’est lors de la transposition de la Directive par la loi du 6 août 2004[2], que le « détaché à la protection des données » fait son apparition dans la loi « informatique et libertés » du 6 janvier 1978, en étant renommé « correspondant à la protection des données à caractère personnel ». Par commodité, les professionnels du secteur des données à caractère personnel et la CNIL elle-même (qui déposera même la marque « CIL ») le dénommeront « correspondant Informatique et Libertés » (« CIL »).
Le CIL est mentionné dans l’article 22 dans la loi. Mais son rôle et son statut sont principalement encadrés par le décret du 20 octobre 2005[3] dont un titre entier lui est consacré.
Cet acteur majeur dans la protection des données personnelles en raison de son lien privilégié avec la CNIL a mis du temps à s’imposer, une minorité d’entreprises ayant aujourd’hui recours à un CIL.
Mais ces dernières années, le nombre de CIL a très fortement augmenté. Ce principalement pour trois raisons :
Le Règlement du 27 avril 2016[4] qui abroge la Directive de 1995 renforce de façon conséquente les obligations des responsables de traitement, rendant le recours à un spécialiste de la protection des données personnelles rapidement indispensable afin d’éviter de courir le risque de sanctions très lourdes.
Le terme de « Correspondant » préféré par le législateur français au terme de « Détaché » utilisé par la Directive, tend à souligner le rôle principal de cet acteur : faire le lien entre la structure qui l’a nommé et les services de la CNIL en étant appelé à travailler en étroite collaboration avec elle.
Le « correspondant » demeure indépendant par rapport à la CNIL, la loi de transposition précise qu’il « ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions ».
Le CIL peut être un salarié, un membre de la structure ou un prestataire externe dès lors que moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès. Les avocats sont particulièrement légitimes pour jouer ce rôle, en raison de leurs connaissances juridiques et de leur indépendance. Le Règlement Intérieur National qui s’applique à la profession d’avocat encadre d’ailleurs précisément l’avocat-CIL depuis 2009.
Le CIL est tenu principalement de :
Les responsables de traitement qui procèdent à cette nomination bénéficie d’un allègement des formalités à effectuer auprès de la CNIL, les déclarations n’ayant plus à être effectuées.
Alors que le CIL reste encore aujourd’hui relativement peu connu et peu utilisé, le Règlement du 27 avril 2016 place le « Data Protection Officer » (« DPO ») – ou « délégué à la protection des données » (« DPD ») en français – au cœur du nouveau dispositif de protection des données personnelles en lui consacrant une section entière.
Il en rend la nomination obligatoire, même dans les petites structures :
Il s’ensuit que de nombreuses entreprises aujourd’hui sans CIL sont susceptibles de se retrouver dans l’obligation de nommer un DPO qu’elles soient responsable du traitement ou sous-traitante.
Par ailleurs, même pour les structures qui ne seront pas concernées par l’obligation de nommer un DPO, les obligations nouvelles qui pèsent sur les responsables du traitement/sous-traitants et les sanctions auxquelles ceux-ci s’exposent en cas de non-respect de ces obligations vont rendre la nomination d’un DPO malgré tout particulièrement recommandée. Il reviendra en effet aux responsables de traitement et sous-traitants, entre autre, dans certains cas précis tel que le traitement à grande échelle de données sensibles, de réaliser une étude d’impact avant la mise en œuvre du traitement (article 35). De manière générale, le Règlement européen sur la protection des données, document complexe de plus de 200 pages, nécessite des compétences particulières et notamment des compétences juridiques pour être correctement interprété.
La plupart des CIL d’aujourd’hui deviendront les DPO de demain, sous réserve toutefois de justifier des compétences juridiques et techniques requises. Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions », sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données ».
Procéder dès aujourd’hui à la nomination d’un CIL compétent en matière juridique et en matière de protection des données, et qui deviendra le DPO demain, permet de préparer l’entreprise ou l’organisme à l’application de la loi sur la République Numérique en cours d’adoption, ainsi qu’à l’application, à compter du 25 mai 2018, du Règlement européen ainsi, sachant que la sanctions administratives des non-conformités vont considérablement augmenter, pour passer, dans un premier temps (Loi Lemaire) à 3.000.000 euros au premier manquement et, dans un second temps (25 mai 2018) à 20.000.000 € ou 4% du chiffre d’affaires mondial.
========================================================================
[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[3] Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[4] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
Pourquoi désigner un CIL externe ?
Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité. Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au pourcentage de non-conformité des petites structures, il est encore bien plus important.
Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.
Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.
Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :
A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :
Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.
Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».
La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.
Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.
Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].
Pascal ALIX, Avocat à la Cour et CIL
Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL
[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié
[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat
[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978
[5] PwC/Iron Mountain, « Beyond Good Intentions »
[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016
[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015
[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »
[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat
[10] 29 occurrences
[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation
[12] 33 occurrences
[13] 68 occurrences
[14] Article 14 du Règlement
[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015
[16] Article 22 III. de la loi
[17] Article 37 5. du Règlement
[18] Article 37 6. du Règlement
Le Règlement 2016/679 sur la protection des données personnelles (RGPD) abroge la Directive 95/46/CE datant de 1995.
