Articles

Le 20 mars 2018, Pascal Alix participe avec EVERTEAM à un atelier « Le RGPD en pratique et bien outillé » au Salon « DOCUMATION » de Paris.

Lire la suite

Le 13 mars 2018, Hubert de Segonzac, Avocat au Barreau de Paris et correspondant Informatique et Libertés​ (VIRTUALEGIS) participe avec EVERTEAM à un atelier « LA GOUVERNANCE DE L’INFORMATION A L’AUNE DU RGPD ET LES OUTILS POUR ETRE CONFORME » au Salon « Big Data » de Paris.

Lire la suite

Juillet 2017 : le cabinet VIRTUALEGIS pour la deuxième fois consécutive dans le classement de la revue « DECIDEURS »des meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles », dans la rubrique « Forte Notoriété -1″.

Lire la suite

En application du principe d’accountability, le responsable de traitement, tout comme les sous-traitants, doivent pouvoir prouver à tout moment le respect des principes édictés par le RGPD.

L’article 30 du RGPD prévoit la mise en place d’un registre des traitements, qui remplace, pour faire simple, les anciennes obligations déclaratives. Le 14 juin 2017, la Commission de Protection de la Vie Privée (CPVP), équivalent de la CNIL en Belgique, a publié une recommandation[1] apportant des éléments de précisions sur cette obligation.

Quels organismes sont tenus d’avoir un registre des traitements de données ?

L’article 30 impose la mise en place d’un registre tant par les responsables de traitement que par les sous-traitants. Ce même article crée une exception pour les entreprises ou organisations « comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Plusieurs éléments de cette exception nécessitent des clarifications, notamment sur la qualification du « risque » et sur la notion d’« occasionnel ».

Pour la première exception, la recommandation s’appuie sur les considérants du RGPD, et en particulier son considérant 75 qui explicite la notion de « risque pour les droits et libertés des personnes concernées » en dressant une liste de ces risques :

  • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Sur la notion d’ « occasionnel », la CPVP part du terme anglais « occasionnal » pour expliquer qu’il caractérise un traitement « qui est tel par occasion, par hasard, fortuit, par opposition à habituel ». Pas réellement décisive, cette explication est suivie d’exemples qui sont quant à eux plus illustratifs : « Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs ».

Partant de cette liste d’exemples, qui reprend la plupart des traitements soumis aujourd’hui à des normes simplifiées, la prudence devrait finalement conduire tous les responsables de traitement ainsi que tous les sous-traitants à mettre en place un registre. C’est d’ailleurs à cette conclusion qu’aboutit la CPVP en invitant l’ensemble de ces acteurs à tenir un registre.

Le maintien temporaire de l’accès aux déclarations préalables

La CPVP rappelle que le registre est un outil de l’accountability comme cela a été précisé en introduction. Moyen de prouver que les obligations liées aux traitements des données sont respectées, il se substitue aux déclarations préalables encore en vigueur jusqu’au 25 mai 2018.

Pour autant, ces déclarations préalables contiennent un nombre important d’informations que les responsables de traitement peuvent être heureux de réutiliser pour compléter leur registre. La CPVP propose dès lors de maintenir ces déclarations accessibles jusqu’au 25 mai 2019, tout en alertant sur le fait que ces déclarations préalables ne concernent pas toutes les finalités. Ces précisions sont valables pour la France, les CIL ayant déjà pour habitude de se référer aux déclarations et autorisations pour compléter le registre. Elles resteront un outil précieux pour aiguiller les responsables et sous-traitants dans le respect de l’article 30 du RGPD.

Les informations devant apparaître dans le registre des RT et des ST

La Recommandation permet un rappel des informations listées à l’article 30 et devant apparaître dans le registre :

