Articles

Dans les petites entreprises françaises, la désignation d’un Correspondant Informatique et Libertés (CIL), futur « délégué à la protection des données »[1] est généralement perçue comme un coût, une variable d’ajustement, une non-priorité. Cette conception repose sur l’idée selon laquelle  la mise en conformité avec l’aide du « CIL » a un coût, prend du temps et de l’énergie, alors que le risque encouru en cas de non-conformité  est très faible. Ce fut vrai. Ce ne l’est plus.

Rappelons qu’actuellement le CIL peut être externe à l’entreprise dans les entreprises où moins de cinquante personnes sont « chargées de la mise en œuvre ou ont directement accès aux traitements ou catégories de traitements automatisés »[2]. Le CIL externe peut, depuis 2009, être avocat[3], en satisfaisant manifestement à l’exigence d’indépendance[4].

Pourquoi désigner un CIL externe ?

  • Parce que la plupart des petites entreprises sont actuellement hors la loi

Une étude récente PwC/Iron Mountain[5] indique qu’au moins 4 entreprises sur 10 employant 250 à 2500 personnes ne sont pas en conformité.  Si l’on examine les pratiques en matière de conservation des données, le pourcentage atteint 89 %. Quant au  pourcentage de non-conformité des petites structures, il est  encore bien  plus important.

  • Parce que la dématérialisation, l’explosion des données, la généralisation du « cloud » et des applications en mode SaaS augmentent les risques

Les petites structures utilisent massivement des outils peu sécurisés d’éditeurs hors UE pour traiter les données personnelles de leurs clients et partenaires (Par ex. Dropbox, Gmail, Office 365, Google Apps for Work, Google Drive, Amazon Web Services, etc.), en étant liés aux prestataires par des contrats non conformes (accès aux données et réutilisation, exclusion de responsabilité, etc.). Le CLUSIF a récemment[6] constaté que seules 25% des entreprises de plus de 200 personnes disposaient d’une politique d’utilisation du Cloud. Les entreprises de moins de 50 personnes n’en disposent généralement pas.

  • Parce que la non-conformité met en danger le modèle économique de l’entreprise

Le modèle économique de la plupart des entreprises repose désormais sur l’exploitation des données personnelles des prospects, des clients, des partenaires, des salariés et de tiers. Il s’agit d’une partie importante du « patrimoine numérique » de l’entreprise[7]. Leur perte peut avoir des conséquences économiques aussi graves, voire plus graves que la contrefaçon. Par ailleurs, la publication d’une sanction administrative ou d’une perte de données a un effet désastreux sur la réputation et l’image de l’entreprise. Enfin, et sans être exhaustif, la cession d’un fichier non régulièrement déclaré est nulle[8]. Autant dire qu’aucune cession d’entreprise ne peut intervenir sans mise en conformité préalable.

  • Parce qu’en 2017, les règles du jeu vont changer en France

Le projet de loi « pour une République numérique » [9] traite en grande partie[10] des données à caractère personnel. Le texte prévoit notamment :

  • un « droit de récupération de l’ensemble des données »[11] aux conditions prévues à l’article 20 du Règlement européen et dont les modalités d’exercice devront être clairement déterminées par le responsable de traitement,
  • un droit à l’effacement des données collectées lorsque la personne concernée était mineure au moment de la collecte, en prenant des mesures raisonnables en vue de l’effacement de de tout lien, de toute copie ou de toute reproduction,
  • Une sanction pécuniaire (CNIL) « proportionné(e) à la gravité du manquement commis et aux avantages tirés de ce manquement », prenant en compte notamment la négligence et les mesures prises pour atténuer les dommages, dans la limite non plus de 150.000 euros ou de 300.000 euros après récidive, mais de 3.000.000 euros au premier manquement, ce jusqu’au 25 mai 2018.
  • Parce qu’en mai 2018, les règles du jeu vont changer plus profondément encore

A compter du 25 mai 2018, le Règlement européen sera immédiatement applicable en France. Or, le Règlement va modifier profondément le droit des données à caractère personnel, notamment :

