Le règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est en vigueur !
Publié le 4 mai dernier, l’article 99 du texte prévoyait qu’il entre en vigueur le vingtième jour suivant cette publication.
Le compte à rebours pour se mettre en conformité – un peu moins de deux ans laissés aux entreprises ainsi qu’aux administrations, qu’elles aient la qualité de responsable de traitement ou de sous-traitant – est donc officiellement lancé.
Il s’achèvera le 24 mai 2018 à minuit, veille de l’entrée en application du règlement.
Que prévoit ce règlement ? Quels sont les changements concrets et les impacts liés à ce nouveau texte ? Comment se mettre en conformité ?
Enjeux et perspectives au cœur d’un imbroglio juridique d’ampleur… Éléments de réponse avec plusieurs experts !
Harmonisation des règles
« Le règlement européen redistribue les cartes de la conformité en consacrant un niveau élevé de protection des données à caractère personnel assorti de sanctions pécuniaires dissuasives », explique Garance Mathias, avocate à la cour de Paris, fondatrice du cabinet Mathias Avocats.
Ce dernier va permettre l’harmonisation des règles pour la protection des données personnelles au sein de l’Union européenne puisqu’on passe désormais à un texte unique d’application directe et uniforme en lieu et place des réglementations nationales actuellement en vigueur au sein des 28 États membres.
C’est aussi un véritable colosse qui impressionne ! 10 chapitres et 99 articles à son actif, le règlement européen représente un chantier d’ampleur pour les entreprises et un casse-tête pour les PME mais aussi les grandes entreprises et leurs sous-traitants, qui ne mesurent pas toujours les enjeux et sont particulièrement effrayés par les sanctions et le coût des réformes qu’ils vont devoir entreprendre pour se mettre en conformité.
« L’aspect dissuasif du règlement avec les sanctions importantes appliquées en pourcentage du chiffre d’affaires effraye ! Et c’est le but recherché pour obliger les entreprises à se mettre en conformité », ajoute Garance Mathias, et de poursuivre : « Mais au-delà des contraintes, il y a des atouts liés à ce nouveau règlement et notamment une véritable valorisation de la donnée du client qui implique une démarche constructive et responsable autour de la donnée, l’or noir du 21e siècle, de la transparence et une co-responsabilité. »
La réforme de la protection des données poursuit trois objectifs, à savoir : renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Plus de droits pour le citoyen
Le règlement européen procure un renforcement des droits existants mais aussi de nouveaux droits pour une meilleure maîtrise de ses données. Le règlement européen permet au citoyen de disposer d’informations complémentaires sur le traitement de ses données, de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l’oubli est conforté (demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée s’ils portent atteinte à la vie privée) et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne (récupération des données communiquées à une plate-forme, transmission à une autre (réseau social, fournisseur d’accès à Internet, site de streaming, etc.). Les mineurs font également l’objet d’une protection particulière.
Enfin, le règlement consacre de nouvelles dispositions sur le profilage des personnes dont les données sont traitées et encadre à ce titre de manière originale les “décisions individuelles automatisées” comprenant un profilage.
« Plus de onze droits sont désormais reconnus à la personne au lieu des trois actuels droits “Informatique et Libertés”. C’est-à-dire onze risques de sanction pécuniaire pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise en cas de violation des obligations prescrites… », ajoute Isabelle Cantero, avocate, spécialisée en “Vie privée et protection des données personnelles”.
Ce qui change chez les professionnels
Un guichet unique, de nouveaux outils et une obligation de garantir la protection des données en continu.
Outre l’harmonisation législative (garantie d’une plus grande sécurité du marché unique européen), le règlement européen simplifie les formalités administratives. Il permet aux entreprises de disposer d’un interlocuteur unique auprès des autorités de protection des données européennes. Il prévoit de nouveaux outils tels que les codes de conduite ou la certification. Les mesures à mettre en place pourront être modulées en fonction du niveau de risque sur les droits et libertés des personnes. Il permettra également l’instauration d’une concurrence plus loyale (via l’extension du champ d’application du règlement aux entreprises réalisant des traitements des données personnelles de personnes situées dans l’UE)…
Mais le règlement dépasse rapidement son abord angélique pour laisser place aux nouvelles obligations pour les professionnels…
Le renforcement des droits des personnes appelle en effet à plus de transparence et un consentement renforcé. L’expression du consentement est clairement définie : « Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë. » Le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).
Le règlement pose par ailleurs une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. « Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées “pour des finalités déterminées, explicites et légitimes”, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités », expliquent Frans Imbert-Vier, Pdg d’Ubcom, agence d’audit & de conseil en Cybersécurité et Gouvernance des organisations, et Marc-Antoine Ledieu, avocat à la cour.