  • l’identité du responsable de traitement, de son représentant et du DPO. La CPVP précise que le fait de porter le nom du DPO sur le registre ne dispense pas de devoir l’indiquer à l’autorité compétente.
  • Les finalités de chacun des traitements, de façon précise et claire. Il est ici recommandé que, lorsque la finalité est assez générale, le rédacteur y apporte un descriptif plus précis.
  • Une description des catégories de personnes concernées par les données et un descriptif des données traitées. En ce qui concerne les personnes, il est recommandé de préciser l’âge des personnes concernées car le RGPD comprend des règles particulières pour les mineurs.
  • Les personnes à qui les données sont éventuellement transférées, que ce soit des transferts internes ou externes (sous-traitants,…).
  • Le lieu de transfert des données en particulier l’identification des pays tiers, les documents attestant de l’existence de garanties appropriées en l’absence de décision d’adéquation le cas échéant et ce pour chacune des finalités identifiées. La CPVP rappelle que l’hypothèse d’un transfert vers un pays tiers avec lequel il n’existe pas de décision d’adéquation obligeant à apporter des garanties appropriées est cependant « une disposition qui ne doit être utilisée comme fondement au transfert qu’à titre tout à fait exceptionnel ». Par ailleurs, les garanties qui entourent ces transferts doivent être « strictes », « prévues par exemple dans un contrat à répertorier dans le Registre ».
  • La durée de conservation. Pour ce point particulièrement délicat pour les responsables de traitement, l’autorité belge précise simplement que cette durée n’est pas nécessairement une durée en jours, mois ou année mais peut être l’arrivée d’un événement : durée de prescription, temps de réalisation d’une finalité ou de gestion du contentieux éventuel qui s’en suivrait, durée d’archivage imposée par la loi à l’issue du traitement, etc.
  • Enfin, le dernier point à préciser concerne la façon dont sont stockées les données et leur sécurisation. La CPVP rappelle que ce point concerne tant la sécurité technique qu’organisationnelle et renvoie à une recommandation antérieure sur les questions de sécurité.

Pour les sous-traitants, qui seront désormais soumis à l’obligation de tenir un registre, les informations devant y apparaître seront légèrement différentes. En effet, il faudra que l’identité du sous-traitant ou de son représentant soit mentionnée ainsi que celles de chacun des responsables de traitement pour lesquels il intervient. Les catégories de traitement, et donc les finalités de chacun de ces traitements seront précisées, le sous-traitant ayant pour obligation de respecter celle-ci. Les transferts de données et les mesures de sécurisation devront enfin elles-aussi être mentionnés.

La forme du registre

Sur ce point, la CPVP n’apporte pas d’éléments particuliers de réflexion, mais reprend ce que le RGPD impose. A savoir un registre sous forme informatique, dans un langage clair et précis afin de permettre à l’autorité de contrôle de comprendre les traitements et comment ils sont réalisés.

Pour l’autorité belge aucun canevas ou modèle ne s’impose, chaque responsable disposant d’une grande liberté dans la mise en œuvre de ce registre. Elle conseille néanmoins à chaque secteur d’activités de proposer aux acteurs de ce secteur un registre type correspondant aux exigences et traitements habituels du domaine d’activité. La CPVP elle-même n’exclue pas, à ce stade, de proposer un modèle de registre.

Lorsqu’une même entité est à la fois responsable de traitement et sous-traitant, ce qui représente la majorité des situations des sous-traitants, il semble préférable de prévoir deux volets distincts au sein du registre. Mais sur ce point encore, l’autorité ne souhaite pas imposer quoi que ce soit et veut laisser une grande liberté aux acteurs.

Enfin, en ce qui concerne les informations du registre une fois un traitement terminé, la CPVP conseille de le laisser visible sur le registre en précisant les dates de début et de fin. On retrouve ici la logique liée à l’accountability.

***

Grâce à cette recommandation, la CPVP offre un point précis de ce qui attend les responsables de traitement et les sous-traitants avec la tenue du registre. L’autorité belge intègre parfaitement la logique qui irrigue le RGPD : l’accountability. Elle précise ainsi que si le RGPD indique les données devant obligatoirement apparaître, chaque responsable de traitement demeure libre de mettre d’autres informations sur le registre en tenant compte en particulier des spécificités des secteurs d’intervention, mais aussi d’autres obligations imposées par le RGP : la mise en place d’un PIA, les pertes de données ou autres violations, mention de la base légale du traitement, etc.

Toujours en lien avec l’accountability, la CPVP rappelle que ce registre devra faire l’objet d’une mise à jour constante afin que, dès que l’autorité le demande, ce registre puisse lui être remis sans qu’aucun traitement ou information ne soient manquants.

