A l’issue de 4 années de débats intensifs, jalonnés d’amendements et de votes successifs, le Parlement européen a adopté, le jeudi 14 avril 2016, le Règlement général sur la protection des données.
L’essor du web 2.0, des objets connectés et du cloud computing entraine une prolifération des traitements de collecte, de transfert et d’exploitation de données personnelles extrêmement nombreuses, et d’autant plus précieuses qu’elles sont précises et recoupées.
Il est donc important de saluer l’adoption de ce Règlement, d’application directe au sein des Etats membres, qui vient actualiser la législation européenne et qui entend permettre aux citoyens de l’Union de mieux contrôler l’usage de leurs données personnelles, tout en apportant davantage de certitudes aux entreprises grâce à une législation unique au sein de l’espace communautaire.
Des nouveaux droits pour les citoyens européens
Il est dans l’esprit du Règlement de restituer à chaque citoyen européen une véritable souveraineté à l’égard de ses données personnelles. A cette fin est notamment consacré un droit à la portabilité des données, qui a pour objet de permettre à chaque personne de transférer ses données personnelles d’un prestataire de services vers un autre afin que ces données soient ré-exploitées – à la manière de la portabilité des numéros mobiles. Le responsable du traitement aura alors l’obligation de transférer à ce tiers prestataire une copie des données faisant l’objet du traitement dans un format structuré, « courant » et qui en permette la réutilisation.
Ce droit à la portabilité des données, prévu également par le projet de loi « République Numérique » défendu par Axelle Lemaire, obligera ainsi les responsables de traitements et sous-traitants, non seulement, à prévoir expressément cette possibilité dans leur politique de confidentialité, mais également à adopter des mesures techniques permettant l’exercice effectif de ce droit.
A n’en pas douter, cette mesure va multiplier les problématiques de migration de données, de risques de pertes et de formats compatibles, et il est certain que les prestations de réversibilité vont connaître une nouvelle montée en gamme, afin d’industrialiser et de fiabiliser ce nouveau droit reconnu au bénéfice de personnes physiques qui resteront tributaires des prestations des professionnels pour en jouir pleinement. Cette mesure demeure toutefois un progrès dans l’indépendance numérique des personnes, un objectif essentiel.
L’exercice de ce droit à la portabilité des données a pour conséquence d’obliger le prestataire de services, originairement détenteur des données personnelles, à effacer ces dernières. Autrement dit, il s’agit pour la personne concernée d’user, corrélativement au droit à la portabilité des données, d’un nouveau droit consacré : le droit à l’oubli numérique.
Dans le sillage du mouvement initié par la Cour de justice de l'Union européenne (CJUE) avec l’arrêt « Google c/ Spain », le Règlement crée un régime du droit à l'oubli plus large et plus précis en permettant à toute personne de demander l'effacement de ses données personnelles par le responsable de traitement, notamment lorsque les données ne sont plus nécessaires au vu des finalités pour lesquelles ont été collectées, lorsque le délai de conservation autorisé aura expiré ou encore lorsque la personne concernée aura simplement retiré son consentement sur lequel était fondé le traitement.
Nul principe sans exception : le responsable du traitement pourra néanmoins s’opposer à l’effacement des données, notamment en raison de l’exercice de son droit à la liberté d’expression ou pour des motifs d’intérêt général dans le domaine de la santé publique. Il est en effet vital que les nouveaux droits individuels reconnus aux personnes sur leurs données personnelles, ne puisse pas servir d’obstacle à d’autres principes impérieux tels que le droit à l’information, la révélation de crimes ou délits, l’enseignement ou encore la recherche scientifique.
Des nouvelles obligations pour les entreprises
Les entreprises seront d’abord soumises au concept nouveau du privacy by design en matière de protection des données personnelles. Concept issu du droit de Common Law, celui-ci impose aux entreprises de prendre en compte les exigences relatives à la protection des données dès la conception des services, produits et systèmes exploitant des données à caractère personnel.
