Près de 4 mois après l’entrée en vigueur du Règlement Général de la Protection des Données (RGPD), le Cabinet SEBAN & Associés a souhaité dresser un premier état des lieux de la récente réforme de la protection des données à caractère personnel, trop souvent présentée comme une rupture brutale anxiogène là où elle correspond bien davantage à un changement de paradigme porteur d’opportunités et conduit à s’inscrire dans la durée.

L’ambition de cette Lettre d’Actualité juridique dédiée aux enjeux de la mise en conformité des acteurs publics sera dès lors de proposer une présentation dynamique des principales évolutions issues de ce cadre juridique renouvelé (I), de partager quelques conseils pratiques et opérationnels de mise en conformité issus de nos retours d’expérience (II), puis, au moyen de brèves rédigées par les différents secteurs du Cabinet de révéler la multiplicité des situations impactées (III).

I-             Ce que le RGPD a vraiment bouleversé

Parce que l’entrée en vigueur du RGPD a incontestablement ouvert un besoin nouveau pour un grand nombre d’acteurs, certains n’ont pas hésité à se revendiquer spécialistes de la matière, faisant montre de grandes approximations et ajoutant malheureusement à la confusion du discours ambiant.

C’est pourquoi quelques petites clarifications s’imposent aux fins d’appréhender cette réforme dans sa juste proportion.

L’entrée en vigueur du RGPD n’est, tout d’abord, pas un cataclysme juridique en France, puisque, dans notre droit national, les données à caractère personnel étaient protégées depuis plus de 40 ans (loi CNIL n°78/17 du 6 janvier 1978) et que les règles d’or conditionnant la régularité d’un traitement (article 5 et 6 du RGPD) demeurent très largement inchangées.

De même, le consentement ne devient pas une condition obligatoire de régularité d’un traitement de données à caractère personnel. Le consentement demeure, en effet, uniquement, l’une des bases juridiques susceptible de fonder un traitement (article 6 du RGPD) et, s’agissant des acteurs publics, le recours au consentement des personnes concernées pour fonder un traitement est extrêmement résiduel et a vocation à le rester sous l’égide du RGPD. Il doit donc être retenu que le RGPD n’a pas étendu le champ des traitements fondé sur le consentement mais a uniquement durci les conditions de son recueil (à partir d’une information suffisante et via un acte positif clair, notamment).

Enfin, les acteurs publics qui ne sont pas en conformité avec les nouvelles obligations issues du RGPD depuis le 25 mai 2018 ne vont pas se voir infliger immédiatement une amende financière pouvant atteindre 20 millions d’euros. Si, en dépit des tentatives du Sénat, le législateur a décidé de ne pas exonérer les collectivités territoriales (contrairement à l’Etat) au prononcé de sanctions financières à leur encontre, il n’en demeure pas moins que la CNIL a d’ores et déjà indiqué qu’elle ferait preuve de clémence, dans un premier temps, s’agissant des obligations nouvelles issues du RGPD. N’ayant, à ce jour, pas elle-même satisfait à l’ensemble de ses propres obligations (publication de la liste des traitements soumis à analyse d’impact, diffusion de référentiels, etc.), la CNIL ne saurait raisonnablement reprocher aux acteurs publics de ne pas être, à ce jour, parfaitement en conformité avec la nouvelle logique portée par le RGPD. En revanche, la CNIL a d’ores et déjà prévenu qu’elle renforcerait très largement son contrôle quant au respect des règles préexistantes issues de la loi CNIL, et n’hésiterait pas à sanctionner les organismes qui les méconnaîtraient. L’urgence est dès lors la vérification du respect de ces règles vieilles de 40 ans, à laquelle, il faut l’admettre, il n’était pas toujours porté une attention suffisante. Et c’est d’ailleurs, là, à notre sens, que se situe le principal changement !

En réalité, en effet, les plus grandes évolutions liées à l’entrée en vigueur du RGPD procèdent surtout de la prise de conscience généralisée qui a accompagné son entrée en vigueur et de la logique de responsabilisation et de vigilance permanente portée par ce texte.

De sorte que c’est bien ce changement de paradigme qui constitue le principal bouleversement, dont les acteurs publics doivent prendre la mesure, lequel se matérialise à travers les trois nouvelles obligations concrètes suivantes.

