LE BLOG CARLER

Le règlement 2016/679 du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », plus communément dénommé Règlement Général sur la Protection des Données ou « RGPD » entre en vigueur le 25 mai 2018.

Les dispositions contenues dans le RGPD ont un champ d’application territoriale très large. En effet, celles-ci s’appliquent à tous les opérateurs de traitements de données personnelles situés sur le territoire de l’Union Européenne « que le traitement ait lieu ou non dans l’Union »[1].

Le seul critère étant l’établissement du responsable de traitement dans un territoire de l’Union Européenne, les dispositions du RGPD s’appliqueront même si le traitement concerne des données personnelles de ressortissants d’un territoire non membre de l’Union Européenne.

Les dispositions s’appliquent également aux opérateurs de traitement se situant dans un territoire hors de l’Union Européenne, dans le cas où les personnes concernées par le traitement se trouvent sur le territoire de l’Union et que les activités de traitement sont liées soit à « l’offre de biens ou de services à ces personnes », même si les ou services en question sont gratuits, soit au « suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ».

En conséquence, les dispositions du RGPD s’appliquent à tout traitement de données personnelles se rattachant au territoire de l’Union Européenne soit par l’établissement du responsable de traitement soit par la situation des personnes concernées par le traitement.

Avec l’entrée en vigueur de ce nouveau règlement sur la protection des données personnelles, on voit s’opérer un glissement d’une logique déclarative vers une logique d’autorégulation des responsables de traitement eux-mêmes.

Mis à la part la transcription des nouveaux droits reconnus aux personnes concernées, qui sont par effet miroir de nouvelles obligations pour le responsable de traitement, le nouveau système mis en place par le RGPD s’analyse essentiellement une évolution du dispositif anciennement prévu que (I).

Le RGPD contient tout de même certaines dispositions nouvelles visant à conduire les responsables de traitement à mener le plus en amont possible une analyse sur les traitements qu’ils opèrent ou envisagent d’opérer (II).

1. L’évolution de l’ancien système

Le RGPD impose la mise en place d’un registre des activités de traitement (A) et oblige également dans certain cas les responsables de traitement à désigner un délégué à la protection des personnes (B).

1. L’obligation de tenir un registre des traitements

Le RGPD modifie les obligations du responsable de traitement en matière de recensement et d’identification des traitements de données personnelles qu’il opère.

Originellement le responsable de traitement avait l’obligation de déclarer auprès de l’autorité de contrôle dont il dépendait, la CNIL en France, les traitements de données personnelles qu’il réalisait.

Lors de cette déclaration, le responsable de traitement devait fournir à l’autorité de contrôle un certain nombre d’information, notamment la finalité du traitement réalisé, la nature des données traitées ou encore les mesures de sécurité mise en œuvre pour protéger les données traitées.

Concernant le traitement de données sensibles, c’est à dire celle faisant apparaître « les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. », le responsable de traitement, sous réserve de pouvoir justifier d’être dans un des cas lui permettant de traiter ce type données, avait l’obligation d’obtenir une autorisation préalable de la part de l’autorité de contrôle.

Le RGPD a modifié ce système et y a substitué l’obligation pour le responsable de tenir un registre des activités de traitement, plus communément appelé registre des traitements (article 30 du RGPD).

La formalité d’autorisation préalable reste néanmoins maintenue pour certains types de traitement, comme par exemple les traitements mis en œuvre sur les données biométriques ou encore ceux portant sur le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) par le projet de loi portant sur la future loi informatique et libertés.

L’article 30 du RGPD qui prévoit l’obligation de tenir un registre des traitements dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Cette modification du système vise à responsabiliser davantage les personnes opérant des traitements de données personnelles en plaçant le recensement mais également le suivi et la mise à jour des traitements de données personnelles au titre de ses activités administratives usuelles des responsables de traitement, au même titre par exemple que la tenue d’un grand livre de comptable ou d’un registre unique du personnel.

Plus concrètement, le registre est un document établi par le responsable de traitement dans lequel sont retranscrites un certain nombre d’informations relatives aux traitements de données à caractère personnel réalisés par le responsable de traitement.

L’article 30 du RGPD n’impose pas de règle particulière pour la forme du document en question, mis à part le fait qu’il est précisé qu’il doit être écrit.

Le registre des traitements peut donc prendre n’importe quelle forme écrite, y compris au format électronique, ce qui dans la pratique sera le cas le plus souvent. Seront communément utilisés des solutions logicielles particulières acquises sur le marché ou un tableau sous format Excel.

L’article 30 du RGPD fournit la liste des informations devant être reportées dans le registre des traitements. Le responsable du traitement doit notamment mentionner dans ce registre la finalité des traitements opérés, les catégories de personnes concernées (clients, prospects, salariés…) et des catégories de données à caractère personnel, le délai prévu pour l’effacement des données.