Une conformité basée sur la responsabilisation
Le règlement européen repose donc désormais sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.
« Le règlement européen prévoit l’exercice du principe de protection des données personnelles sous toutes ses facettes, telles la protection en amont (avec le principe du privacy by design), la protection analysée (analyse d’impact), la protection documentée (documentation obligatoire en tant que preuve de la conformité légale), la protection en chaîne (responsabilité du sous-traitant et possibilité de coresponsabilité), la protection renforcée (droits des personnes). Bref, la mise en œuvre du principe d’accountability ! », souligne Isabelle Cantero.
Une clé de lecture : le “privacy by design”
Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de “minimisation”). Certaines entreprises ont déjà intégré cette méthodologie et cette approche depuis quelques années, souvent accompagnées de cabinets d’avocats spécialistes qui informent, conseillent, et forment jusqu’au plus haut niveau de l’entreprise.
De nouveaux outils de conformité
Parmi eux, on retrouve les études d’impact sur la vie privée (EIVP ou PIA) et le délégué à la protection des données (DPO).
Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.
Si l’organisme ne parvient pas à réduire ce risque élevé par des mesures appropriées, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les “CNIL” pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.
Le délégué à la protection des données (Data Protection Officer) au cœur du dispositif
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué s’ils appartiennent au secteur public, si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, si leurs activités principales les amènent à traiter (toujours à grande échelle) des données dites “sensibles” ou relatives à des condamnations.
En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.
Le délégué devient ainsi un véritable “chef d’orchestre” de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ; de contrôler le respect du règlement européen et du droit national en matière de protection des données ; de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ; de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci. « La fonction du DPO sera essentielle dans toutes les organisations appelées à traiter de nombreuses données personnelles. Elle attire beaucoup de monde car elle est indépendante et elle est rattachée au Comex, à la direction générale. C’est une fonction qui nécessite une connaissance de la réglementation et une bonne maîtrise des données : sur la protection des données personnelles et sur l’usage que l’on fait de ces données. Cela va devenir particulièrement important dans le cadre des projets Big Data à partir du moment où les données sortent via des API vers des tiers. Nous estimons qu’il pourrait y avoir 10 à 20 000 DPO soit 2,5 fois plus que les CIL. Ce nouveau règlement porte le sujet de la protection de la donnée et de la protection des systèmes d’information au plus haut niveau de l’entreprise car le montant des sanctions en cas d’infraction est très élevé (jusqu’à 4 % du CA mondial) et qu’il concerne les données personnelles qui sont de plus en plus essentielles au fonctionnement de nombreuses organisations », ajoute Paul-olivier Gibert, président de l’AFCDP, Association française des correspondants aux données personnelles.
Durcissement des obligations de sécurité
« Le durcissement des obligations de sécurité est une des grandes nouveautés du règlement 2016/679. En parallèle de l’obligation de tenue d’un “registre des activités de traitement” de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent.
À ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre “les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque” », soulignent Frans Imbert-Vier et Marc-Antoine Ledieu. Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements est en effet précisée. Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.
Les mesures techniques peuvent alors prendre plusieurs formes : la pseudonymisation et le chiffrement des données ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ; ou encore une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.
Des responsabilités partagées et précisées
Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants.
Le représentant légal, point de contact de l’autorité, a mandat pour « être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements ». Le sous-traitant est, quant à lui, tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et d’accountability. Il a notamment une obligation de conseil auprès du responsable de traitement pour la conformité à certaines obligations sur règlement (PIA, failles, sécurité, destruction des données, contribution aux audits). Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.
« Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son “sous-traitant” respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. À l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maître du fichier” et son prestataire SaaS », soulignent Frans Imbert-Vier et Marc-Antoine Ledieu.
Comment opérer et par quoi commencer ?
« Dans ce contexte, chaque entreprise et chaque administration doit procéder à un état des lieux de la conformité en matière de protection des données à caractère personnel pour ensuite définir un plan d’action : actions de sensibilisation, revue et création de procédures, adaptation et accessibilité de l’information délivrée aux personnes, prise en compte du renforcement et des droits nouveaux reconnus aux personnes, définition d’une politique contractuelle nouvelle pour encadrer les relations avec les sous-traitants, etc.
Une réflexion doit également être engagée quant à la désignation d’un DPO érigé en maestro de la conformité par le règlement (DPO interne ou externe, profil, etc.). De cette manière, la logique de protection des données à caractère personnel et les obligations nouvelles prévues par le texte européen seront intégrées », explique Garance Mathias.
