CONFORMITE AVEC LE RGPD ET ACCOUNTABILITY
/ Mars 2023 /
Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles en Europe. Ce texte est en application depuis le 25 mai 2018. Etes vous en conformité ?
Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.
Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.
La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.
Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.
Lesdonnées sont aujourd’hui des sources devaleur considérable. Elles représentent non seulement des actifs pour les entreprises mais elles sont également un moyen d’assurer la continuité de leurs activités.
Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.
Au regard desdangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).
Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Le droit européen vient ici instaurer un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne : le choix d’un règlement plutôt qu’une directive n’est pas anodin puisqu’il est de fait d’application directe pour tous les pays, sans avoir besoin d’une éventuelle transposition. Le texte a pour objectif, comme le rappelle la CNIL (1), de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données, qui se voient contraints de respecter certaines règles (nouvelles ou mises à jour) en la matière.
Le souci, c’est que très peu d’entreprises semblent prêtes à respecter cette multitude de dispositions nouvelles d’ici le mois de mai. En effet, seuls 19 % des entreprises s’estiment capables d’atteindre cette conformité dans un délai si restreint (2).
Cette mise en conformité paraît pourtant urgente, alors que début 2017 on recensait plus de 15 millions d’attaques aux données, en hausse de 35 % (3).
Il apparaît nécessaire, de fait, d’accompagner les entreprises dans ces différentes étapes : en effet, l’ensemble des dispositions du texte se devra d’être compris par les entreprises (I), pour pouvoir organiser de manière rapide et efficace leur mise en conformité (II).
I) Le cadre juridique instauré par le RGPD et l’accountability
Le texte européen, qui pour rappel est entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.
A) Des obligations nouvelles pour les entreprises vis à vis de l’accountability et de la Privacy by Design
L’entrée en vigueur du texte en mai 2018 a renouvellé le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.
Il remplace à présent l’ancienne directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données qu’elles traitent sont celles des personnes qui se trouvent sur le territoire de l’Union européenne (principe de ciblage).
Ce texte insère de nouvelles notions telle que la « Privacy by Design ». Définit à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.
Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.
D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. A l’occasion de l’arrêt Google Spain, la Cour de justice de l’Union européenne précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées (4) ».
Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.
Par ailleurs, les organismes devront répondre aux demandes d’exercice de droits des personnes concernées. Enoncées au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.
De plus, les organismes devront à chaque traitement s’assurer d’avoir recueillisle consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement. Défini à l’article 4, le « consentement » correspond à toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.
Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale. Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.
Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.
Besoin de l'aide d'un avocat pour la RGPD ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien_
Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.
B) Des risques accrus pour les entreprises en cas de non-conformité et les pro principes de Privacy by Design et d’accountability
Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.
Comme le signale la CNIL en marge de l’application prochaine du RGPD : « de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant ».
D’ailleurs, la tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.
C’est notamment le cas lors du choix desprestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).
Pour toute violation de ces dispositions, le texte prévoit en son chapitre VIII les différentes voies de recours, principes de responsabilité et sanctions qu’encourent les entreprises. Il est notamment décrit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros « ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ».
C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.
Si tel n’est pas le cas, unemise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.
La dernière décision en date semble d’ailleurs aller dans le sens d’une fermeté équivalente aux dispositions du RGPD, puisque la CNIL espagnole a infligé le 11 septembre dernier à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.
Dans la pratique, de nombreuses entreprises se sont vu sanctionner pour non-respect du RGPD. Dans une décision du 21 janvier 2019, la CNIL est venue sanctionner Google par une amende dont le montant total était de 50 millions d’euros. La CNIL a sanctionné le traitement des données personnelles des utilisateurs du moteur de recherche, sans que ce traitement des données ait été au préalable accepté par les utilisateurs.
Le défaut d’information du traitement des données personnelles et le défaut de recueil du consentement préalable au traitement ont été sanctionnés par la CNIL dans une décision qui a été confirmée par le Conseil d’État dans une décision du 19 juin 2020. Le Conseil d’État détermine également que l’amende de 50 millions d’euros n’était pas disproportionnée. Cette amende reste encore aujourd’hui la sanction la plus importante prononcée par la CNIL sur le fondement du RGPD.