Enfin, en guise de rappel là encore, cette recommandation souligne que l’obligation de tenue du registre n’est pas anodine puisqu’en cas de violation de l’article 30, l’entreprise peut se voir infliger une amende administrative pouvant aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du CA mondial.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

[1] Recommandation n°06/2017 du 14 juin 2017, relative au registre des activités de traitements (article 30 du RGPD).

Lire la suite

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite

16 juin 2017 : RSSIA 2017 (conférence Cyber-sécurité) à Bordeaux : RGPD, cybersécurité, IoT, blockchains, confiance numérique | Intervention : « DPO un nouveau métier »

Lire la suite

11 mai 2017 : Conférence Le Moniteur : INTERNET DES OBJETS, BIG DATA, CYBERSECURITÉ : Impacts, risques et bénéfices pour les bâtiments connectés | Intervention : « Traiter la donnée : acteurs, applications et contraintes réglementaires »

Lire la suite

2 février 2017 : Conférence JINOV/Le Monde du Droit : Protection des données des juristes et secret professionnel

Intervention sur le rôle du CIL/DPO dans la protection des données à caractère personnel des clients, aux côtés de William Feugère, Président d’honneur des Avocats Conseils d’Entreprises (ACE), membre du Bureau du Conseil National des Barreaux, d’Olivier Cousi, ancien membre du Conseil de l’Ordre de Paris et responsable du département Communication et télécommunications du cabinet GIDE.

Lire la suite

Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle  la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité  est très faible. Ce fut vrai. Ce ne l’est plus.

Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].

Pourquoi désigner un CIL externe ?

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

A l’heure des objets connectés et de la vidéoprotection, à l’heure des « Smart Cities » ou « villes numériques » visant à la participation active des citoyens à la vie de la cité, à l’heure du tout numérique et des procédures administratives dématérialisées, la politique de protection des données personnelles mises en œuvre par les collectivités publiques ne peut plus être un sujet annexe.

Pourtant, cette problématique n’apparaît pas encore comme une priorité. Le budget dévolu à la sécurité des systèmes informatiques n’évolue pas ou très faiblement pour la majorité des communes alors même que les données affluent de plus en plus. Par ailleurs, les collectivités sont encore peu nombreuses à avoir nommé un correspondant Informatique et Libertés (futur « délégué à la protection des données » selon le Règlement européen). Une carte publiée par la CNIL indique en effet qu’en 2015, seules 650 collectivités locales sur 36700 en avaient un[1].

Les communes, et à leur tête les maires, sont peut-être encore peu au fait des risques qui pèsent en cas de violation de leur part de la loi Informatique et Libertés. C’est pourtant une raison de mise en cause de la responsabilité pénale du maire (5 ans d’emprisonnement, 300 000 euros d’amende). La CNIL prend d’ailleurs très au sérieux le respect de la loi Informatique et Libertés par les personnes publiques. Sa politique de contrôles pour l’année 2015 annonçait ainsi le contrôle des « Outils de mesure de fréquentation des lieux publics » dont beaucoup de collectivités se dotent aujourd’hui afin d’optimiser l’espace. Une étude des avertissements de la CNIL montre d’ailleurs que les collectivités territoriales ne font pas exception aux contrôles. Un exemple parmi d’autres concerne un avertissement adressé par la CNIL à une commune le 9 avril 2015, en raison d’un fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives. Les citoyens étant de plus en plus formés à la problématique des données personnelles, leurs attentes dans ce domaine vont aller grandissantes. L’impact de tels avertissements pour les communes et in fine leurs élus, au-delà même des risques pénaux, peut être destructeur en termes de communication et de confiance.

Ces différentes raisons vont nécessairement amener des évolutions et une prise de conscience.

L’une de ces évolutions va même être imposée puisqu’à compter du 25 mai 2018, jour de l’entrée en vigueur du Règlement européen sur les données personnelles, la nomination d’un délégué à la protection des données (ex-« CIL ») sera rendue obligatoire dans chaque « autorité publique » ou « organisme public »[2].

Mais sans attendre mai 2018, la nomination d’un CIL dès aujourd’hui revêt de nombreux atouts.