En pratique, ce principe impose une coopération entre les services juridiques et informatiques au sein de l’entreprise, car le département R&D est concerné : les futurs services Cloud, les futures solutions logicielles devront être pensés, conçus avec ce souci d’anonymisation ou de protection complète des données identifiantes, outre la sensibilisation des salariés concernés aux prescriptions légales en matière de sécurité des données.
Le « Security by default » implique quant à lui que soit mis en œuvre des mécanismes garantissant que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement. Cela consiste là encore à inscrire dans le code des produits applicatifs des dispositions permettant de discriminer les données et de ne retenir que des données pertinentes.
Plus profondément, on voit pointer ici une mise en application du principe parfois discuté mais très réel énoncé, par le professeur Lawrence Lessig dans son fameux article « code is law » : de plus en plus, le respect des principes légaux sera assuré par la configuration technique des outils eux-mêmes… ce qui ne va pas sans ouvrir de vertigineuses questions liées à la souveraineté collective, à la délibération démocratique et au contrôle de la technologie par les individus, mais ce qui est sans aucun doute incontournable à l’époque des objets connectés et des voitures sans chauffeur, pour ne citer que deux exemples.
Apparu pour la première fois en 1980 au sein des directives de l’OCDE, le concept d’accountability impose quant à lui au responsable du traitement de conserver une trace documentaire de tous les traitements effectués sous leur responsabilité.
Enfin, lorsque le traitement envisagé sera effectué au moyen de nouvelles technologies présentant un risque significatif pour la vie privée des personnes dont les données sont traitées, le Règlement crée l’obligation pour tout responsable de traitement ou sous-traitant d’effectuer une analyse d’impact du traitement envisagé avant sa mise en œuvre. Cette analyse d’impact devra comporter a minima une description des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques constatés.
En conséquence, chaque entreprise devra élaborer et adopter des politiques de confidentialité précises et de solides procédures de sécurité afin de s’assurer d’être en conformité avec le présent Règlement avant son application prévue en 2018.
A cette fin, les responsables de traitement comme les sous-traitants pourront adhérer à des codes de conduites approuvés par les autorités nationales de protection de données, et/ou être certifiés par des organismes agréés afin de démontrer qu’ils présentent les garanties nécessaires. Il est possible de se demander de quoi seront fait ces « codes de conduite » et si une telle perspective est cohérente avec la volonté de renforcer et d’harmoniser la protection des données personnelles dans toute l’Union…
Héritier du Correspondant informatique et libertés (CIL), le délégué à la protection des données (DPD) pourra désormais être externalisé quelle que soit la taille de l’entreprise, et mutualisé au sein d’un groupe de sociétés. Pour entreprises de plus de 250 salariés, pour celles impliquées dans certains traitements dits sensibles et pour les organismes publics, le DPD devient obligatoire. Dans tous les cas, il sera le « référent données personnelles » au sein de l’entreprise et devra suivre, en temps réel et en permanence, chaque innovation interne ou externe pour vérifier qu’elle ne remet pas en cause la conformité de l’entreprise dont il se sera assuré à sa prise de fonctions.
Autre innovation importante du Règlement, les sous-traitants assumeront désormais une responsabilité directe dans certains domaines. En effet, hormis dans le cas des clauses contractuelles-types qui pouvaient être signées directement entre un client donneur d’ordre et un sous-traitant du prestataire, jusqu'à présent c’étaient surtout les responsables de traitements qui devaient s’assurer par contrat que leurs prestataires, « sous-traitants » au sens de la loi, apportaient des garanties suffisantes en termes de sécurité et de confidentialité. Le sort du « Safe Harbor » a d’ailleurs révélé tout ce que cette démarche avait d’artificiel…
Désormais, le contrat désignant un sous-traitant devra être plus détaillé sur la question : on relève en particulier que les sous-traitants devront demander l’autorisation du responsable du traitement pour désigner des « sous-traitants ultérieurs » et transférer des données personnelles hors de l’Union européenne.
