le 20/09/2017

Protection des données personnelles : la mise en conformité avec le Règlement européen de protection des données (RGPD)

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016

La mise en conformité avec le Règlement européen de protection des données (RGPD)

1 – Le principe de la responsabilisation des acteurs publics avec une extension et une aggravation des sanctions.Après la loi pour une République numérique d’octobre 2016, le Règlement général sur la protection des données (RGDP) n° 2016/679/UE du 17 avril 2016, entré en vigueur le 18 mai 2016, sera applicable le 25 mai 2018, soit dans huit mois.

Les acteurs publics sont directement concernés, d’autant que la protection des données à caractère personnel prendra une importance accrue avec la mise à disposition des données dans l’OPEN DATA.

La mise en place du chantier du service public numérique s’accompagne d’un renforcement de la protection des données à  caractère personne collectées par les acteurs publics.

Or, avec le Règlement européen, on passe à une logique de responsabilisation, puisque la déclaration préalable à la CNIL est supprimée ; il appartient à la structure de prendre toutes mesures afin de garantir la conformité des traitements de données personnelles et de pouvoir en justifier à tout moment par la tenue d’un registre comportant la description de l’ensemble des traitements et des processus mis en place.

Dans ce contexte la mise en conformité ne pourra se contenter d’un traitement purement technique se rajoutant à l’existant. Il faut établir un ensemble cohérent et fiable, sécurisé, de nature à ne prendre aucun risque de perte de contrôle. Les enjeux sont évidemment financiers, au regard du coût d’un système qui perdrait en fiabilité par défaut d’une structure cohérente, mais aussi au regard des sanctions prévues par le RGDP, plus sévères que celles de la loi pour une République numérique (L. n° 2016-1321, 7 oct. 2016 : JO 8 oct. 2016 : JCP A 2016, 2307).

Les actions doivent donc être engagées dès aujourd’hui pour recenser les applications contenant des données à caractère personnel, mettre en place les mécanismes de sécurité et de protection et procéder à la vérification de la conformité.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur ces données, quel que soit le procédé utilisé.

Rappelons que les informations contenues dans les fichiers informatiques sont considérées comme des données personnelles si elles permettent d’identifier la personne par son nom, son numéro de sécurité sociale, son numéro de téléphone, un identifiant informatique ; la collecte d’adresses IP est considérée comme constituant un traitement de données à caractère personnel (Cass. 1re civ., 3 nov. 2016, n° 15-22.595 : JurisData n° 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888).

Ce changement de logique s’accompagne d’un durcissement des amendes encoures, pouvant aller jusqu’à 20 millions d’euros.

Très récemment, en juillet 2017, la CNIL a rendu deux délibérations, sanctionnant les sociétés OUICAR et HERTZ pour manquements à l’obligation de sécurité et de confidentialité des données personnelles. OUICAR a été sanctionnée par le prononcé d’un avertissement public, tandis que la société HERTZ a été condamnée à une amende de 40 000 euros. Ces différences de sanctions résultent de ce que les faits reprochés à OUICAR ont été commis avant l’entrée en vigueur de la Loi pour une République numérique alors que, concernant HERTZ, les faits ont été constatés après l’entrée en vigueur de cette loi qui a élargi le champ d’application des sanctions pécuniaires.

Ces deux décisions montrent l’aggravation des risques encourus en cas de manquement aux obligations définies par la Loi. Ces risques seront d’autant plus importants après l’entrée en vigueur du RGPD que les sanctions prévues seront considérablement alourdies.

2 – Mettre en place une méthodologie et un processus de gestion de la preuve de la conformité

Passant  d’un système actuel de contrôle a priori par la CNIL à un système de contrôle a posteriori dans lequel la collectivité doit pouvoir démontrer les mesures prises et leur efficacité, il va falloir renforcer la sécurisation des données à caractère personnel, s’armer contre les cyberattaques, veiller à leur stockage, à leur destruction, à leur accessibilité aux usagers concernés et empêcher les accès non autorisés de tiers.

Le principe de responsabilité instauré par le Règlement européen implique une gestion proactive, qui intègre les règles de protection en amont, dès la conception (privacy by design) et la collecte des données et tout au cours de leur traitement.

Il s’agit de mettre en place des mesures techniques et logistiques permettant de s’assurer du consentement des personnes à l’utilisation de leurs données selon une finalité définie, d’intégrer les processus de sécurisation des données, d’assurer que le traitement des informations est effectué selon la finalité déclarée et poursuivie et, enfin, de procéder à une anonymisation parfaite desdites données en cas de diffusion.

La procédure passe par un inventaire et une analyse de l’ensemble des traitements existants de données personnelles. Ceux-ci doivent être documentés afin de permettre la tenue du registre futur.

Pour cela, il faut déterminer quelles sont les données personnelles collectées, quelle est la finalité poursuivie, quelles sont les personnes qui y ont accès, quels sont les transferts effectués au sein de l’Union européenne ou à l’extérieur de l’Union européenne.

