Articles

Août 2016 : le cabinet VIRTUALEGIS intègre le classement de la revue « DECIDEURS » des meilleurs cabinets d’avocats français dans la catégorie « Nouvelles technologies – Données personnelles » , dans la rubrique « Forte Notoriété -1″

Lire la suite

Le 14 avril 2016, le Parlement européen a adopté le Règlement 2016/679 sur la protection des données personnelles, après plus de quatre ans de négociation et discussions. Il sera applicable à partir du 25 mai 2018 dans tous les pays membres de l’Union européenne.

Ce texte représente une avancée majeure alors que le texte européen applicable en matière de données personnelles était jusqu’alors la directive 95/46/CE datant de 1995, époque où Internet balbutiait et où les smartphones et les applications qui les accompagnent relevaient encore de la science-fiction.

L’émergence rapide de l’ère du numérique a rendu nécessaire l’adoption d’un nouveau texte. La nature juridique de ce texte, un règlement, est déjà une avancée conséquente pour les entreprises. Alors qu’une directive demande une transposition dans chaque Etat membre, impliquant des différences entre les lois de transposition, le Règlement, applicable sans transposition, permet d’unifier le marché européen en matière de protection des données personnelles. A l’heure du big data, cette unification permet de garantir un niveau de protection des données personnelles équivalent au sein de tous les pays membres et d’éviter le forum shopping [1].

En parallèle, et au fur et à mesure de l’importance qu’a pris le recueil des données par les entreprises, le citoyen a pris conscience du danger que peut représenter l’utilisation de ses données. En consacrant le droit à l’oubli, déjà reconnu par la Cour de Justice de l’Union Européenne par l’arrêt du 13 mai 2014[2], et le droit à la portabilité des données personnelles, l’Europe confirme avec ce Règlement que les données personnelles sont et demeurent la propriété des personnes physiques concernées. Partant, le citoyen demandera sans cesse plus de gages concernant le recueil et l’utilisation des données qu’il accepte de transmettre.

Ainsi, bien qu’applicable à partir du 25 mai 2018[3], les entreprises sont encouragées à prendre connaissance des obligations du Règlement et anticiper cette application. D’autant plus que ce texte appelle à un changement de comportement, en mettant la protection des données personnelles au cœur de la réalisation des produits tout d’abord, puis de la politique de l’entreprise.

 

La protection des données dès la conception des produits ou services

En faisant explicitement référence à la notion de « privacy by design »[4], le Règlement pose la protection des données personnelles en principe structurant dès la conception des produits, services ou applications.

Chiffrement, pseudonymisation et autres mesures… devront être anticipés par les responsables des traitements des données. Le Règlement impose que les mesures de protection soient proactives et préventives, au lieu d’être comme aujourd’hui, principalement correctives.

La notion de « privacy by design » est par ailleurs accompagnée, dans le même article du Règlement (article 25), du principe de « privacy by default ». Il revient au responsable du traitement des données de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

L’obligation pour le responsable du traitement et le sous-traitant de pouvoir démontrer le respect du Règlement

Le Règlement vise à responsabiliser les entreprises en leur demandant d’être à même de démontrer qu’elles respectent les règles relatives à la protection des données personnelles lors des traitements. Ce paradigme du Règlement peut se retrouver sous la notion d’accountability.

L’accountability se retrouve en arrière-plan de la nouvelle obligation de réalisation d’une analyse d’impact en amont de certains traitements. Cette analyse s’impose lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La qualification du traitement à risque va découler de sa nature, de sa portée, du contexte et des finalités de ce traitement. L’analyse doit être effectuée avant le traitement et peut conduire le responsable du traitement à consulter l’autorité administrative de contrôle, la CNIL en France, au cas où l’analyse conclut à un risque élevé.

L’accountability passe encore par la tenue d’un registre des traitements comme cela est fait aujourd’hui par les correspondants informatique et libertés (« CIL »). Le registre sera obligatoire pour les responsables de traitement ou les sous-traitants de plus de 250 salariés ou lorsque le traitement pourra constituer un risque pour les droits et libertés des personnes concernées, ne sera pas occasionnel ou qu’il portera notamment sur des données sensibles. Les sous-traitants, qui pourront donc aussi être amenés à respecter cette obligation voient ainsi leur responsabilité et leur rôle auprès des responsables de traitement avec lesquels ils travaillent s’accroître.