– Les acteurs publics seront tout d’abord désormais tenus de désigner un délégué à la protection des données. L’article 37 du RGPD prévoit, en effet, désormais expressément que toutes les autorités et tous les organismes publics, sans aucune exception, sont tenus de désigner un délégué à la protection des données. Alors que, jusqu’à présent, seules 2% des communes, la moitié des EPCI et des départements et 2/3 des régions avaient désigné un correspondant informatique et liberté (CIL), le RGPD impose désormais la généralisation obligatoire de ces désignations, autorisant toutefois la possibilité d’avoir recours à un délégué à la protection des données externe et / ou mutualisé. Dans ses lignes directrices consacrées à ce nouvel acteur, le G29 (regroupement de toutes les CNIL européennes) recommande d’ailleurs largement, au-delà, que les personnes privées exerçant une mission de service public dans des conditions comparables à celles des personnes publiques se dotent également d’un délégué à la protection des données. Eu égard aux garanties d’indépendance et de compétence que se doit de revêtir ce délégué à la protection des données, les enjeux entourant sa désignation ne sont pas neutres et doivent être attentivement considérés. Beaucoup de la réussite et des perspectives positives dressées par le processus de mise en conformité dont il aura la charge dépendra des qualités techniques et humaines de ce délégué à la protection des données.

– Ce dernier aura en effet comme principale mission nouvelle d’établir un registre des traitements, lequel devra permettre d’attester de la parfaite conformité de l’organisme au RGPD. Pour ce faire, il lui appartiendra de procéder au recensement de l’ensemble des traitements ayant fait l’objet ou non de formalités préalables auprès de la CNIL déployés au sein de l’organisme et de faire un audit général des mesures de sécurité mises en œuvre pour en garantir la parfaite sécurité. Un travail de dentelle devra dès lors être opéré au sein de chaque service pour déceler l’ensemble des traitements existants et les conditions précises de leur exécution. S’en suivra très probablement l’impulsion de nouvelles méthodes de travail, lesquelles devront être amenées habilement pour être acceptées et appliquées par tous.

– Ce délégué aura ensuite une mission plus particulièrement juridique relative à la mise en conformité de l’ensemble des contrats liant son organisme dont l’exécution pourrait donner lieu à un traitement de données à caractère personnel. L’une des évolutions les plus sensibles du RGPD tient en effet à la responsabilisation des sous-traitants, laquelle implique cependant des nouvelles obligations, en termes de contractualisation, pour clarifier précisément les responsabilités de chaque entité s’agissant de la mise en œuvre d’un traitement de données à caractère personnel. Pour les acteurs publics, cette évolution est dès lors particulièrement bénéfique en ce qu’elle va contraindre leurs cocontractants à se préoccuper davantage de ces enjeux et à leur proposer des outils intégrant, par eux-mêmes, les enjeux de protection des données à caractère personnel (conforme au nouveau principe « Privacy by design »). Cependant, dans un premier temps, cela va les contraindre à un effort complémentaire dans la rédaction de leurs contrats. La parfaite maîtrise de la réglementation est d’ailleurs, à ce titre, essentielle, puisqu’il est constant qu’elle est sujette à interprétation et que dans le cadre d’une renégociation contractuelle, chacun tentera de faire valoir ses propres intérêts et de minimiser ses responsabilités.

II-            Quelques conseils pratiques pour contenir l’effort de mise en conformité et en saisir toutes les opportunités

Les premiers retours d’expérience sur les mises en conformité au RGPD permettent aujourd’hui de dégager plusieurs règles de conduite garantes d’une perception positive de ce nouvel effort à engager pour les acteurs publics.

Nul besoin de préciser que la conviction de l’utilité d’une réforme conditionne pour beaucoup la réussite de son déploiement.

A cet effet et en plus d’être en capacité de faire preuve de beaucoup d’enthousiasme dans la mise en œuvre d’une nouvelle réglementation représentant un enjeu de libertés fondamentales certain et porteuse, à bien des égards, de débats idéologiques passionnants, le processus de mise en conformité doit être engagé, en application des trois principes directeurs suivants.