10 MESURES POUR LA PROTECTION DES DONNÉES DANS VOTRE ENTREPRISE
1. Déterminer le pilote projet en interne, plutôt un membre du Comex impliqué dans la gestion de l’entreprise et qui ne peut pas être contesté
2. Établir un calendrier de mise en conformité : définir les actions techniques, organisationnelles, juridiques
3. Faire un état des lieux : en priorité audits des mesures de sécurité du traitement des données à caractère personnel
4. Réaliser une cartographie des données : où se trouvent-elles ? Dans le Cloud ? Sur quelle partie de l’infrastructure, …
5. Mettre en place un plan de communication adapté aux métiers et à l’environnement des équipes
6. Définir une méthodologie entre les différents acteurs de la conformité (direction juridique, direction de la conformité, RSSI/FSSI, direction du marketing et de la communication, etc.)
7. Définir la mise en place de la portabilité des données
8. Choisir la méthodologie pour déployer l’“accountability” : définition des techniques de “pseudonymisation” ; encadrement des transferts de données, de la sous-traitance, …
9. Mettre en œuvre une méthodologie d’étude d’impact au regard : des données collectées et de leur minimisation ; des projets et des finalités qui seront déterminées ; des enjeux de sécurité
10. Travailler au renforcement des obligations des sous-traitants : Quel niveau d’audit ? Comment s’assurer de la restitution des données et/ou de la non accessibilité en fin de contrat ?
Une nouvelle architecture de coopération entre les autorités de protection
Le Comité européen de la protection des données (CEPD), nouvel organe européen, est en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine “européenne”. Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions.
Cette adoption signifie aussi le début du compte à rebours qui va durer jusqu’à la mise en œuvre effective du règlement en 2018.
Le G29, qui réunit les CNIL européennes, est déjà en ordre de marche pour accompagner les entreprises à se préparer pour être prêtes en 2018. Il travaille aussi à la mise en place du prochain European Data Protection Board qui prendra la suite du G29.
Quid du Privacy Shield à l’heure des obligations européennes ?
Déjà complexe, le mille-feuille juridique que représente ce nouveau règlement européen est brouillé par la décision d’adéquation sur le Privacy Shield par la Commission européenne cet été. Le pacte de transfert de données commerciales avec les États-Unis qui remplace le Safe Harbor a en effet été adopté avec des réserves et des questions qui restent en suspens… et surtout ce qui est dans la tête de tous les acteurs majeurs et spécialistes du domaine : le Privacy Shield est fondé sur la directive 95/46/CE, alors qu’elle vient d’être réformée par le règlement européen plus protecteur !
Le 12 juillet 2016, la Commission européenne a donc rendu une décision d’adéquation du Privacy Shield, censée renforcer la protection, par exemple par l’obligation d’information des individus. Doivent être ainsi précisées, notamment, les données collectées, les finalités, l’existence d’un droit d’accès, l’existence d’un organe indépendant de résolution de litiges. Sont également reconnus les principes de nécessité et proportionnalité.
Par ailleurs, le principe de transparence oblige les entreprises adhérentes à publier leurs engagements rendus contraignants et exécutoires par la Federal Trade Commission (sect. 5 FTC Act) et les demandes d’accès des services américains de sécurité nationale conformément à l’assouplissement des règles du Patriot Act (2001), permis par le Freedom Act adopté en juin 2015.
En outre, la lutte contre les auto-certifications frauduleuses va être renforcée par le DoC et la FTC. Quant aux données traitées à des fins de sécurité nationale, les services américains de renseignement se sont engagés à ne plus réaliser de collecte systématique des données.
Enfin, le droit de recours des citoyens européens est amélioré par la transmission des plaintes des autorités nationales de contrôle de l’Union européenne au DoC et à la FTC, qui doivent effectuer des enquêtes et analyses et prononcer d’éventuelles sanctions en cas de manquement.
En matière commerciale, un mode alternatif de résolution des litiges sera gratuitement mis à la disposition des citoyens européens et, en matière de sécurité nationale, des requêtes pourront être formulées auprès d’un médiateur : Catherine Novelli. Un mécanisme de réexamen commun annuel du fonctionnement de l’accord est prévu et la violation des règles peut entraîner la suspension du Privacy Shield.
Mais l’accord reste insuffisant
Le G29 a en effet émis un avis réservé, ainsi que le commissaire européen à la protection des données (opinion 4/2016 rendue le 30 mai 2016). Le comité composé des représentants des États membres l’a approuvé, mais certains États se sont abstenus. « Le G29 salue les améliorations apportées par le Privacy Shield par rapport au Safe Harbour. Dans son avis WP238 du 13 avril 2016 relatif à la décision d’adéquation du Privacy Shield, le G29 a exprimé des inquiétudes et a demandé diverses clarifications. Certaines d’entre elles ont été prises en compte par la Commission et les autorités américaines dans la version finale des documents relatifs au Privacy Shield. Néanmoins, d’importantes préoccupations demeurent concernant à la fois le volet commercial et l’accès par les autorités publiques américaines aux données transférées par l’Union européenne », explique-t-on à Bruxelles.
