Article réservé aux abonnés Archimag.com

Données personnelles : le nouveau cadre européen

  • silhouette.jpg

    Les personnes pourront s’opposer à faire l’objet de profilage à des fins de prospection et retirer le consentement au traitement de leurs données à caractère personnel, pour les traitements reposant sur ce seul fondement. (r2hox / Visualhunt / CC BY-SA)
  • Adoption du nouveau cadre européen relatif à la protection des données personnelles : les entreprises ont deux ans pour se mettre en conformité.

    Après quatre année de débats intenses, le Règlement général relatif à la protection des données personnelles (RGDP) a enfin été adopté par le Parlement européen le 14 avril 2016. D’application immédiate et uniforme dans toute l’Union européenne, et même au-delà (2), il vise à remplacer la directive 95/46/CE du 24 octobre 1995 transposée en France dans la loi Informatique et libertés du 6 janvier 1978 modifiée en 2004.

    Bien que les nouvelles exigences ne soient applicables qu’à partir du 24 mai 2018 (2), les entreprises, organismes publics et autres organisations devraient se pencher sans plus tarder sur les conséquences de cette adoption tant les changements induits sont importants. Les éléments suivants devraient plus particulièrement retenir l’attention.

    1. Obligation de démontrer la conformité (principe d’accountability)

    Si les principes (licéité et loyauté, transparence, finalité, proportionnalité, qualité des données, durée de conservation limitée, sécurité…) demeurent globalement inchangés, la réponse aux nouvelles exigences implique un changement radical de culture et d’investissement de la part des responsables de traitement. Ils devront en effet, en application du nouveau « principe d’accountability », être en mesure de démontrer la conformité des traitements mis en œuvre au RGPD en adoptant une approche par les risques.

    Cette démarche implique notamment de disposer de procédures écrites, de mesures techniques et d’une organisation interne appropriées, ainsi que de mettre en œuvre les diligences spécifiques prescrites par le règlement, comme la conduite d’étude d’impact sur la vie privée ou encore la mise en œuvre de mesures de protection de la vie privée dès la conception (privacy by design) ou par défaut (privacy by default) pour garantir la sécurité des traitements. La tenue obligatoire d’une cartographie des traitements va venir remplacer en partie l’accomplissement de formalités, une procédure de consultation préalable de la Cnil demeurant applicable pour les traitements pour lesquels les risques sont importants.

    2. Responsabilité accrue des sous-traitants

    Le règlement met par ailleurs fin à la quasi-impunité dont jouissaient jusqu’à présent les sous-traitants qui n’étaient pas redevables auprès des personnes concernées de l’obligation de sécurité, faisaient notamment porter aux seuls responsables de traitement l’intégralité de la responsabilité liée aux failles de sécurité (3). Désormais, les sous-traitants seront redevables au même titre que les responsables de traitement de la mise en œuvre des mesures destinées à assurer la sécurité et la confidentialité des traitements. Le règlement prévoit toutefois que responsables de traitement et sous-traitants pourront se répartir contractuellement cette responsabilité, ce qui laisse augurer de longues heures de renégociation des contrats de prestation en cours…

    3. Généralisation de l’obligation de notifier les violations de sécurité

    Le règlement instaure par ailleurs une obligation générale de notification à l’autorité de contrôle nationale (la Cnil en France) des violations de données personnelles, cette notification devant intervenir en principe dans les 72 heures de sa survenance (ce qui implique notamment de mettre en place une procédure de détection de telles violations). Une notification doit également être effectuée auprès des personnes concernées en cas de risques élevés pour les droits et libertés des personnes, cette obligation ne s’appliquant toutefois pas si les données compromises ont été chiffrées au préalable.    

    4. Renforcement considérable des droits des personnes

    Outre le droit à l’effacement (ou droit à l’oubli sur internet) déjà consacré par l’arrêt Google Spain (4), les personnes pourront s’opposer à faire l’objet de mesures de profilage à des fins de prospection et retirer le consentement au traitement de leurs données à caractère personnel, pour les traitements reposant sur ce seul fondement. Par ailleurs, de nouvelles mesures d’information des personnes s’appliquent, ce qui implique de revoir l’ensemble des mentions d’information existantes et le droit d’accès des personnes est complété par un droit à la portabilité des données précédemment communiquées à un responsable de traitement afin de les transmettre à un autre responsable de traitement. Le règlement consacre également le principe du droit à un recours effectif des personnes contre un responsable de traitement ou un sous-traitant, y compris par le biais d’une action collective pouvant être introduite par une association de défense des droits.

    5. Désignation obligatoire de délégués à la protection des données à caractère personnel

    La désignation de délégués à la protection des données à caractère personnel – venant remplacer en France le dispositif facultatif du Correspondant informatique et libertés (Cil) – va devenir obligatoire pour tous les organismes publics (à l’exception des juridictions), ainsi que tous les organismes privés dont les activités consistent en des opérations de traitement exigeant un « suivi régulier et systématique et à grande échelle » des personnes ou encore ceux traitant « à grande échelle » des données sensibles (5) ou de données relatives aux infractions, condamnations et mesures de sûreté.