Il faut identifier les risques et mener une analyse d’impact pour chacun des traitements sur la protection des données.

Ensuite, il faut définir les règles qui doivent être appliquées selon une méthodologie aboutissant à la mise en conformité. Elles doivent prendre en compte les accès autorisés, la confidentialité, le stockage, l’exercice des droits conférés aux personnes dont les données sont traitées. Il faut inclure dans le dispositif tous les sous-traitants et les structures agissant en délégation. Pour cela, il faut vérifier et modifier, le cas échéant, les contrats et y insérer des clauses relatives à la responsabilité et à la confidentialité.

Enfin, il faut mettre en place la chaîne de responsabilité et la gouvernance. La conformité devra être documentée, c’est-à-dire qu’une documentation doit être regroupée dans un registre permettant de connaître et de vérifier les actions et les procédures mises en place pour assurer une protection en continu.

L’autorité de contrôle exercera une surveillance stricte du respect par le responsable de la mise en œuvre du principe de précaution et des exigences mise à sa charge en effectuant une analyse d’impact « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35 du RGPD).

Pour conduire ces opérations d’audit et de mise en conformité, il importe d’avoir recours à un consultant, un correspondant informatique et liberté (CIL), en attendant la désignation d’un délégué à la protection des données (DPO) obligatoire à compter de mai 2018.

Celui-ci sera chargé d’informer et de conseiller la structure, de dialoguer avec les autorités de contrôle afin de réduire les risques d’infraction et de contentieux.

Il faut rappeler que la désignation d’un DPO sera obligatoire dans les cas suivants :

– lorsque le traitement est effectué par une autorité publique ou un organisme public à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;

– lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations impliquant un suivi régulier et systématique à grande échelle des personnes concernées ;

– lorsque les activités du responsable du traitement ou du sous-traitant concernent des données dites sensibles, telles que les données de santé, les opinions religieuses, les opinions politiques, les appartenances syndicales, les infractions et les condamnations etc…

En clair, le DPO sera obligatoire dans toutes les administrations et organismes publics, au niveau national ou local. Peu importe que les personnes soient soumises au droit privé ou au droit public, dès lors qu’elles exercent une mission de service public.

Toutefois, le RGPD autorise le recours à un DPO mutualisé ou en sous-traitance (article 37) ; les communes pourront se regrouper pour désigner un DPO et mutualiser ses fonctions ce qui aura pour mérite de pouvoir se doter d’un meilleur outil de traitement et de sécurisation des données et d’une organisation plus performante.

Le changement implique également une modification dans la formation des agents, qui doivent être sensibilisés dès la conception de tout nouveau traitement.

Le nombre important de services procédant à la collecte et au traitement de données personnelles dans la « smart city » génère de multiples questions et des risques importants quant à l’usage qui peut être fait de ces données.

Ainsi en est-il en raison de la surveillance de masse assurée par les technologies créées, la captation croissante des données personnelles dans l’utilisation par l’usager des services à sa disposition, la géolocalisation, l’établissement de modèles prédictifs, l’insuffisante anonymisation qui permet d’identifier une personne, la perte de contrôle des données collectées ou leur réutilisation à des finalités non prévues ab initio.

Enfin, bien souvent, la captation de données souffre d’une insuffisance d’information de la personne concernée, voire d’une absence de consentement. Cela a pour effet de rendre impossible ou très compliqué pour une personne de contrôler l’usage qui est fait de ses données et de le contrôler.

Or, le principe fondamental est le respect du droit à l’information des personnes concernées et leur consentement au traitement desdites données.

En outre, ces données doivent être facilement accessibles et la personne concernée doit pouvoir les récupérer sous un format simple afin de les réutiliser à leur convenance (droit de portabilité).

Cela implique de veiller à l’organisation de la structure pour protéger les données et à leur réutilisation pour le développement des nouveaux services, en intégrant des clauses de responsabilité tout au long de la chaîne de traitement, y compris les sous-traitants.

L’utilisation des données doit être encadrée juridiquement, notamment par le biais des licences d’utilisation.

Pour une collectivité, il faudra avoir recours à un responsable de la sécurité des systèmes d’information qui aura le souci de veiller à la sécurité de l’utilisation des données mais aussi à leur hébergement et à leur traçabilité.

À l’heure de la globalisation, le transfert des données est de pratique courante.

Les dispositifs analysés et mis en place dans les territoires expérimentaux en 2017 vont permettre de donner des outils aux autres organismes publics, que ce soit au plan informatique, méthodologique ou règlementaire.

Le compte à rebours a largement commencé, à huit mois de l’application du RGPD.

La transformation induite par l’application du RGPD sera l’opportunité de voir apparaître de nouveaux modèles d’organisation intelligente et la création de nouveaux services.

Danielle Da Palma – Avocat