Le Règlement Général sur la Protection des Données ¹ (RGPD) poursuit un objectif d’harmonisation des législations européennes. À ce titre, il est directement applicable dans chaque Etat membre de l’Union européenne (UE) sans qu’aucune transposition ne soit nécessaire. Toutefois, le RGPD renvoie sur certains points à la loi nationale des Etats membres.
Garance Mathias,
Associé Fondateur Mathias Avocats
En France, l’Assemblée nationale a adopté la loi relative à la protection des données personnelles(2), en lecture définitive le 14 mai 2018. La fameuse loi Informatique et Libertés(3) a donc été modifiée en vue de son adaptation au RGPD ainsi que de la transposition de la directive du 27 avril 2017 relative aux traitements de données à caractère personnel par les autorités dans le cadre des enquêtes et procédures judiciaires(4). Le 16 mai 2018, plus de soixante sénateurs ont saisi le Conseil constitutionnel afin qu’il examine la conformité de certaines des dispositions de cette loi à la Constitution. Les griefs formulés portaient notamment sur le manque de précisions du texte ainsi que ses nombreuses contradictions avec le RGPD. Par une décision du 12 juin dernier(5), le Conseil constitutionnel a rejeté tous les griefs des sénateurs, sauf un(6). Par un tour de passe-passe, la Haute juridiction rejette notamment le grief relatif à l’inintelligibilité de la loi déférée en s’appuyant sur son article 32, lequel habilite le Gouvernement à prendre par voie d’ordonnance les mesures nécessaires à la réécriture de l’ensemble du texte. Dans ce contexte, la loi relative à la protection des données personnelles a été promulguée le 20 juin 2018 et publiée au journal officiel du 21 juin 2018. Nombre de ses dispositions pourront cependant être réécrites voire supprimées, par voie d’ordonnance.
Quelle responsabilisation des acteurs ?
Au système déclaratif antérieur, le RGPD a substitué une démarche responsable (accountability) selon laquelle le responsable de traitement et le sous-traitant doivent être en mesure de démontrer à l’autorité de contrôle leur conformité. Toutefois, le RGPD conserve un régime de consultation préalable de l’autorité de contrôle dans certaines hypothèses(7). Par ailleurs, une marge de manœuvre a été laissée aux Etats membres afin qu’ils puissent prévoir un tel régime(8). C’est le cas en France à la suite de la loi relative à la protection des données personnelles du 20 juin 2018(9).
En pratique, le principe d’accountability implique que le responsable d’un traitement de données à caractère personnel adopte des mesures techniques et organisationnelles garantissant le respect de la réglementation (principes du privacy by design et by default, respect des droits des personnes, analyses d’impact le cas échéant, sécurité et confidentialité des données, notification des violations de données, etc.). La généralisation de la tenue d’un registre des traitements participe également de la démarche de responsabilité des organismes(10). A ce sujet, le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi Informatique et Libertés qui comportait initialement les dispositions applicables à la tenue du registre des traitements a été modifié. Dans sa nouvelle version publiée le 3 août 2018(11) après avis de la Cnil(12), il ne contient plus aucune référence à ce registre. Il n’est donc plus fait mention du fait que ce dernier doit être tenu à disposition de toute personne qui en fait la demande et que la délivrance d’une copie peut être subordonnée au paiement d’une somme qui ne peut excéder le coût de la reproduction.