  • En responsabilisant les responsables de traitement et les sous-traitants, en mettant le délégué à la protection des données, dont la désignation deviendra obligatoire dans nombre de cas, au cœur du système[12],
  • En accentuant l’exigence du consentement[13], qui devra être éclairé et univoque et pourra être « retiré à tout moment »,
  • En accentuant l’exigence de transparence avec, notamment l’obligation de fournir, sur demande, un grand nombre de nouvelles informations[14] et notamment un grand nombre d’informations relatives aux sources des données traitées,
  • En imposant un « droit à l’effacement (« droit à l’oubli ») non seulement sur demande, mais aussi lorsque les données ne sont plus nécessaires au traitement,
  • En imposant un « droit à la portabilité » des données « dans un format structuré, couramment utilisé »,
  • En imposant des analyses d’impact dans certains cas (profilage, traitements de données à grande échelle de données sensibles, probabilité d’un « risque élevé pour les droits et libertés des personnes physiques ») en collaboration étroite avec le délégué à la protection des données,
  • En augmentant notablement le quantum des sanctions, qui vont atteindre 20.000.000 € ou 4% du chiffre d’affaires mondial (10.000.000 € ou 2% du CA mondial en cas de défaut de désignation d’un délégué à la protection des données).
  • Parce que la technologie ne suffit jamais à assurer la conformité des traitements de données

Tout d’abord parce que tous les fichiers sont concernés, y compris les fichiers dont le traitement n’est pas automatisé (répertoire sur Windows) et les fichiers sur support papier. Ensuite parce que la protection des données repose en grande partie sur l’organisation. Et enfin parce que sans charte d’utilisation des outils informatiques, sans politique de sécurité (PSSI), sans information claire et précise des personnes concernées, sans sensibilisation du personnel, sans analyse des contrats avec les sous-traitants, aucune protection des données n’est possible.

  • Parce que la conformité va devenir à court terme un avantage concurrentiel

Beaucoup de grandes entreprises et d’ETI ont un CIL. Ces entreprises ont compris que la protection des données des tiers et de leur patrimoine informationnel  avait au moins autant d’importance que la protection de leurs autres actifs immatériels par la propriété intellectuelle. Or, dans les années à venir, ces entreprises ne pourront, en application du Règlement européen, contracter qu’avec des entreprises présentant des garanties suffisantes en matière de protection des données. La désignation d’un CIL deviendra donc progressivement un avantage concurrentiel dans le cadre du « B to B ». Compte tenu des craintes des consommateurs, la démarche affichée de protection sera également un avantage concurrentiel dans le cadre du « B to C ».

  • Parce que dans certains cas, la nomination d’un délégué à la protection des données sera obligatoire, même dans les petites structures

La nomination d’un délégué à la protection des données sera obligatoire dès mai 2018, indépendamment du nombre de personnes ayant accès aux données, lorsque le traitement exigera « un suivi régulier et systématique à grande échelle des personnes concernées » ou consistera en un « traitement à grande échelle » de données sensibles telles que des données de santé, sur l’opinion politique ou religieuse, sur l’orientation sexuelle, etc.

  • Parce que le CIL, qui a une vision transverse de l’exploitation des données peut accompagner efficacement la transformation digitale de l’entreprise

Lorsqu’il s’agit d’exploitation et de protection des données, chaque département à sa vision. La vision de l’ingénieur n’est pas celle du responsable de la sécurité informatique, ni celle du responsable RH, ni celle du responsable marketing ou du responsable commercial. Or, le CIL centralise toutes les questions relatives aux données, quelles que soient les sources de collecte, la nature des données, les finalités des traitements, les destinataires, les personnes y ayant accès. Il est donc bien placé pour accompagner l’entreprise dans le cadre de sa transformation digitale.

  • Pourquoi un CIL externe ? Parce que les fonctions de CIL ont évolué jusqu’à devenir un métier[15] nécessitant une expertise confirmée par la pratique

Alors que la loi « informatique et libertés » est peu précise s’agissant de la qualification, se bornant à exiger du CIL « des qualifications requises pour exercer ses missions »[16], sans autre précision, le Règlement exige désormais que le délégué à la protection des données ait des « connaissances spécialisées du droit » et des « pratiques en matière de protection des données »[17]. L’interprétation des plus de deux cents pages du Règlement européen est, à n’en pas douter, un travail d’expert et, en particulier, un travail de juriste. A noter qu’à compter du 25 mai 2018, toutes les entreprises, y compris celles tenues d’en désigner un, y compris les grandes entreprises et autres organismes, pourront désigner un délégué à la protection des données externe à la structure[18].