A la différence d’une Directive, le Règlement s’impose uniformément dans tous les Etats membres de l’Union européenne sans que ces Etats n’aient besoin d’adopter une loi pour transposer les nouvelles règles dans le droit étatique. Le Règlement est un facteur d’unité en matière d’encadrement juridique du traitement des données personnelles dans l’Union européenne.
La disparité des lois de transposition entrainait une perte de confiance des personnes physiques lorsque leurs données circulaient au sein de l’Union, la protection de ces données n’étant pas équivalente entre les différents Etats membres et représentait aussi un frein conséquent pour une concurrence saine au sein de l’Union, les entreprises pouvant être tentées de favoriser une implantation dans les Etats où la loi de transposition était la moins stricte. Cette disparité était encore un facteur de coût et d’insécurité juridique pour les entreprises. En effet, selon le pays dans lequel une entreprise collecte ou souhaite transférer des données, le niveau de protection des données et la réglementation s’appliquant à leur traitement n’étaient pas équivalents. Les autorités de contrôle ne pouvaient, par ailleurs, sanctionner et surveiller de façon cohérente.
L’harmonisation permet de mettre un terme à ces difficultés.
Si le RGPD concède à certains endroits une certaine liberté aux Etats membres de l’UE, son considérant 8 précise que ces marges de manœuvre se limitent à « la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ». Il n’est donc pas question, a priori, de créer des différences de fond, mais de respecter l’ordre juridique interne des Etats-membres là où une uniformité ne serait pas respectueuse des disparités nationales.
Parmi les articles au sein desquels il est précisé que chaque Etat membre bénéficie de souplesse dans leur application, plusieurs concernent des questions d’organisations internes.
Ainsi, si le Règlement impose la création d’une autorité de contrôle en matière de données personnelles, une grande liberté est laissée aux Etats quant aux critères de sélection des membres de ces autorités, au mode de nomination, à la durée de leur mandat, etc.
Le respect de la structure organisationnelle des Etats membres se retrouve encore dans la possibilité qui leur est laissée de préciser eux-mêmes les opérations et procédures de traitement des données à caractère personnel par les juridictions et autres autorités judiciaires, avec la volonté explicite de respecter ainsi la séparation des pouvoirs (considérant 20).
Enfin, le respect de la séparation des pouvoirs au sein des Etats membres se retrouve encore dans la liberté totale laissée en matière de fixation de la sanction pénale. Si l’article 83 fixe le montant des amendes administratives, l’article 84 laisse les Etats membres déterminer le régime des autres sanctions applicables en cas de violation du Règlement. Ces sanctions devront néanmoins être « effectives, proportionnées et dissuasives ».
Le respect des souverainetés nationales est visible dans la possibilité laissée aux Etats membres de renforcer certaines règles lorsque celles-ci concernent des données sensibles ou présentant un intérêt public. L’article 6§2 permet ainsi aux Etats membres de déterminer « plus précisément les exigences spécifiques applicables au traitement » nécessaire notamment à l’exécution d’une mission d’intérêt public.
L’article 9 quant à lui pose comme principe l’interdiction du traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) avant de présenter des exceptions à ce principe (consentement de la personne concernée, sauvegarde des intérêts vitaux,…). Le Règlement laisse néanmoins la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». La flexibilité n’autorise ici que l’ajout de conditions en vue de renforcer les règles, le Règlement fixant donc quoiqu’il en soit un minimum de protection dans le traitement des données sensibles relatives à la santé.
Enfin, certains secteurs spécifiques font l’objet de contraintes moins fortes imposées par le Règlement afin de respecter, là encore, l’organisation et la culture des Etats membres. Ces secteurs sont en particulier ceux de la presse et de l’audiovisuel. Il revient ainsi aux Etats membres de fixer les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information. Le considérant 153 précise que pour ces secteurs, en cas de disparité au sein des Etats membres, c’est le droit de l’Etat membre dont relève le responsable du traitement qui devra s’appliquer.
Le secteur des ressources humaines offre lui aussi une possibilité accrue pour les Etats membres de prévoir des règles propres. La particularité ici est que les règles spécifiques pourront être créées par le droit des Etats membres, des conventions collectives ou par le droit découlant des accords d’entreprises. Les règles concernées sont toutes celles relatives au traitement des données personnelles dans la relation de travail (recrutement, exécution du contrat de travail, planification de l’organisation du travail, etc.). Ce dernier secteur fera donc sans doute l’objet d’une attention particulière dans les années à venir, des disparités concernant le traitement des données des salariés risquant d’apparaître régulièrement, au gré des modifications des conventions collectives ou des accords d’entreprises. Les syndicats auront un rôle important à jouer dans la défense des données de ces salariés.
***
Le Règlement a cherché à préserver, dans cette uniformisation des règles applicables au traitement des données personnelles, quelques libertés pour les Etats membres afin de respecter les organisations internes ou des secteurs spécifiques.
L’avenir nous montrera si les petites brèches dans l’uniformité n’ont pas créé trop de différences notables, la recherche saine et juste de l’équilibre entre uniformité et liberté en amont laissant courir un risque de déséquilibre, en aval, dans l’usage que les Etats membres feront de ces petits espaces de liberté.