    Ces délégués devront être particulièrement qualifiés : le règlement prévoit ainsi qu’ils devront disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Soumis au secret professionnel, ils rapporteront au plus haut niveau de la direction de l’organisme.

    Si les cas dans lesquels une telle désignation sera obligatoire ne sont tous encore connus (la liste pouvant être étendue par le droit de l’Union ou d’un État membre), il est possible de considérer dès à présent que les compagnies d’assurance, leurs agents et courtiers, les établissements bancaires et financiers, les établissements de santé, les laboratoires pharmaceutiques, les cabinets de recouvrement de créances, les organismes de recherche… seront concernés par cette obligation, de même que les régies publicitaires sur internet, les sociétés exploitant des mégabases de données, les réseaux sociaux et moteurs de recherche, sans que cette liste soit bien entendu limitative.

    6. Caractère dissuasif des sanctions

    Afin d’assurer l’effectivité de la protection, le montant des sanctions va avoisiner celles pouvant être décidées en matière de droit de la concurrence. L’autorité de contrôle pourra ainsi décider d’amendes administratives pouvant aller jusqu’à 20 millions d’euros (6) ou jusqu’à 4% du chiffre d’affaires mondial consolidé pour les entreprises. L’importance de la sanction pourra néanmoins être modulée par exemple selon le degré de responsabilité du responsable de traitement ou du sous-traitant ou de coopération avec l’autorité de contrôle, ou encore en présence d’un code de conduite ou d’une certification visant à assurer le respect des règles prescrites par le RGPD.   

    7. Nouveau rôle dévolu aux mécanismes de certification et codes de conduite

    Le RGPD accorde enfin une place importante aux mécanismes de certification et codes de conduite professionnels qui seront pris en compte pour apprécier les garanties apportées par les responsables de traitement et les sous-traitants en matière de protection des données à caractère personnel et notamment, comme nous venons de le voir, apprécier le montant des sanctions. Cette perspective a déjà commencé à attirer des organismes professionnels qui ont vu l’intérêt pour leurs membres de solliciter la validation de procédures de labellisation : ainsi, la FNTC (7) a obtenu le 17 mars 2016 un avis de conformité de la Cnil sur son projet de label E-vote (8).

    Echéance du 24 mai 2018

    Au vu de tous les changements induits par le RGPD, dont seuls quelques-uns ont été évoqués ci-dessus, l’échéance du 24 mai 2018 peut paraître bien courte. Les entreprises et organismes, qu’ils agissent en qualité de responsables de traitement ou de sous-traitants, devraient donc se soucier dès à présent de réfléchir à leur stratégie de conformité afin de pouvoir aborder l’entrée en vigueur des dispositions du règlement avec un minimum de sérénité.

    Nathalie Metallinos
    [avocate à la Cour, cabinet Idea, chargée d’enseignement à l’Université Paris-Sud, co-responsable de l’atelier protection des données personnelles de l’Adij]

    • (1) Les entreprises établies en dehors de l’Union européenne seront assujetties au RGPD dès lors que les activités de traitement de données personnelles sont liées à l’offre de biens ou services, y compris à titre gratuit, à des résidents de l’Union européenne ou au suivi du comportement de personnes au sein de l’Union européenne et pourront donc être sanctionnées par des autorité européennes de protection des données.  
    • (2) Soit 20 jours après sa publication au Journal officiel de l’Union européenne.
    • (3) Voir par exemple sur la confirmation d’une sanction de la Cnil prononcée à l’encontre de la société Orange du fait des insuffisances d’un sous-traitant : CE, 30 décembre 2015, 385019.
    • (4) CJUE, 13 mai 2014, affaire C‑131/12.
    • (5) Il s’agit des données se rapportant aux origines raciales ou ethniques, aux opinions politiques, religieuses ou philosophiques, à l’appartenance syndicale, aux données se rapportant à la santé, la vie ou l’orientation sexuelle des personnes ou encore les données génétiques ou biométriques aux fins d’identification des personnes.
    • (6) Le montant maximal des sanctions administrative pouvant être décidé par la Cnil à ce jour est de 150 000 euros (300 000 euros en cas de récidive).
    • (7) Fédération des tiers de confiance.
    • (8) Délibération n° 2016-071 du 17 mars 2016 de la Cnil portant avis sur un projet de label « E-vote » présenté par la FNTC.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Tiraillées entre les demandes d’extension de leurs horaires et la question du prêt numérique, les bibliothèques se bougent pour faire évoluer autant leurs murs que la manière de les aménager et de les outiller.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le chiffre du jour

    C'est le nombre de documents relatifs aux attentats du 13 novembre 2015 et mis en ligne sur le site des Archives municipales de Paris.

    Recevez l'essentiel de l'actu !

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.