Pascal ALIX, Avocat à la Cour et CIL

Hubert Dunoyer de Segonzac, Avocat à la Cour et CIL

[1] Articles 42 et s. du Règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Article 44 du Décret n°2005-1309 du 20 octobre 2005 modifié

[3] Article 6.2.2 du Règlement Intérieur National de la profession d’avocat

[4] Article 22 III. de la loi n° 78-17 du 6 janvier 1978

[5] PwC/Iron Mountain, « Beyond Good Intentions »

[6] Menaces informatiques et pratiques de sécurité en France, CLUSIF, 23 juin 2016

[7] CIGREF, Economie des données personnelles, Les enjeux d’un business éthique, octobre 2015

[8] Cass. com., 25 juin 2013, pourvoi n° 12-17037, Bull. V, n° 108 : « …tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite… »

[9] Texte élaboré par la Commission Mixte Paritaire enregistré le 30 juin 2016 par l’A.N. et le Sénat

[10] 29 occurrences

[11] Article 21 modifiant les articles L. 224-42 et s. du code de la consommation

[12] 33 occurrences

[13] 68 occurrences

[14] Article 14 du Règlement

[15] Correspondant Informatique et Libertés, Bien plus qu’un métier, AFCDP, 2015

[16] Article 22 III. de la loi

[17] Article 37 5. du Règlement

[18] Article 37 6. du Règlement

A l’heure des objets connectés et de la vidéoprotection, à l’heure des « Smart Cities » ou « villes numériques » visant à la participation active des citoyens à la vie de la cité, à l’heure du tout numérique et des procédures administratives dématérialisées, la politique de protection des données personnelles mises en œuvre par les collectivités publiques ne peut plus être un sujet annexe.

Pourtant, cette problématique n’apparaît pas encore comme une priorité. Le budget dévolu à la sécurité des systèmes informatiques n’évolue pas ou très faiblement pour la majorité des communes alors même que les données affluent de plus en plus. Par ailleurs, les collectivités sont encore peu nombreuses à avoir nommé un correspondant Informatique et Libertés (futur « délégué à la protection des données » selon le Règlement européen). Une carte publiée par la CNIL indique en effet qu’en 2015, seules 650 collectivités locales sur 36700 en avaient un[1].

Les communes, et à leur tête les maires, sont peut-être encore peu au fait des risques qui pèsent en cas de violation de leur part de la loi Informatique et Libertés. C’est pourtant une raison de mise en cause de la responsabilité pénale du maire (5 ans d’emprisonnement, 300 000 euros d’amende). La CNIL prend d’ailleurs très au sérieux le respect de la loi Informatique et Libertés par les personnes publiques. Sa politique de contrôles pour l’année 2015 annonçait ainsi le contrôle des « Outils de mesure de fréquentation des lieux publics » dont beaucoup de collectivités se dotent aujourd’hui afin d’optimiser l’espace. Une étude des avertissements de la CNIL montre d’ailleurs que les collectivités territoriales ne font pas exception aux contrôles. Un exemple parmi d’autres concerne un avertissement adressé par la CNIL à une commune le 9 avril 2015, en raison d’un fichier relatif à la gestion des inscriptions scolaires, dont les données collectées étaient inadéquates, non pertinentes et excessives. Les citoyens étant de plus en plus formés à la problématique des données personnelles, leurs attentes dans ce domaine vont aller grandissantes. L’impact de tels avertissements pour les communes et in fine leurs élus, au-delà même des risques pénaux, peut être destructeur en termes de communication et de confiance.

Ces différentes raisons vont nécessairement amener des évolutions et une prise de conscience.

L’une de ces évolutions va même être imposée puisqu’à compter du 25 mai 2018, jour de l’entrée en vigueur du Règlement européen sur les données personnelles, la nomination d’un délégué à la protection des données (ex-« CIL ») sera rendue obligatoire dans chaque « autorité publique » ou « organisme public »[2].

Mais sans attendre mai 2018, la nomination d’un CIL dès aujourd’hui revêt de nombreux atouts.