Outre le principe exposé ci-dessus, plusieurs obligations sont directement mises à la charge du sous-traitant. Sans qu’il s’agisse d’une nouveauté, le sous-traitant doit présenter des garanties jugées suffisantes (connaissances du domaine dans lequel il intervient, fiabilité, ressources notamment). Ces garanties constituent d’ailleurs un critère de choix que les responsables de traitement doivent prendre en compte(13). Cette exigence peut par exemple être satisfaite lorsque le sous-traitant applique un code de conduite approuvé par une autorité de contrôle. En outre, la généralisation du registre des activités de traitement s’étend au sous-traitant(14). Le sous-traitant est directement soumis à l’obligation de sécurité prévue à l’article 32 du RGPD ainsi qu’à une obligation de collaboration tant avec l’autorité de contrôle de protection des données à caractère personnel qu’avec le responsable de traitement(15). Compte tenu des obligations que le sous-traitant doit respecter, le RGPD prévoit expressément qu’il puisse être sanctionné en cas de manquement. En outre, le RGPD prévoit expressément que « si, en violation [du Règlement] un sous-traitant détermine les finalités et les moyens du traitement de données, il est considéré comme un responsable de traitement pour ce traitement » (16). Cette hypothèse trouve à s’appliquer lorsque le sous-traitant, en violation du contrat conclu avec le responsable de traitement, réutilise les données à caractère personnel qui lui sont confiées pour mettre en œuvre un traitement dont il est seul à définir la finalité et les moyens. En pareil cas, le sous-traitant engage sa responsabilité vis-à-vis du responsable de traitement mais il encourt également des sanctions pénales et administratives (financières).
La clause relative à la protection des données à caractère personnel dans le contrat qui lie le responsable de traitement et le sous-traitant est considérablement enrichie par le RGPD. En sus, les obligations contractuelles que le responsable de traitement impose au sous-traitant de premier rang doivent être répercutées aux prestataires de second rang. Par ailleurs, le RGPD prévoit que, vis-à-vis du responsable de traitement, le sous-traitant de premier rang est responsable de la mauvaise exécution de ses obligations par le prestataire de second rang. La fin du contrat est également encadrée par le RGPD en ce qu’il prévoit que le contrat impose au sous-traitant la suppression des données à caractère personnel ainsi que celle des copies ou la restitution intégrale des données traitées, au choix du responsable du traitement.
Enfin, le RGPD détermine le régime de la responsabilité conjointe de traitement(17) : les co-responsables doivent définir leurs obligations respectives. Cette répartition fait l’objet d’un accord traitant notamment du respect des droits des personnes et de l’obligation d’information. Le RGPD prévoit que « les grandes lignes » de l’accord doivent être mises à la disposition de la personne concernée par le traitement. En revanche, le RGPD et la loi relative à la protection des données personnelles ne précisent pas les modalités de cette mise à disposition.
Quelles obligations relatives au DPIA ?
L’une des nouvelles obligations issues du RGPD consiste en la réalisation, avant la mise en œuvre de certains traitements, d’une analyse d’impact relative à la protection des données à caractère personnel (en anglais, Data Protection Impact Assessment ou DPIA)(18). Il permet d’identifier les risques sur la vie privée des personnes concernées (origine, nature, gravité du risque, etc.), d’identifier les mesures à appliquer et de démontrer la conformité du traitement au RGPD (l’analyse d’impact donnant lieu à l’élaboration d’une documentation). A ce titre, l’analyse d’impact participe au respect du principe d’accountability. La Cnil a publié une infographie et des études de cas afin d’aider les professionnels à définir dans quel cas une analyse d’impact est obligatoire et les accompagner dans sa réalisation. La Cnil a également mis à disposition du public, un outil d’aide à la réalisation de ces analyses d’impact.
Une analyse d’impact doit être effectuée lorsqu’un traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »(19). Le RGPD identifie trois cas non-exhaustifs dans lesquels une analyse d’impact est également requise(20) :
- « L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard de cette personne ou l’affectant de manière significative de façon similaire. » ;
- « Le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions. » ;
- « La surveillance systématique à grande échelle d’une zone accessible au public. ».
