Articles

Le règlement général sur la protection des données[1], qui est entré en application le 25 mai 2018, est construit autour de deux concepts, l’accountability et le privacy by design. A la logique de la directive de 1995[2] qui était principalement tournée vers un mécanisme de formalisme fait de déclarations des traitements à l’autorité de contrôle compétente, la CNIL en France, le RGPD préfère une logique davantage tournée vers la responsabilité des acteurs. Pour ce faire, l’étape de l’analyse d’impact avant la mise en œuvre d’un traitement prend une connotation particulière. En effet, comme l’indique le guide de la CNIL intitulé « Analyse d’impact relative à la protection des données personnelles, PIA (Privacy Impact Assessment), la méthode »[3], maîtriser la bonne méthode pour la réalisation d’une étude d’impact permet à la fois de répondre aux exigences de l’accountability, c’est-à-dire à l’obligation pour le responsable de traitement de pouvoir justifier de la démarche de conformité mise en place, et de la privacy by design, c’est-à-dire la mise en place de solutions répondant dès leur conception aux exigences de protection des données personnelles.

L’analyse d’impact dans le RGPD

L’article 35 du RGPD vient préciser quand l’analyse d’impact doit être mise en place, en donnant des indices liés au type de traitement, à sa nature, à sa portée et au contexte dans lequel il se situe ainsi qu’à ses finalités. Si, au regard de ces différents éléments, les risques pour les droits et libertés des personnes concernées par le traitement sont élevés, le règlement impose qu’une analyse d’impact soit réalisée avant la mise en œuvre du traitement, même si, en pratique, il n’est pas rare de réaliser une telle analyse postérieurement. Cette description étant peu précise et donc sujette à diverses interprétations, l’article 35.3 du règlement liste une série de trois cas pour lesquels l’analyse d’impact est requise (évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé ;  traitement à grande échelle de catégories de données visées à l’article 9, paragraphe 1 (données sensibles), ou de données visées à l’article 10 ; surveillance systématique à grande échelle d’une zone accessible au public).

En plus de ces cas, des précisions ont été apportées par la CNIL et l’ancien Groupe de Travail « article 29 »[4]. En effet, une analyse d’impact doit obligatoirement être menée :

  • si le traitement envisagé figure dans la liste des opérations de traitement pour lesquelles la CNIL a estimé qu’une analyse d’impact devait être réalisé[5];
  • ou si le traitement remplit au moins deux des neufs critères issus des lignes directrices du Groupe de Travail « Article 29 »[6]:

Omettre une analyse d’impact alors que, pour la CNIL, une telle analyse aurait dû être réalisée entraînera un risque très important, à la fois de sanction et d’investissements supplémentaires pour la révision complète de l’outil déjà développé. On pense particulièrement aux sous-traitants, qui risquent de perdre la totalité de leur clientèle si le service qu’ils proposent n’a pas donné lieu à une analyse d’impact alors même qu’une telle analyse s’imposait.

Comment mener une analyse d’impact ?

Une grande liberté est laissée au responsable du traitement, accompagné de son DPO le cas échéant, pour mener cette analyse. Le RGPD précise dans ses considérants que « cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement »[7]. L’article 35.7 du RGPD indique ce qu’elle doit comporter a minima : une description des opérations de traitement envisagées et des finalités du traitement, y compris le cas échéant l’intérêt légitime poursuivi par le responsable du traitement, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de leurs finalités, une évaluation des risques pour les droits et libertés des personnes concernées et enfin les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Face au texte relativement lacunaire du RGPD, le responsable de traitement peut se tourner vers les outils mis à sa disposition par la CNIL. Il s’agit notamment de trois guides tels qu’une méthode[8], des modèles utiles pour formaliser l’étude d’impact[9] et des « bases de connaissance »[10]qui constituent un catalogue de mesures destinées à respecter les exigences légales L’autorité de contrôle française propose également aux responsables de traitement un logiciel open source Privacy Impact Assesment (PIA) ayant pour objet, selon cette dernière, de faciliter « la conduite et la formalisation d’analyses d’impact relatives à la protection des données telles que prévues par le RGPD ». Il ne s’agit pas d’un outil qui calcule automatiquement les risques, le risque devant être apprécié par la personne remplissant le formulaire et notamment par le responsable du traitement.

Ces outils permettent ainsi de préciser le niveau de risque à partir de deux indices notamment : la gravité (caractère préjudiciable de la réalisation du risque) et la vraisemblance qu’un tel risque se réalise.

La CNIL précise les différentes étapes de l’analyse. Celle-ci doit démarrer par une présentation et une description du contexte. Le contexte prend en compte les finalités, les enjeux, les supports,… du traitement objet de l’analyse. La seconde étape concerne les mesures mises en œuvre pour la réalisation de ce traitement, qu’elles soient juridiques (consentement de la personne concernée, informations, durée de conservation, droits d’opposition,…) ou opérationnelles (organisation interne, sécurité,…). La troisième étape est l’analyse des risques en tant que telle : d’où viennent-ils, quelle gravité, quelle probabilité qu’ils surviennent ? Puis vient la dernière étape qui consiste à se demander si l’évaluation a été concluante ou non. Si elle ne l’a pas été il convient de prendre des décisions et de se fixer des objectifs afin de remédier aux manquements, et si elle l’a été, il faut acter l’ensemble des mesures prises et les mettre en œuvre lors du traitement. Le responsable du traitement valide ensuite le DPIA.