Le CIL permet en effet au responsable du traitement, en l’occurrence le Maire dans une commune, ou le président de l’établissement public de coopération intercommunale (par ex. communauté de communesd’être accompagné notamment lors de la mise en place de nouveaux traitements de données et de la modification des traitements existants. Or ces derniers sont particulièrement nombreux dans une collectivité et peuvent revêtir des questions juridiques complexes. Le traitement de certaines données sensibles nécessite en effet des demandes d’avis ou d’autorisation auprès de la CNIL. Parmi ces données, se trouvent les données relatives aux infractions et aux condamnations, qui intéressent la police municipale, les données biométriques, les appréciations sur les difficultés sociales des personnes (fichiers des centres communaux d’action sociale,…). Une autorisation est encore nécessaire à chaque fois que la collectivité procède à une interconnexion de fichiers dont les finalités sont différentes. Ces interconnexions sont pourtant amenées à être de plus en plus souvent effectuées, en raison des applications gérées par les collectivités et des objets connectés.

Le CIL permet aussi, toujours dans sa mission d’accompagnement, de procéder à la mise en conformité si des demandes d’avis ou d’autorisation n’ont pas été pas été effectuées ou irrégulièrement effectuées, si la sécurité informatique est insuffisante (absence de PSSI et de matrice d’habilitation, mesures techniques et de protection des données insuffisantes, etc.) ou si des recommandations n’ont respectées. Les règles de protection de données personnelles concernent l’ensemble des traitements de données, que ces données soient relatives au personnel interne à la collectivité ou aux administrés. Ainsi par exemple, alors que les exigences en termes de sécurité des citoyens sont de plus en plus fortes, un système de vidéo protection ne peut être installé sans respect des recommandations de la CNIL[3] en veillant en particulier à la proportionnalité du dispositif déployé. La CNIL contrôle aussi les dispositifs en ligne des collectivités (sites internet, applications, téléservices,…). Ces contrôles en ligne ont ainsi montré que plus de 60% des communes ne sécurisent pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Cette mise en conformité peut être accompagnée d’une sensibilisation des agents qui ont accès au traitement des données aux problématiques juridiques liées à ces traitements afin de limiter les risques.

Enfin, la nomination d’un CIL permet à la collectivité d’innover dans le respect de la loi. La demande des citoyens est forte de bénéficier de services en ligne (dématérialisation). A court terme, la grande majorité des communes disposera de son application afin de communiquer des informations et de connaître plus finement les attentes des habitants. Le CIL peut avoir pour rôle de vérifier, en amont, que ces outils respectent les règles en matière de données personnelles et de garantir aux élus une innovation respectueuse des règles légales. Ce service du CIL sera particulièrement précieux à compter de l’entrée en vigueur du Règlement européen qui impose lors de la mise en place d’innovations pouvant créer des risques en matière de protection des données personnelles la réalisation, avant tout développement, d’une analyse d’impact[4]. Pour la réaliser, le recours à un spécialiste sera, en pratique, nécessaire.

Le CIL peut être nommé en interne[5] ou être un prestataire externe. La loi n’est actuellement pas très exigeante puisqu’il faut simplement que la personne nommée dispose des « qualifications requises », sans qu’aucune précision ne soit apportée sur ce point. Or, le Règlement est bien plus précis et impose que le CIL soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) »[6]. Les connaissances juridiques et l’indépendance statutaire de l’avocat praticien du droit des nouvelles technologies, qui peut être CIL depuis 2009, le désigne tout naturellement pour accomplir une telle mission. Plusieurs collectivités ou un groupement de collectivités (Par ex. communautés de communes) peuvent, au demeurant, désigner un CIL mutualisé qui peut être un CIL externe.

Pascal Alix, Avocat et CIL

Hubert de Ségonzac, Avocat et CIL

[1] Gazette des communes, 4 septembre 2015, Protection des données personnelles : y a-t-il un CIL près de chez vous ?

[2] Article 37.

[3] Délibération n°94-056 du 21 juin 1994.

[4] Article 35.

[5] Le CIL est obligatoirement nommé en interne lorsque plus de 50 personnes sont chargés de la mise en œuvre des traitements ou y ont accès. L’entrée en vigueur marquera l’abandon de ce critère et la possibilité de recourir à un CIL externe dans tous les cas.

[6] Article 37.