On retrouve ainsi de nombreuses informations que le responsable de traitement devait fournir sous l’empire du système de la déclaration.

La mention dans le registre des informations vise notamment à permettre à l’autorité de contrôle lors d’une vérification de conformité, de s’assurer que le responsable de traitement respecte les principes de finalité et de proportionnalité, qui sont des principes fondamentaux de la protection des données personnelles.

Selon le principe de finalité des données personnelles ne peuvent être collectées que pour un traitement ayant une ou plusieurs « finalités déterminées » et ne peuvent être utilisées par la suite pour une finalité différente de l’initiale.

Le principe de proportionnalité impose que les données collectées par un responsable de traitement soient « adéquates, pertinentes et non excessives au regard des finalités » et qu’elles ne soient conservées par le responsable de traitement que pour la durée strictement nécessaire au traitement opéré.

Les informations reportées dans le registre permettent de s’assurer du respect de ces principes fondamentaux par le responsable de traitement.

Le responsable de traitement doit également indiquer dans le registre des traitements les mesures prises pour assurer la sécurité des données personnelles collectées et traitées.

En effet, au titre de ses obligations, le responsable de traitement doit assurer la sécurité des données personnelles qu’il collecte et traite.

Les responsables de traitement devront donc indiquer précisément dans le registre les mesures de sécurité, techniques et logiques, qu’ils ont adoptées pour assurer la sécurité des données traitées.

Si le responsable de traitement héberge lui-même les données personnelles qu’il traite, il est nécessairement capable de mentionner les mesures de sécurité qu’il a mis en œuvre (serveur sécurisés, cryptage des données…).

Lorsque les données personnelles traitées seront hébergées auprès de tiers (ce qui est souvent le cas en pratique), le responsable de traitement ne disposant donc pas de ces informations devra les obtenir de son fournisseur.

Dans le cas où le responsable aura négocié un plan d’assurance sécurité avec son prestataire (dans les projets informatiques, le plan d’assurance sécurité est une annexe contractuelle assez usuelle dans laquelle sont mentionnées toutes les mesures de sécurité prise par le prestataire pour l’exécution des prestations), il devra reporter dans le registre de traitement les informations contenues dans celui-ci.

Dans le registre des traitements, le responsable de traitement devra également indiquer si les données d’un traitement qu’il réalise sont transférées vers un pays tiers.

Cette obligation vient du fait qu’un responsable de traitement a interdiction de transférer les données personnelles qu’il traite vers un pays non membre de l’Union Européenne qui n’assure pas un « [2]niveau de protection adéquat ».

Le registre des traitements est donc désormais le document au centre du dispositif prévu par le RGPD et qui contient toutes les informations nécessaires afin de s’assurer que le responsable de traitement respecte ses obligations en la matière.

L’article 30 4° du RGPD prévoit que le responsable de traitement doit mettre « le registre à la disposition de l’autorité de contrôle sur demande ».

L’article 30 5° prévoit une exception à l’obligation de tenir un registre pour les entreprises ou organisations de moins de 250 salariés.

Le champ d’application de cette exception est toutefois restreint puisque ce même article prévoit que l’exception ne joue pas dans le cas où le traitement « est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel » ou s’il porte sur des données sensibles (celles mentionnées à l’article 9§1) ou des données relatives à des condamnations pénales et à des infractions.

L’exclusion de l’exception dans le cas d’un traitement non occasionnel restreint grandement le jeu de l’exception. En effet, de nombreuses entreprises effectuent des traitements de données à caractère personnel de manière récurrente notamment dans le cadre de la gestion de leurs ressources humaines (traitement des fiches de paie…).

Dans la pratique, cette exception d ‘avoir à tenir un registre pour les entreprises de moins de 250 salariés ne jouera que très peu et, dans les faits, toutes les entreprises, même les PME, seront tenues de tenir un registre au moins pour les traitements des données personnelles relatives à leurs salariés.

1. La nomination d’un délégué à la protection des données

L’article 37 du RGPD prévoit également pour les entreprises l’obligation de nommer un délégué à la protection des données, plus usuellement appelée « DPO ».

Le DPO remplace l’ancien correspondant informatique et libertés (CIL) dont la désignation était facultative.

Le DPO peut être un membre du personnel de l’entreprise ou un tiers engagé à cet effet sur la base d’un contrat de service. De nombreuses offres de services externalisés de DPO ont d’ailleurs vu le jour sur le marché.

Le RGPD indique que la désignation du DPO doit se faire « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données » mais également « sa capacité à accomplir les missions », parmi lesquelles on trouve notamment la coopération avec l’autorité de contrôle, l’information et le conseil du responsable de traitement et de ses sous-traitants et le contrôle du respect du RGPD.