On peut souligner le fait que ces étapes ne sont pas nécessairement chronologiques. Ainsi, il est indispensable de revenir sur l’étape concernant les mesures une fois l’étape sur les risques réalisées, car la validation des mesures envisagées ne peut se faire qu’au regard des risques prévisibles.

Pour la CNIL une telle méthode devrait être envisagée dès lors qu’un nouveau traitement est mis en place. Alors que l’accountability devient le principe directeur, et que les sanctions imposées par le règlement sont très élevées[11], il semble en effet prudent et raisonnable, malgré les contraintes certaines que cela entraîne, de mettre en place cette analyse de façon systématique. Elle doit être réalisée le responsable de traitement conseillé par son DPO s’il y en a un au sein de l’organisme et assisté, le cas échéant, par ses sous-traitants[12].

Le DPIA étant réalisé au moyen de l’outil PIA de la CNIL ou d’un autre outil logiciel, le responsable dispose d’un rapport qu’il doit conserver précieusement. Cela lui permettra de justifier de la légalité du traitement et que tout a été mis en œuvre, en amont, afin de respecter l’ensemble des principes de l’article 5.1 du RGPD.

Hubert de Segonzac, Avocat associé et DPO externe,
Avec la participation de Salomé Aulias, élève-avocate

 

[1] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3] Analyse d’impact relative à la protection des données (PIA). CNIL, édition février 2018.

[4] Depuis devenu le « Comité Européen de Protection des Données » à partir de la mise en application du RGPD, le 25 mai 2018.

[5] https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

[6] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf. Le Groupe de travail article 29 est le prédécesseur du Comité Européen de la Protection des Données mis en place par le RGPD.

[7] Considérant 90 du règlement.

[8] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-fr-methode.pdf (édition février 2018)

[9] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf (édition février 2018)

[10] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf (édition février 2018)

[11] Pouvant aller jusqu’à une amende de 20 millions d’euros à 4 % du chiffre d’affaires annuel mondial de l’entreprise.

[12] Selon les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 telles que modifiées et adoptées en dernier lieu le 04 octobre 2017 (https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf )

cookies

Les États membres ont approuvé hier un mandat de négociation en vue de la révision des règles « ePrivacy » sur la base du texte suivant, à soumettre au Parlement : https://lnkd.in/eAEw2H8

Le projet de règlement ePrivacy, dans sa dernière version, contient notamment les règles suivantes au sujet des cookies et traceurs :

1) L’équipement terminal d’un utilisateur pouvant contenir des informations très personnelles, l’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’appareil ne seront autorisées qu’avec le consentement de l’utilisateur ou ou dans des cas très précis prévus par le règlement.

2) Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un « verrou d’accès payant » (cookie-or-pay-wall) sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.

3) Un utilisateur final pourra donner son consentement, dans ses paramètres de navigation, à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs.

Le 9 novembre 2018, le Conseil de l’Union Européenne a approuvé le texte du règlement sur la libre circulation des données non-personnelles[1], destiné non plus à protéger les droits des personnes physiques dans le cadre du traitement de leurs données à caractère personnel, mais à éliminera les obstacles à la libre circulation des données à caractère non personnel dans l’UE. Un accord provisoire avait été conclu le 19 juin 2018 entre le Conseil de l’UE, la Commission et le Parlement Européen[2] sur la base du texte adopté le 4 octobre 2018 au Parlement de Strasbourg[3]. Selon la revue « Clubic »[4], cette nouvelle réglementation « boosterait considérablement l’économie numérique sur le marché mondial et la croissance de la zone (à hauteur de 4 % du PIB d’ici 2020) ».

 

Objectifs

Selon Andrus Ansip, vice-président chargé du marché unique numérique : «Les restrictions liées à la localisation des données sont des signes de protectionnisme […]. Nous avons franchi une nouvelle étape grâce à cet accord pour la libre circulation des données à caractère non personnel afin de promouvoir les innovations technologiques et de nouveaux modèles économiques et de créer un espace européen pour tous les types de données.».

L’idée est d’ouvrir la voie à un véritable marché unique européen du stockage et du traitement des données et, partant, à un secteur européen des services en nuage compétitif, sûr et fiable.

Selon le Parlement européen, « le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, à la responsabilité, à l’éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d’autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits. »[5].

Selon le Conseil d’UE, cette nouvelle règlementation européenne est destinée à « dynamiser l’économie des données et le développement de technologies émergentes telles que les systèmes autonomes transfrontières et l’intelligence artificielle. ». Le but est de créer un espace européen unique (« marché numérique unique ») des données au sein duquel des données de plus en plus nombreuses pourront circuler sans entrave.

La libre-circulation des données non personnelles dans l’UE. Une mesure qualifiée de « cinquième liberté », après les personnes, les biens, les services et les capitaux[6].