En effet, une condamnation de la société Sergic (Agence Immobilière) du 28 mai 2019 n’a entraîné qu’une amende de 400 000 euros, pour une absence de contrôle des accès aux données conservées par le site. De même dans la décision du 13 juin 2019, où la société UNIONTRAD COMPANY a été condamnée à 20 000 euros d’amende.
Plus récemment encore, dans une décision du 7 décembre 2020, la CNIL sanctionne à hauteur de 3 000 euros le manquement aux articles 32 et 33 du RGPD. L’article 32 prévoit que doit être garanti un niveau de sécurité adapté au risque au travers de mesures techniques et organisationnelles appropriées.
Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.
L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.
Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD. Les enjeux de la protection n’ont jamais été aussi importants, notamment au regard de l’actualité qui laisse présager un besoin de renforcer la sécurité des données (la révision de la NIS témoigne de ce besoin).
Quoi qu’il en soi, la question de la transition se pose pour chaque entreprise. Celle-ci n’ont en effet pas forcément conscience, même avec de la bonne volonté, de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .
C’est pourquoi le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.
Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.
II) Les étapes de la mise en conformité et de l’accountability
des entreprises aux nouvelles dispositions, ainsi que de la Privacy by Design
Dans l’attente d’une entrée en vigueur imminente de cette nouvelle réglementation, il convient pour les entreprises et, plus largement, tout traitant ou sous-traitant de données à caractère personnel, de prendre de l’avance et d’entamer dès aujourd’hui un processus de mise en conformité. Il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’entamer, si tel n’est pas le cas un processus de mise en conformité.
À cet égard, le délégué à la protection des données (a) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (b) de cette transition.
A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité
Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.
On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).
Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doivent désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mise en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.
En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d'assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d'accès internet.
Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques,relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictionsreligieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.
Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.
La désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD, surtout en si peu de temps. Ce « chef d’orchestre » est le délégué à la protection des données qui, au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif. C’est ce que prévoit le règlement, qui consacre ses articles 37, 38 et 39 respectivement à la désignation, les fonctions et les missions du délégué à la protection des données. L’article 38 précise, de manière emblématique, que celui-ci doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».
Il faut savoir que ce délégué n’est pas seulement de mise que dans le cadre de cette conformation avant l’entrée en vigueur du texte, puisque la désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle. Le G29, qui a publié le 13 décembre 2016 des lignes directrices concernant le régime du délégué, s’appuie notamment pour caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.
Il n’est pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la règlementation. Afin d’être désigné le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.
L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrits un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices. La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.
Le délégué à la protection des données ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protectiondes données. Il se devra également d’anticiper au mieux les changements dans ce domaine en mouvance permanente. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.
Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».
Précisées à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.
Celui-ci est, à ce titre, soumis au secret professionnel ou à une obligation de confidentialité dans le cadre de sa mission.
Cela étant, il est important de souligner que le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement ; il est fortement conseillé pour lui néanmoins, comme l’indiquent les lignes directrices du G29, de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).
B) Les détails du processus de transition, de l’accountability et de la Privacy by Design pour les entreprises
Une fois l’organe « directeur » de cette mise en conformité que constitue le délégué à la protection des données mis en place, l’entreprise devra alors engager le processus de transition en trois étapes.
La première consiste essentiellement, comme l’indique la CNIL (7), à établir une « cartographie du traitement des données personnelles par l’entreprise ». Il est important, comme on l’a déjà évoqué, de lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.
Pour ce faire, l’entreprise devra tenir à jour un registre des traitements de données : Il faudra y consigner toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, comment elles sont stockées, la manière dont elles sont traitées, leur provenance ou encore le nom des traitants et sous-traitants.Cependant les registre de traitement sont allégés pour les entreprises de moins de 250 salariés.
Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs. Dans un second temps, il s’agira de procédé à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.
À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.
Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.
L’accountability est une démarche permanente qui permet de prouver le respect des règles fixées par le RGPD.
Pour lire l'article plus court en version mobile dsur la RGDP, cliquez
ARTICLES EN RELATION :
- Anonymat sur Internet
- Objets connectés et données personnelles
- Protection des données personnelles et E-administration
- Protection des outils de recherche
- Démarchage téléphonique et rgpd
- Droit à l'oubli
Sources :
(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720
https://www.cnil.fr/fr/designation-dun-delegue-la-protection-des-donnees-bilan-des-mises-en-demeure-prononcees-lencontre-de