A ce sujet, le Groupe de travail « Article 29 » sur la protection des données (G29)(21) a publié des recommandations relatives à l’analyse d’impact(22), révisée le 4 octobre 2017. Notons que le G29 recommande de documenter l’avis formulé par le DPO dans le cadre de l’analyse d’impact(23). En outre, le sous-traitant doit aider le responsable du traitement et lui fournir les informations à sa disposition lors de la réalisation d’une analyse d’impact(24). Par ailleurs, il convient de garder à l’esprit que, lorsque les conditions de la mise en œuvre du traitement évoluent (nature des données à caractère personnel collectées, période de conservation des données, etc.) et que cela présente un risque pour les droits et libertés des personnes concernées, l’analyse d’impact doit être modifiée.
Selon l’article 35§7 du RGPD, l’analyse d’impact doit a minima contenir les éléments suivants :
L’autorité de contrôle peut intervenir après la réalisation d’une analyse d’impact lorsque l’analyse révèle qu’il existe un risque résiduel élevé pour les droits et libertés des personnes concernées (licenciement, difficultés financières par exemple)(25). L’autorité de contrôle participe ainsi à l’élaboration des mesures techniques et organisationnelles du responsable du traitement. Si le traitement envisagé par le responsable du traitement est susceptible de constituer une violation du RGPD, l’autorité de contrôle rendra un avis écrit et pourra exercer ses pouvoirs propres (enquête, mesures correctrices, etc.).
Quelles obligations relatives à la sécurité et à la notification de violation des données ?
La sécurité des données à caractère personnel doit être assurée, en application du RGPD, tant par le responsable de traitement que par le sous-traitant(26). Quant à cette obligation de sécurité, la loi relative à la protection des données ne mentionne que le responsable de traitement dans son article 34.
Pour rappel, les mesures de sécurité doivent avoir pour objectif notamment d’assurer la confidentialité, l’intégrité et la disponibilité du système de traitement des données ainsi que l’accès à celles-ci. Cela doit faire l’objet d’une politique de sécurité afin de documenter le respect par le responsable de traitement de son obligation d’assurer la sécurité des données à caractère personnel, conformément au principe d’accountability. En outre, l’exigence d’adaptation des mesures de sécurité impose d’évaluer régulièrement l’efficacité des mesures prises pour les réajuster le cas échéant.
Par ailleurs, le RGPD introduit la notion nouvelle de « résilience constante des systèmes et des services de traitement ». Selon le glossaire de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), la résilience se dit, en informatique, de la « capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident. ». Les solutions de sauvegarde et le système de redondance doivent donc être renforcées.
Le RGPD généralise également l’obligation de notifier les violations de données à caractère personnel. La violation de données à caractère personnel se définit comme la violation de sécurité entrainant la destruction, la perte, l’altération, la divulgation des données à caractère personnel traitées. La notification devra être effectuée auprès de la Cnil dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. Notons que la notification peut être effectuée à partir du site de la Cnil au moyen d’un formulaire en ligne.
En cas de sous-traitance du traitement des données, une collaboration avec les prestataires est organisée par le RGPD(27). Dans ce contexte, le responsable de traitement doit s’enquérir auprès de ses prestataires des délais dans lesquels ils sont en capacité de lui notifier toute violation de sécurité.
Quelles conditions de transfert hors UE ?
Les outils de transfert antérieurs au RGPD ne sont pas remis en cause. Ainsi, les clauses contractuelles types et les Binding Corporate Rules (BCR) peuvent être utilisées pour lesquelles le mécanisme d’autorisation par les autorités de contrôle a été supprimé. De nouveaux outils seront également élaborés dans les prochaines années pour encadrer les transferts tels que des mécanismes de certification et des codes de conduite. Des contrats, a priori distincts des clauses contractuelles types, peuvent être conclus entre responsables de traitement ou entre responsable de traitement et sous-traitant pour encadrer les transferts. Cependant, ces contrats sont soumis au contrôle de la Cnil. Ce mécanisme de vérification existait déjà auparavant, chaque fois que les clauses contractuelles types de la Commission européenne étaient modifiées par un responsable de traitement.