Le CIL permet en effet au responsable du traitement, en l’occurrence le Maire dans une commune, ou le président de l’établissement public de coopération intercommunale (par ex. communauté de communesd’être accompagné notamment lors de la mise en place de nouveaux traitements de données et de la modification des traitements existants. Or ces derniers sont particulièrement nombreux dans une collectivité et peuvent revêtir des questions juridiques complexes. Le traitement de certaines données sensibles nécessite en effet des demandes d’avis ou d’autorisation auprès de la CNIL. Parmi ces données, se trouvent les données relatives aux infractions et aux condamnations, qui intéressent la police municipale, les données biométriques, les appréciations sur les difficultés sociales des personnes (fichiers des centres communaux d’action sociale,…). Une autorisation est encore nécessaire à chaque fois que la collectivité procède à une interconnexion de fichiers dont les finalités sont différentes. Ces interconnexions sont pourtant amenées à être de plus en plus souvent effectuées, en raison des applications gérées par les collectivités et des objets connectés.

Le CIL permet aussi, toujours dans sa mission d’accompagnement, de procéder à la mise en conformité si des demandes d’avis ou d’autorisation n’ont pas été pas été effectuées ou irrégulièrement effectuées, si la sécurité informatique est insuffisante (absence de PSSI et de matrice d’habilitation, mesures techniques et de protection des données insuffisantes, etc.) ou si des recommandations n’ont respectées. Les règles de protection de données personnelles concernent l’ensemble des traitements de données, que ces données soient relatives au personnel interne à la collectivité ou aux administrés. Ainsi par exemple, alors que les exigences en termes de sécurité des citoyens sont de plus en plus fortes, un système de vidéo protection ne peut être installé sans respect des recommandations de la CNIL[3] en veillant en particulier à la proportionnalité du dispositif déployé. La CNIL contrôle aussi les dispositifs en ligne des collectivités (sites internet, applications, téléservices,…). Ces contrôles en ligne ont ainsi montré que plus de 60% des communes ne sécurisent pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Cette mise en conformité peut être accompagnée d’une sensibilisation des agents qui ont accès au traitement des données aux problématiques juridiques liées à ces traitements afin de limiter les risques.

Enfin, la nomination d’un CIL permet à la collectivité d’innover dans le respect de la loi. La demande des citoyens est forte de bénéficier de services en ligne (dématérialisation). A court terme, la grande majorité des communes disposera de son application afin de communiquer des informations et de connaître plus finement les attentes des habitants. Le CIL peut avoir pour rôle de vérifier, en amont, que ces outils respectent les règles en matière de données personnelles et de garantir aux élus une innovation respectueuse des règles légales. Ce service du CIL sera particulièrement précieux à compter de l’entrée en vigueur du Règlement européen qui impose lors de la mise en place d’innovations pouvant créer des risques en matière de protection des données personnelles la réalisation, avant tout développement, d’une analyse d’impact[4]. Pour la réaliser, le recours à un spécialiste sera, en pratique, nécessaire.

Le CIL peut être nommé en interne[5] ou être un prestataire externe. La loi n’est actuellement pas très exigeante puisqu’il faut simplement que la personne nommée dispose des « qualifications requises », sans qu’aucune précision ne soit apportée sur ce point. Or, le Règlement est bien plus précis et impose que le CIL soit désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (…) »[6]. Les connaissances juridiques et l’indépendance statutaire de l’avocat praticien du droit des nouvelles technologies, qui peut être CIL depuis 2009, le désigne tout naturellement pour accomplir une telle mission. Plusieurs collectivités ou un groupement de collectivités (Par ex. communautés de communes) peuvent, au demeurant, désigner un CIL mutualisé qui peut être un CIL externe.

Pascal Alix, Avocat et CIL

Hubert de Ségonzac, Avocat et CIL

[1] Gazette des communes, 4 septembre 2015, Protection des données personnelles : y a-t-il un CIL près de chez vous ?

[2] Article 37.

[3] Délibération n°94-056 du 21 juin 1994.

[4] Article 35.

[5] Le CIL est obligatoirement nommé en interne lorsque plus de 50 personnes sont chargés de la mise en œuvre des traitements ou y ont accès. L’entrée en vigueur marquera l’abandon de ce critère et la possibilité de recourir à un CIL externe dans tous les cas.

[6] Article 37.