16 juin 2017 : RSSIA 2017 (conférence Cyber-sécurité) à Bordeaux : RGPD, cybersécurité, IoT, blockchains, confiance numérique | Intervention : « DPO un nouveau métier »
Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité est très faible. Ce fut vrai. Ce ne l’est plus.
Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].
Pourquoi désigner un CIL externe ?
-
Parce que la plupart des petites entreprises sont actuellement hors la loi
Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité. Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au pourcentage de non-conformité des petites structures, il est encore bien plus important.
-
Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques
Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.
-
Parce que la non-conformité met en danger le modèle économique de l’entreprise
Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.
-
Parce qu’en 2017, les règles du jeu vont changer en France
Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :
- un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
- un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
- Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
-
Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore
A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :
- En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
- En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
- En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
- En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
- En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
- En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
- En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
-
Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données
Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.
-
Parce que la conformité va devenir à court terme un avantage concurrentiel
Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».
-
Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures
La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.
-
Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise
Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.
-
Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique
Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].
Pascal ALIX, Avocat à la Cour et CIL
Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL
[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié
[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat
[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978
[5] PwC/Iron Mountain, « Beyond Good Intentions »
[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016
[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015
[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »
[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat
[10] 29 occurrences
[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation
[12] 33 occurrences
[13] 68 occurrences
[14] Article 14 du Règlement
[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015
[16] Article 22 III. de la loi
[17] Article 37 5. du Règlement
[18] Article 37 6. du Règlement