Dans la pratique, les entreprises hésitent souvent entre un membre de la direction des systèmes d’information ou une personne issue du service juridique. En réalité, la « connaissances spécialisées du droit et des pratiques en matière de protection des données » nécessite à la fois des connaissances juridiques et des connaissances techniques. En conséquence, quel que soit le profil choisi, plus technique ou juridique, il sera nécessaire de lui adjoindre une assistance compensant l’autre partie du profil requis.

L’article 37 du RGPD précise les cas où la nomination d’un DPO est obligatoire.

La désignation d’un DPO est tout d’abord obligatoire lorsque le traitement est effectué par une autorité publique ou un organisme public.

Elle l’est également si les activités de base du responsable de traitement « consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ».

La notion de « suivi régulier et systématique » n’a pas été définie par le RGPD. Dans ses lignes directrices, le G29 a donné son interprétation des termes « régulier » et « systématique »[3].

Selon ces lignes directrices, « régulier » renvoie à un acte soit « continu ou se produisant à intervalles réguliers au cours d’une période donnée », soit « récurrent ou se répétant à des moments fixes » soit « ayant lieu de manière constante ou périodique ».

Le terme « systématique » recouvre quant à lui tout acte « se produisant conformément à un système; ou « préétabli, organisé ou méthodique » ou « ayant lieu dans le cadre d’un programme général de collecte de données » ou encore « effectué dans le cadre d’une stratégie ».

Le G29 donne dans ses lignes directrices quelques exemples d’activités de traitement impliquant un suivi régulier et systématique. Selon le G29 c’est le cas pour une « exploitation d’un réseau de télécommunications ; [une] fourniture de services de télécommunications ; [un] reciblage par courrier électronique ; [des] activités de marketing fondées sur les données ; [un système de] profilage et notation à des fins d’évaluation des risques ; [une activité de] géolocalisation ; [une activité de] publicité comportementale ; [une activité de] surveillance des données sur le bien-être… »

L’article 37 prévoit enfin que la désignation d’un DPO est obligatoire lorsque les activités de base du responsable de traitement consistent dans un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou des infractions.

Là encore, le RGPD ne donne pas de définition précise de la notion de « traitement à grande échelle ».

Le considérant 91 du RGPD donne néanmoins quelques pistes pour caractériser l’existence d’un « traitement à grande échelle ». Selon ce considérant, les traitements à grande échelle sont ceux qui visent « à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées ».

Dans ses lignes directrices, le G29 précise que quatre facteurs peuvent être pris en compte pour déterminer si le traitement est opéré grande échelle ou non. Ces quatre facteurs sont : « le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ; le volume de données et/ou le spectre des données traitées ; la durée, ou la permanence, des activités de traitement de données ; l’étendue géographique de l’activité de traitement. »

Compte tenu du caractère très générique des termes « traitement à grande échelle » et de « suivi régulier et systématique », il n’est pas aisé pour les entreprises de déterminer avec certitude si elles sont ou non dans l’obligation de désigner un DPO.

Le défaut de désignation d’un DPO entraîne une amende pouvant s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire mondial, le montant le plus élevé étant retenu pour les entreprises. Par sécurité et afin d’éviter un risque d’amende, il est donc préférable pour les entreprises de désigner un DPO.

Concernant la tenue d’un registre des traitements et la désignation d’un DPO, le RGPD constitue en définitive une évolution du système ancien qui prévoyait une déclaration CNIL contenant des informations similaires et la faculté pour les responsables de traitement de désigner un correspondant informatique et libertés dont les fonctions étaient proches de celles du DPO.

1. Des obligations imposant une analyse en amont par le responsable de traitement

Le RGPD requiert des responsables de traitement une analyse le plus en amont possible de la conformité des traitements qu’ils envisagent d’opérer et des éventuels risques attachés pour les personnes concernées.

A cet effet l’article 35 du RGPD impose aux responsables de traitement d’effectuer une analyse d’impact (A) ainsi que d’assurer une « protection des données dès la conception et protection des données par défaut » (B).

1. L’analyse d’impact

L’article 35 1° du RGPD dispose que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

L’article 35 du RGPD ne définit pas ce qu’est une analyse d’impact (également dénommé par l’acronyme « PIA » pour « Privacy Impact Assessment »).

Dans ses lignes directrices, le G29 donne une définition de l’analyse d’impact. Il s’agit « d’un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel »[4].

L’analyse d’impact est donc une émanation du principe fondamental de proportionnalité, et ce, dans le but de prévenir les risques pour les droits et libertés des personnes physiques concernées par un traitement de données personnelles.

L’article 35§7 définit tout de même ce que doit contenir l’analyse d’impact.

Cette analyse doit à minima contenir tout d’abord « une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ».

Le responsable de traitement doit ensuite y insérer son analyse et son évaluation « de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités » ainsi que « des risques pour les droits et libertés des personnes concernées ».