Le responsable de traitement peut se référer à la liste des pays établie par la Cnil sur laquelle figure le niveau de protection des données à caractère personnel assuré par chacun d’eux. Les décisions d’adéquation de la Commission européenne prises en application du RGPD doivent être réexaminées tous les quatre ans afin de prendre en compte les évolutions qui auraient pu avoir lieu dans les pays tiers. A noter que, à la suite de l’affaire Cambridge Analytica et de la promulgation par le Congrès américain du CLOUD Act, le Parlement européen a d’ailleurs demandé à la Commission de « suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord », si ces dernières ne prenaient pas de mesures en ce sens d’ici le 1er septembre, dans une résolution(28) adoptée le 5 juillet 2018. Ainsi, il convient de rester attentif aux débats relatifs au Privacy Shield et d’anticiper d’ores et déjà la gestion des risques dans le cadre des transferts de données hors UE. Pour conclure, le RGPD tend à mettre en oeuvre une démarche de conduite du changement au sein des organismes, des entreprises en intégrant au sein de tous projets tant en interne qu’en externe une gouvernance autour de la donnée à caractère personnel. En allant au-delà du prisme de la donnée à caractère personnel, cette démarche de conformité (technique, organisationnelle et juridique) s’inscrit dans une stratégie de sécuriser, de préserver et de valoriser les actifs, de mieux gérer les échanges d’information dans un but de gérer les risques, de prévenir et de lutter notamment contre la fraude, la dissémination non souhaitée d’information. Face aux enjeux de l’IA, des métadonnées, le respect des exigences de transparence et de sécurité sont primordiales.
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles publiée au JORF du 21 juin 2018
(3) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
(5) Décision n° 2018-765 DC du 12 juin 2018
(6) Le Conseil constitutionnel a jugé que le législateur ne pouvait se borner à reproduire à l’identique les termes « sous le contrôle de l’autorité publique » figurant à l’article 10 du RGPD, sans préciser les catégories de personnes susceptibles de mettre en œuvre, sous un tel contrôle, des traitements de données personnelles en matière pénale, et sans préciser les finalités d’un tel traitement
(7) Article 36 du Règlement général sur la protection des données
(8) Article 36 du Règlement général sur la protection des données
(9) Articles 22 et 26 de la Loi relative à la protection des données personnelles
(10) Rappelons que les entreprises de moins de 250 salariés ne sont pas soumises à cette obligation. Cette exception sera toutefois écartée si le traitement mis en œuvre est générateur de risque pour les droits et libertés des personnes, s’il est récurrent ou s’il porte sur des données à caractère personnel sensibles ou relatives à des condamnations et infractions pénales.
(11) Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
(12) Délibération n° 2018-284 du 21 juin 2018 portant avis sur un projet de décret pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles (saisine n° AV 18012134)
(13) Considérant 81 et article 28§1 du Règlement général sur la protection des données
(14) Article 30§2 b) du Règlement général sur la protection des données
(15) Articles 28 et 30 du Règlement général sur la protection des données
(16) Article 28§10 du Règlement général sur la protection des données
(17) Article 26 du Règlement général sur la protection des données
(18) Considérant 84 et article 35 du Règlement général sur la protection des données
(19) Article 35§1 du Règlement général sur la protection des données
(20) Article 35§3 du Règlement général sur la protection des données
(21) Le G29 a disparu le 25 mai 2018 pour laisser la place au Comité européen de protection des données, en application de l’article 68 du Règlement général sur la protection des données.
(22) Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 du Groupe de travail « Article 29 » sur la protection des données
(23) Article 39 §1. c) du Règlement général sur la protection des données
(24) Article 28§3 f) du Règlement général sur la protection des données
(25) Article 36 du Règlement général sur la protection des données
(26) Article 32 du Règlement général sur la protection des données
(27) Article 33 du Règlement général sur la protection des données
(28) Résolution du Parlement européen du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE–États-Unis (2018/2645(RSP))