– Le respect d’une méthodologie rigoureuse. Le premier conseil qui nous semble devoir être présenté, s’agissant de ce processus de mise en conformité, consiste dans le suivi d’une méthodologie rigoureuse, établie dans l’objet de minimiser autant que possible les efforts nécessités. Outre le déroulé proposé par la CNIL en 6 étapes (disponible sur son site internet), il nous semble, à cet effet, particulièrement opportun de penser le travail d’audit directement dans le souci de la documentation de la conformité attendue ultérieurement et, par suite, via l’établissement concomitante d’un pré-registre et d’un référentiel de sécurité. En tout état de cause et pour éviter à la fois les risques de dispersion et d’épuisement, la définition d’une méthodologie au lancement du processus de mise en conformité et son suivi rigoureux constitue un gage notoire d’efficacité.

– La priorisation des actions. La seconde recommandation qui mérite opportunément d’être respectée consiste en la capacité de définir des actions à mener prioritairement à d’autres.

Condition d’une répartition des efforts équilibrée, une telle priorisation sera aussi, en effet, la garantie d’une limitation des risques de sanction de la CNIL. Plus précisément, trois types de priorisation devront être respectés et idéalement conciliés :

• Une priorité selon le risque, qui consiste à prioriser selon les sanctions effectives encourues. A ce titre et parce que la CNIL a annoncé qu’elle sanctionnerait en premier lieu les atteintes aux principes de la réglementation relative à la protection des données antérieurs au RGPD, il devra être effectué ce travail de vérification liminaire de la conformité de l’organisme aux règles qui préexistaient à l’entrée en vigueur du RGPD. Conformément à ce critère de priorité, il sera également décidé d’accorder une attention particulière aux demandes des personnes concernées relatives à l’un des droits consacrés par cette réglementation afin de limiter les risques de plainte potentielle desdits administrés auprès de la CNIL. Il est entendu, en effet, que plus la CNIL recevra de plaintes à l’égard d’un organisme, plus elle sera tenté de le contrôler.
• Une priorité selon les enjeux, qui consiste, notamment, à procéder prioritairement à la révision des contrats présentant un enjeu important, en termes de responsabilité pour le pouvoir adjudicateur. Dit autrement, il s’agit de modifier, en premier lieu, les contrats portant sur les traitements de données à caractère personnel les plus risqués (parce qu’ils portent sur des données sensibles ou parce les opérations qu’ils concernent sont en tant que telle risquées).
• Une priorité selon l’effort de mise en conformité requis, consistant, enfin, à prioriser les actions de mise en conformité rapides et visibles pour être en mesure de démontrer immédiatement un engagement réel dans la mise en conformité au RGPD.

– La mise à profit du travail d’introspection. La dernière préconisation pratique qu’il convient de considérer, bien qu’elle ne soit pas la plus aisée à mettre en œuvre, a trait à la mise à profit du processus de mise en conformité au RGPD, dans les autres missions et activités de l’organisme.

Au-delà de la réduction des informations traitées, de l’optimisation de l’usage de ces données et d’une plus grande fluidité des échanges entre les différents intervenants d’un traitement, que devra en tout état de cause permettre le déploiement effectif de cette mise en conformité, l’objet serait ainsi notamment de se servir de ce travail d’introspection pour permettre à l’organisme de respecter par exemple ses obligations en matière d’open data, d’effectuer une réforme de la gouvernance d’un organisme ou encore de faire de la meilleure transparence et de la rénovation de l’utilisation des données un véritable engagement politique.

*

Dans un tel contexte de mutation, le Cabinet SEBAN & Associés, fidèle à son engagement en faveur des acteurs publics et para-publics locaux, s’est doté de moyens importants pour accompagner sa clientèle dans la mise en conformité de leurs pratiques à l’égard de ce nouveau cadre de protection des données personnelles. Il apparaît de façon particulièrement évidente qu’une juste et saine application de ces textes suppose une connaissance fine de l’univers de l’organisation concernée et qu’une approche « métier », secteur d’activité par secteur d’activité, permet seule de cerner les enjeux et de proposer des solutions adaptées et praticables.

Dans les brèves qui suivront, qui n’ont aucunement la prétention de l’exhaustivité, les différents référents du Cabinet, qui ont vocation à soutenir ponctuellement l’activité de l’équipe dédiée au droit des données, exposent synthétiquement les différents enjeux identifiés dans leur champ de compétence, permettant de prendre conscience de la diversité et de la transversalité des questionnements induits par l’application du nouveau cadre juridique.