Le responsable de traitement doit enfin préciser « les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».

L’analyse d’impact n’est pas requise pour tous les traitements. En effet, seuls ceux « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » sont concernés par cette obligation.

Il faut reconnaître que l’expression « risque élevé pour les droits et libertés des personnes physiques » n’est pas d’une grande clarté pour déterminer dans quelles situations cette analyse est nécessaire ou non.

L’article 35 §3 précise certains cas dans lesquels une analyse d’impact est requise et mentionne à cet effet « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques […] et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ». L’article précise que cela inclut le cas des activités de profilage.

L’article 35 §3 précise également que l’analyse d’impact est requise pour les traitements à grande échelle de données sensibles ou pour « la surveillance systématique à grande échelle d’une zone accessible au public », ce qui recouvre notamment la vidéo-surveillance.

La CNIL a donné quelques exemples de critères à prendre en compte pour déterminer les cas pour lesquels elle estime qu’une analyse d’impact est obligatoire. Ainsi, selon la CNIL une analyse d’impact est obligatoire lorsque les traitements remplissent au moins deux des critères ci-dessous :

• Implication d’une « évaluation/scoring(y compris le profilage) », d’une « décision automatique avec effet légal ou similaire », d’une « surveillance systématique », d’une « collecte de données sensibles », d’un « traitement de données personnelles à large échelle », d’un « croisement de données » ;

• Le traitement concerne des « personnes vulnérables (patients, personnes âgées, enfants, etc.) » impliquant un « usage innovant (utilisation d’une nouvelle technologie) » ou pouvant avoir pour effet l’« exclusion du bénéfice d’un droit/contrat.[5]»

L’analyse d’impact doit par principe être effectuée avant la mise en œuvre du traitement. La CNIL pécise qu’elle doit être faite « le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement ».

Toutefois, pour les traitements déjà en cours au jour de l’entrée en vigueur du RGPD, la CNIL considère que l’analyse d’impact devra être réalisée dans un délai raisonnable, lequel est assez large puisqu’il est estimé à 3 ans à compter du 25 mai 2018.

Le RGPD n’oblige pas le responsable de traitement à publier les analyses d’impact effectuées mais il est soumis à une obligation de communication à l’autorité de contrôle.

Si l’analyse d’impact révèle que le traitement est susceptible d’avoir un impact pour les droits et libertés des personnes, le responsable de traitement sera tenu de consulter l’autorité de contrôle sur les mesures protectrices à prendre pour mettre en œuvre le meilleur cadre préventif possible.

1. Le principe de protection dès la conception et par défaut

Toujours dans le but d’amener les responsables de traitement à analyser le plus en amont possible les traitements de données personnelles qu’ils opèrent et leurs potentielles conséquences pour les personnes physiques concernes, le RGPD a introduit un double principe de « protection dès la conception » et de « protection par défaut ».

Ces principes exposés à l’article 25 du RGPD sont souvent appelés « Privacy by design » et « Privacy by default ».

Selon le premier de ces principes, dès la conception du traitement de données qu’il envisage de réaliser, le responsable « des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ».

Ainsi, au titre du principe de protection, dès l’origine de la conception du traitement envisagé, il est attendu du responsable de traitement une réflexion quant au respect par son traitement des dispositions du règlement, notamment les principes fondamentaux de loyauté, de finalité et de proportionnalité.

Le principe de protection par défaut impose quant à lui que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».

L’article précise que « cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité ».

Le principe de protection par défaut est donc une émanation expresse et directe du principe de proportionnalité.

En définitive, il apparaît que le RGPD, s’il ne révolutionne pas les obligations pesant sur le responsable de traitement, lui impose de mener en amont une réflexion de fond sur le traitement qu’il envisage au regard des droits et libertés des personnes concernées.

C’est essentiellement l’alourdissement sans précédent des sanctions pouvant être infligées en cas de non-respect des dispositions du RGPD, qui constitue une réelle révolution de par le risque financier qu’il fait encourir aux responsables de traitement.

[1] Article 3 du RGPD.

[2]La Commission européenne est compétente pour déterminer si un pays tiers à l’Union Européenne assure un niveau de protection suffisant. La liste de ces pays est assez restreinte.

[3] G29, « Lignes directrices concernant les délègues à la protection des données (DPO) », adoptées le 13 décembre 2016 et révisées le 5 avril 2017.

[4] G29, « lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 », adoptées le 4 avril 2017 et modifiées le 4 octobre 2017.

[5] CNIL, « Ce qu’il faut savoir sur l’analyse d’impact », article publié le 19 février 2018 et accessible sur https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-dpia.

 

Pour plus d’informations

Me Sophie Haddad

shaddad@carler-france.com

50, rue Copernic
75116 Paris

T/ + 33 1 43 25 61 85

P/ + 33 6 10 84 04 90