Ce registre devra en particulier préciser la finalité du recueillement des données, les mesures de sécurité, le transfert éventuel de ces données vers un pays tiers, la durée de la conservation des données.

La notion d’accountability tend enfin à imposer aux entreprises la transmission à leurs salariés et collaborateurs d’une culture de protection des données qui peut passer en particulier par la mise en place de formations internes, l’application de codes de conduite élaborés par les associations représentant des catégories de responsables du traitement ou encore la demande de certifications.

Le DPO : un acteur stratégique pour l’application du Règlement par les entreprises

Afin de veiller au respect de ces différentes obligations, le Règlement crée un nouvel acteur pour l’application des règles encadrant le traitement des données personnelles : le délégué à la protection des données, ou Data Protection Officer (« DPO »). Ce DPO, tout comme le CIL aujourd’hui, pourra être un salarié ou un expert externe tel un avocat.

Le DPO – dont la dénomination française n’a pas encore été choisie, la CNIL pouvant, par exemple décider de continuer à exploiter la marque « CIL » – aura comme principales responsabilités d’être garant de la conformité de la protection des données personnelles par les responsables de traitement et les sous-traitants. Il bénéficiera en outre de prérogatives accrues en matière de gestion des risques, en particulier lors de la réalisation de l’analyse d’impact, le cas échéant, pour la réalisation de laquelle le responsable du traitement doit lui demander conseil. Il sera par ailleurs l’interlocuteur privilégié des autorités administratives et des personnes concernées en cas de violations de données personnelles. Le DPO pourra aussi conseiller les entreprises quant à l’adhésion à des codes de conduite ou la soumission à des certifications.

Sa nomination sera obligatoire pour les personnes morales de droit public et pour les personnes morales de droit privé lorsque, sans que ces critères soient cumulatifs :

  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (données sensibles) et de données à caractère personnel relatives à des condamnations pénales et aux infractions.

Pour autant, même pour les entreprises responsable de traitement ou sous-traitante non concernées par l’obligation, la nomination d’un DPO est fortement recommandée. En effet, être conseillé par un professionnel formé et ayant la pleine connaissance des enjeux, contraintes et règles à respecter pour être en conformité en matière de protection des données permettra à l’entreprise de garantir le respect du Règlement.

Cette mise en conformité est d’autant plus importante que le règlement modifie les sanctions en cas de violation. Oubliée la sanction maximum de 150 000 €. A partir de 2018, les sanctions administratives pourront aller jusqu’à 4% du chiffre d’affaires mondial.

Mais au-delà de la crainte engendrée par la sanction, le respect du Règlement peut surtout permettre à l’entreprise de communiquer sur ses bonnes pratiques en matière de protection des données.

Comme il est dorénavant primordial pour une entreprise de montrer qu’elle est respectueuse de l’environnement, gageons qu’avec l’entrée en vigueur du Règlement il sera bientôt impératif pour les entreprises de prouver à leurs clients qu’elles sont intransigeantes en matière de sécurité, de protection des données personnelles et de transparence lors de leur recueil.

Les premières entreprises à prendre en considération les différents points énoncés ci-dessus bénéficieront à n’en pas douter d’un avantage concurrentiel majeur.

2018 se prépare dès aujourd’hui.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, avocat et CIL


[1] Rattachement volontaire au pays offrant la loi la plus favorable

[2] Cour de Justice de l’Union Européenne, 13 mai 2014

[3] Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adopté le 14 avril 2016, puis publié au Journal Officiel de l’Union Européenne le 4 mai 2016. Il est entré en vigueur vingt jours après sa publication, soit le 24 mai 2016. Il sera applicable deux ans après, soit le 25 mai 2018

[4] Intégration de mécanismes de protection des données personnelles dès la conception de l’architecture du traitement de données