En ce qui concerne le volet commercial, le G29 regrette, par exemple, le manque de règles spécifiques pour les décisions automatisées et l’absence d’un droit d’opposition. « La manière dont les principes du Privacy Shield vont être appliqués aux sous-traitants mériterait d’être davantage explicitée. »
En ce qui concerne l’accès par les autorités publiques aux données transférées aux États-Unis dans le cadre du Privacy Shield, le G29 aurait souhaité des garanties plus strictes concernant l’indépendance du médiateur et les pouvoirs qui lui sont accordés. « Le G29 note l’engagement du Bureau du directeur des services de renseignement américains (Office of the Director of National Intelligence – ODNI) à ne pas effectuer de collecte massive et indiscriminée de données personnelles. Néanmoins, il regrette le manque de garanties concrètes permettant d’éviter que de telles pratiques aient lieu », ajoutent les équipes bruxelloises.
« Sur la forme, on peut noter la multiplicité des annexes, propre à créer une confusion, d’autant que leur vigueur normative interroge. Certaines ne sont que des lettres d’engagement de responsables d’une administration présidentielle arrivant en fin de mandat.
Sur le fond, la plupart des annexes se contentent de rappeler les textes et pratiques des administrations fédérales, ainsi que les compétences et actions passées.
Au demeurant, les obligations de transparence imposées aux entreprises américaines demeurent moindres que celles des entreprises européennes, ce qui crée une distorsion de concurrence, a fortiori pour les entreprises de télécommunications qui ne peuvent adhérer au Privacy Shield car elles n’entrent pas dans le champ de compétence de la FTC. Or les technologies et services convergent aujourd’hui », explique Céline Castets-Renard, professeur à l’Université Toulouse Capitole, membre de l’Institut universitaire de France, directrice du master Droit du numérique, et directrice adjointe de l’IRDEIC, Centre d’excellence Jean Monnet, et de poursuivre : « Le Privacy Shield vise le traitement de données dans un but commercial, mais des dérogations sont prévues pour un motif de “sécurité nationale” ou lorsque “l’intérêt public” est en cause, ce qui prête à interprétation.
Quant au médiateur, s’il est indépendant des services de sécurité nationale, il rend compte directement au secrétaire d’État et ses pouvoirs sont faibles.
Surtout, le Privacy Shield est fondé sur la directive 95/46/CE, alors qu’elle vient d’être réformée par le règlement 2016/679 du 27 avril 2016, plus protecteur. »
La première évaluation annuelle conjointe sera donc un moment-clé permettant d’évaluer la robustesse et l’effectivité des garanties prévues par le Privacy Shield. La compétence des autorités de protection des données impliquées dans cette évaluation devra donc être clairement définie.
Plus particulièrement, tous les membres de l’équipe d’évaluation doivent pouvoir accéder directement à toutes les informations nécessaires à celle-ci, y compris aux éléments permettant d’évaluer la proportionnalité de la collecte et de l’accès des autorités publiques américaines aux données transférées dans le cadre du Privacy Shield.
Lors de leur participation à la procédure d’évaluation, les représentants du G29 détermineront non seulement si des préoccupations demeurent, mais également si les garanties proposées dans le cadre du Privacy Shield sont effectives. Les résultats de la première évaluation conjointe concernant l’accès par les autorités publiques américaines aux données transférées dans le cadre du Privacy Shield sont susceptibles d’avoir un impact sur les outils de transfert tels que les règles d’entreprise contraignantes (RCE) ou les clauses contractuelles types (CCT).
Les réserves à nouveau émises le 25 juillet 2016 par le G29 confirment les doutes sur la solidité du Privacy Shield…
Attendu depuis 2012, le règlement européen entrera en vigueur dès 2018. Deux ans ne seront pas de trop pour ces entreprises européennes qui doivent se mettre en conformité. Une conformité basée sur la transparence et la responsabilisation qui suggèrent prise de conscience et changement de méthode de travail… pour s’adapter aux nouvelles réalités du numérique. Pédagogie, information, sensibilisation et formation seront essentielles pour voir émerger un nouveau concept, une nouvelle approche, au cœur de laquelle les enjeux de protection des données personnelles seront prises le plus en amont possible, dès la conception des technologies. Concilier innovation et vie privée deviendra ainsi une démarche non seulement plus responsable mais aussi plus rentable !
Au-delà des contraintes imposées par ce règlement européen, la vision protectionniste pourrait bien se combiner intelligemment à une approche plus libérale pour que le sujet de l’économie des données personnelles allie business et éthique. « En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée », explique le CIGREF.