Les données concernées sont les données statistiques, les données relatives aux personnes morales, les données anonymisées, ainsi que l’ensemble des autres données qui ne répondent pas à la définition de la donnée à caractère personnel[7][8][9].

 

Les nouvelles règles sur la libre circulation des données à caractère non personnel

La nouvelle réglementation reposera sur les principes suivants :

  1. Assurer la libre circulation des données à travers les frontières

La libre circulation des données à travers les frontières supposera l’interdiction des restrictions liées à leur localisation. En clair, cela signifie l’interdiction pour les États d’imposer le stockage ou le traitement des données non personnelles sur leur sol, à moins qu’elles ne concernent la sécurité publique[10].

Selon la rapporteure suédoise Anna Maria Corazza Bildt (PPE), « Cette législation change vraiment la donne, en offrant à la fois aux entreprises et aux autorités publiques des gains potentiels énormes en termes d’efficacité. Cela réduira le protectionnisme en matière de données, qui menace l’économie numérique, et ouvrira la voie à l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées »[11].

Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public (traitements souverains). Le #RGPD et le #RDNP devront « fonctionner ensemble » pour permettre à la fois la protection des données à caractère personnel et la libre circulation de toutes les données, à caractère personnel et à caractère non personnel.

En cas de jeux de « données composites » (par ex. jeux de données comprenant à la fois (1) des données inférées ou dérivées constituant des données à caractère personnel et (2) des données statistiques ou des données d’exploitation non identifiantes), la disposition du RGPD garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu[12].

 

  1. Assurer la disponibilité des données à des fins de contrôle réglementaire

Les pouvoirs publics doivent pouvoir avoir accès aux données à des fins de contrôle et de surveillance quel que soit l’endroit où elles sont stockées ou traitées dans l’UE, sous peine de sanction en cas d’entrave [13]. Cet aspect de la nouvelle réglementation est probablement un de ceux qui sera examiné de près par les acteurs du Cloud ainsi que par les acteurs de la protection des données à caractère personnel.

Le projet de #RDNP prévoit que les « autorités compétente » peuvent, après avoir vainement demandé l’accès aux donnés d’un utilisateur et faute d’accord de coopération spécifique, « solliciter l’assistance de l’autorité compétente dans un autre État membre, conformément à la procédure prévue à l’article 7[14] ».

Rappelons qu’EUROPOL s’inquiétait des conséquences des nouvelles règles sur la protection des données en ce qu’elles peuvent parfois « compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières »[15]. Comme dans d’autres domaines, il sera parfois nécessaire d’arbitrer entre liberté et sécurité.

 

  1. Encourager l’instauration de codes de conduite de l’UE pour les services en nuage (Cloud)

Il s’agit de lever les obstacles au changement de fournisseur de services de stockage en nuage et à la portabilité de l’ensemble des données numériques – et pas seulement des données à caractère personnelle – pour leur rapatriement sur les systèmes informatiques internes des utilisateurs ou vers d’autres systèmes informatiques.

Le projet de règlement prévoit qu’au plus tard le … [48 mois à partir de la date de publication du présent règlement [16]], la Commission soumet un rapport au Parlement européen, au Conseil et au Comité économique et social européen, notamment sur « l’élaboration et la mise en œuvre effective des codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs de services ».

Le projet de #RDNP prévoit, comme le #RGPD, des « sanctions effectives, proportionnées et dissuasives en cas de manquement à l’obligation de fournir des données, conformément au droit de l’Union et au droit national »[17]

Le projet de #RDNP prévoit, comme le #RGPD, une période transitoire de 24 mois pendant laquelle les organismes doivent se mettre en conformité[18].

Pascal ALIX, Avocat à la Cour et Délégué à la Protection des Données

 

[1] http://data.consilium.europa.eu/doc/document/PE-53-2018-INIT/en/pdf

[2] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[3] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[4] « l’Union européenne crée un « Schengen » de la donnée » https://www.clubic.com/pro/it-business/securite-et-donnees/actualite-844266-libre-circulation-union-europeenne-cree-schengen-donnee.html

[5] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[6] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[7] Article 3 1) du projet de règlement : « «données», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679 »

[8] Article 4 1) du RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social

[9] par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l’analyse, les données sur l’agriculture de précision qui peuvent aider à surveiller et optimiser l’utilisation de pesticide et d’eau, ou les données sur les besoins de maintenance de machines industrielles » (https://www.nextinpact.com/brief/l-ue-s-apprete-a-signer-le-reglement-sur-la-libre-circulation-des-donnees-6523.htm).

[10] Le lobby « Cispe Cloud », représentant les acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) se félicite de cette adoption.

[11] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[12] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[13] Considérant 24 du projet de Règlement : « le présent règlement devrait clairement préciser qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre. ».

[14] Article 5 2.

[15] https://www.euractiv.fr/section/economie/news/privacy-regulators-in-hotseat-over-future-of-fundamental-website-owners-list/

[16] Projet actuel

[17] Article 5 4.

[18] Par ex. article 4

Lire la suite