Que l’entreprise soit sous-traitant ou responsable de traitement, en matière de transfert de données à l’étranger, le Règlement prévoit que les données à caractère personnel pourront faire l’objet de transferts vers des pays tiers lorsque la Commission aura constaté que ce pays assure « un niveau de protection adéquat ». Rien de neuf à ce niveau-là. On lit qu’à cet égard, les clauses contractuelles types adoptées par la Commission ou les binding corporates rules déployées par les entreprises pourront faire office de preuve d’« un niveau de protection adéquat ». On perçoit toutefois assez mal la différence avec l’ancienne législation qui faisait justement des BCR ou des CCT des moyens de passer outre le caractère insuffisant de telle ou telle législation étrangère… Peut-être que les codes de conduite susmentionnés seront également considérés comme des « preuves », mais alors, au lieu d’unifier le régime de protection des données, on aurait choisi de le fractionner en divers niveaux d’obligation…
En toute hypothèse, les entreprises ont donc deux ans pour se conformer aux dispositions du nouveau Règlement. Deux ans pendant lesquels les services juridiques et informatiques des entreprises devront conjointement définir les protocoles de sécurité des traitements de données, déployer les nouveaux concepts introduits par la nouvelle réglementation, et rédiger de nouvelles politiques de confidentialité.
L’importance de cette mise en conformité se comprend aisément au regard des nouveaux pouvoirs de sanctions dont disposeront les autorités de protection des données à caractère personnel. En effet, celles-ci pourront désormais infliger des sanctions d’un montant pouvant atteindre 20.000.000 € ou encore 4% du chiffre d’affaires total d’une entreprise. Ces sanctions constituent probablement l’apport majeur du Règlement lorsque l’on sait qu’aujourd’hui, la sanction la plus sévère que peut infliger la CNIL à une entreprise qui viole la Loi « informatique et libertés » est une amende de 150.000 €, soit le chiffre d’affaires que Google réalise en une minute et trente secondes.
Sylvain Staub, Associé, Staub & Associés
A l’issue de 4 années de débats intensifs, jalonnés d’amendements et de votes successifs, le Parlement européen a adopté, le jeudi 14 avril 2016, le Règlement général sur la protection des données.
L’essor du web 2.0, des objets connectés et du cloud computing entraine une prolifération des traitements de collecte, de transfert et d’exploitation de données personnelles extrêmement nombreuses, et d’autant plus précieuses qu’elles sont précises et recoupées.
Il est donc important de saluer l’adoption de ce Règlement, d’application directe au sein des Etats membres, qui vient actualiser la législation européenne et qui entend permettre aux citoyens de l’Union de mieux contrôler l’usage de leurs données personnelles, tout en apportant davantage de certitudes aux entreprises grâce à une législation unique au sein de l’espace communautaire.
Des nouveaux droits pour les citoyens européens
Il est dans l’esprit du Règlement de restituer à chaque citoyen européen une véritable souveraineté à l’égard de ses données personnelles. A cette fin est notamment consacré un droit à la portabilité des données, qui a pour objet de permettre à chaque personne de transférer ses données personnelles d’un prestataire de services vers un autre afin que ces données soient ré-exploitées – à la manière de la portabilité des numéros mobiles. Le responsable du traitement aura alors l’obligation de transférer à ce tiers prestataire une copie des données faisant l’objet du traitement dans un format structuré, « courant » et qui en permette la réutilisation.
Ce droit à la portabilité des données, prévu également par le projet de loi « République Numérique » défendu par Axelle Lemaire, obligera ainsi les responsables de traitements et sous-traitants, non seulement, à prévoir expressément cette possibilité dans leur politique de confidentialité, mais également à adopter des mesures techniques permettant l’exercice effectif de ce droit.
A n’en pas douter, cette mesure va multiplier les problématiques de migration de données, de risques de pertes et de formats compatibles, et il est certain que les prestations de réversibilité vont connaître une nouvelle montée en gamme, afin d’industrialiser et de fiabiliser ce nouveau droit reconnu au bénéfice de personnes physiques qui resteront tributaires des prestations des professionnels pour en jouir pleinement. Cette mesure demeure toutefois un progrès dans l’indépendance numérique des personnes, un objectif essentiel.
