Règlement européen sur la protection des données personnelles
Accountability
une démarche responsable exigeante
Un des nouveaux principes énoncé par la proposition de règlement européen relative à la protection des données à caractère personnel, qui refond la logique de la protection des données personnelles afin d’instaurer un cadre uniforme au sein de l’Union, est celui dit d’accountability. Rappelons que les institutions européennes ont abouti à un compromis le 15 décembre dernier, et que l’adoption définitive est attendue au plus tard en juin pour une entrée en vigueur dans un délai de deux ans, à compter de sa publication. Garance Mathias, Avocat à la Cour, fait le point.
Au système déclaratif actuel, le règlement substitue une démarche de responsabilité (« accountability ») selon laquelle un organisme responsable de traitement devra être en mesure de démontrer qu’il se conforme aux règles en matière de protection des données personnelles.
Le responsable de traitement n’aura plus à se soumettre au système de formalités préalables à la mise en œuvre des traitements tel qu’il figure aujourd’hui dans la loi du 6 janvier 1978. Les Etats membres pourront toutefois, dans des domaines restreints, maintenir un système de consultation et d’autorisation préalables (protection sociale, santé publique notamment).
Des mesures techniques et organisationnelles
En pratique, le principe de responsabilité impliquera que le responsable d’un traitement de données personnelles mette en place des mesures techniques et organisationnelles. Ces mesures devront être adaptées en tenant compte de plusieurs éléments factuels tels que la nature du traitement de données mis en œuvre, le contexte, la portée et les finalités du traitement. Les risques pour les droits et libertés des personnes devront également être identifiés ainsi que leur probabilité de survenance et gravité évaluées.
Les mesures ne seront donc pas les mêmes pour tous les organismes. Les études d’impact et analyses de risques devront être privilégiées, voire s’imposeront dans certains cas prévus par la proposition de règlement. La politique de protection des données personnelles adoptée au sein d’un organisme sera ainsi sur-mesure.
Les mesures prises pourront également être constituées d’une procédure interne de gestion des réclamations et des demandes d’exercice des droits par les personnes. Il pourra également s’agir de définir une politique en matière de sous-traitance des traitements ou encore en cas de transfert hors de l’Espace Economique européen. A cet égard, les règles internes d’entreprise (traduit de l’anglais « Binding Corporate Rules ») définissant la politique d’un groupe en matière de transfert de données personnelles devraient connaître un certain renouveau. La généralisation de la tenue d’un registre des traitements mis en œuvre participera également de la démarche de responsabilité des organismes puisqu’elle permettra un recensement des traitements dans un document unique.
Les labels (Gouvernance, audit, formation) décernés par la CNIL pourront en outre permettre aux organismes de démontrer leur engagement et leur respect des règles de protection des données personnelles.
Surtout, la prise en compte des principes de protection des données personnelles dès la conception et par défaut (traduits de l’anglais « Privacy by default » et « Privacy by design ») fera partie intégrante de la démarche de responsabilité. La protection des données personnelles dès la conception devra être intégrée tant en phase de détermination des moyens du traitement qu’au moment de sa mise en œuvre. L’application de ce principe pourrait se matérialiser par la possibilité offerte aux personnes de bénéficier de techniques de pseudonymisation.
La protection par défaut
La protection des données personnelles par défaut pourra prendre diverses formes, du paramétrage d’un logiciel de collecte des données à la désactivation par défaut de la géolocalisation des personnes. L’absence de partage de données par défaut pourra également participer à la mise en œuvre du principe de « Privacy by default ». Ainsi, la personne n’aura pas à intervenir pour bénéficier de davantage de protection. Elle retrouvera par ailleurs la maîtrise de ses données personnelles puisqu’il lui appartiendra ensuite de modifier les paramètres pour autoriser ou non l’utilisation de ses données.
Ces mesures ne seront pas forcément une nouveauté pour tous les organismes mais il faudra veiller à ce qu’elles soient à jour et adaptées.