L’exercice de ce droit à la portabilité des données a pour conséquence d’obliger le prestataire de services, originairement détenteur des données personnelles, à effacer ces dernières. Autrement dit, il s’agit pour la personne concernée d’user, corrélativement au droit à la portabilité des données, d’un nouveau droit consacré : le droit à l’oubli numérique.
Dans le sillage du mouvement initié par la Cour de justice de l'Union européenne (CJUE) avec l’arrêt « Google c/ Spain », le Règlement crée un régime du droit à l'oubli plus large et plus précis en permettant à toute personne de demander l'effacement de ses données personnelles par le responsable de traitement, notamment lorsque les données ne sont plus nécessaires au vu des finalités pour lesquelles ont été collectées, lorsque le délai de conservation autorisé aura expiré ou encore lorsque la personne concernée aura simplement retiré son consentement sur lequel était fondé le traitement.
Nul principe sans exception : le responsable du traitement pourra néanmoins s’opposer à l’effacement des données, notamment en raison de l’exercice de son droit à la liberté d’expression ou pour des motifs d’intérêt général dans le domaine de la santé publique. Il est en effet vital que les nouveaux droits individuels reconnus aux personnes sur leurs données personnelles, ne puisse pas servir d’obstacle à d’autres principes impérieux tels que le droit à l’information, la révélation de crimes ou délits, l’enseignement ou encore la recherche scientifique.
Des nouvelles obligations pour les entreprises
Les entreprises seront d’abord soumises au concept nouveau du privacy by design en matière de protection des données personnelles. Concept issu du droit de Common Law, celui-ci impose aux entreprises de prendre en compte les exigences relatives à la protection des données dès la conception des services, produits et systèmes exploitant des données à caractère personnel.
En pratique, ce principe impose une coopération entre les services juridiques et informatiques au sein de l’entreprise, car le département R&D est concerné : les futurs services Cloud, les futures solutions logicielles devront être pensés, conçus avec ce souci d’anonymisation ou de protection complète des données identifiantes, outre la sensibilisation des salariés concernés aux prescriptions légales en matière de sécurité des données.
Le « Security by default » implique quant à lui que soit mis en œuvre des mécanismes garantissant que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement. Cela consiste là encore à inscrire dans le code des produits applicatifs des dispositions permettant de discriminer les données et de ne retenir que des données pertinentes.
Plus profondément, on voit pointer ici une mise en application du principe parfois discuté mais très réel énoncé, par le professeur Lawrence Lessig dans son fameux article « code is law » : de plus en plus, le respect des principes légaux sera assuré par la configuration technique des outils eux-mêmes… ce qui ne va pas sans ouvrir de vertigineuses questions liées à la souveraineté collective, à la délibération démocratique et au contrôle de la technologie par les individus, mais ce qui est sans aucun doute incontournable à l’époque des objets connectés et des voitures sans chauffeur, pour ne citer que deux exemples.
Apparu pour la première fois en 1980 au sein des directives de l’OCDE, le concept d’accountability impose quant à lui au responsable du traitement de conserver une trace documentaire de tous les traitements effectués sous leur responsabilité.
Enfin, lorsque le traitement envisagé sera effectué au moyen de nouvelles technologies présentant un risque significatif pour la vie privée des personnes dont les données sont traitées, le Règlement crée l’obligation pour tout responsable de traitement ou sous-traitant d’effectuer une analyse d’impact du traitement envisagé avant sa mise en œuvre. Cette analyse d’impact devra comporter a minima une description des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face aux risques constatés.
En conséquence, chaque entreprise devra élaborer et adopter des politiques de confidentialité précises et de solides procédures de sécurité afin de s’assurer d’être en conformité avec le présent Règlement avant son application prévue en 2018.
A cette fin, les responsables de traitement comme les sous-traitants pourront adhérer à des codes de conduites approuvés par les autorités nationales de protection de données, et/ou être certifiés par des organismes agréés afin de démontrer qu’ils présentent les garanties nécessaires. Il est possible de se demander de quoi seront fait ces « codes de conduite » et si une telle perspective est cohérente avec la volonté de renforcer et d’harmoniser la protection des données personnelles dans toute l’Union…
Héritier du Correspondant informatique et libertés (CIL), le délégué à la protection des données (DPD) pourra désormais être externalisé quelle que soit la taille de l’entreprise, et mutualisé au sein d’un groupe de sociétés. Pour entreprises de plus de 250 salariés, pour celles impliquées dans certains traitements dits sensibles et pour les organismes publics, le DPD devient obligatoire. Dans tous les cas, il sera le « référent données personnelles » au sein de l’entreprise et devra suivre, en temps réel et en permanence, chaque innovation interne ou externe pour vérifier qu’elle ne remet pas en cause la conformité de l’entreprise dont il se sera assuré à sa prise de fonctions.
Autre innovation importante du Règlement, les sous-traitants assumeront désormais une responsabilité directe dans certains domaines. En effet, hormis dans le cas des clauses contractuelles-types qui pouvaient être signées directement entre un client donneur d’ordre et un sous-traitant du prestataire, jusqu'à présent c’étaient surtout les responsables de traitements qui devaient s’assurer par contrat que leurs prestataires, « sous-traitants » au sens de la loi, apportaient des garanties suffisantes en termes de sécurité et de confidentialité. Le sort du « Safe Harbor » a d’ailleurs révélé tout ce que cette démarche avait d’artificiel…
Désormais, le contrat désignant un sous-traitant devra être plus détaillé sur la question : on relève en particulier que les sous-traitants devront demander l’autorisation du responsable du traitement pour désigner des « sous-traitants ultérieurs » et transférer des données personnelles hors de l’Union européenne.
Que l’entreprise soit sous-traitant ou responsable de traitement, en matière de transfert de données à l’étranger, le Règlement prévoit que les données à caractère personnel pourront faire l’objet de transferts vers des pays tiers lorsque la Commission aura constaté que ce pays assure « un niveau de protection adéquat ». Rien de neuf à ce niveau-là. On lit qu’à cet égard, les clauses contractuelles types adoptées par la Commission ou les binding corporates rules déployées par les entreprises pourront faire office de preuve d’« un niveau de protection adéquat ». On perçoit toutefois assez mal la différence avec l’ancienne législation qui faisait justement des BCR ou des CCT des moyens de passer outre le caractère insuffisant de telle ou telle législation étrangère… Peut-être que les codes de conduite susmentionnés seront également considérés comme des « preuves », mais alors, au lieu d’unifier le régime de protection des données, on aurait choisi de le fractionner en divers niveaux d’obligation…
En toute hypothèse, les entreprises ont donc deux ans pour se conformer aux dispositions du nouveau Règlement. Deux ans pendant lesquels les services juridiques et informatiques des entreprises devront conjointement définir les protocoles de sécurité des traitements de données, déployer les nouveaux concepts introduits par la nouvelle réglementation, et rédiger de nouvelles politiques de confidentialité.
L’importance de cette mise en conformité se comprend aisément au regard des nouveaux pouvoirs de sanctions dont disposeront les autorités de protection des données à caractère personnel. En effet, celles-ci pourront désormais infliger des sanctions d’un montant pouvant atteindre 20.000.000 € ou encore 4% du chiffre d’affaires total d’une entreprise. Ces sanctions constituent probablement l’apport majeur du Règlement lorsque l’on sait qu’aujourd’hui, la sanction la plus sévère que peut infliger la CNIL à une entreprise qui viole la Loi « informatique et libertés » est une amende de 150.000 €, soit le chiffre d’affaires que Google réalise en une minute et trente secondes.
Sylvain Staub, Associé, Staub & Associés
20/04/2016