On a désormais coutume de dire que la data est le pétrole du XXIème siècle. Longtemps restée simple objet technologique cantonné aux adeptes de la « data science », le législateur européen s’est enfin saisi sérieusement de sa réglementation.
C’est dans ce contexte de prise de conscience, à l’ère du Big Data et de l’émergence d’IA toujours plus perfectionnées, que le Règlement Général de Protection des Données (RGPD) remplacera en mai 2018 une vieille directive de plus de vingt ans, et aura vocation à garantir aux citoyens une meilleure protection de leurs données personnelles. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. Tous seront concernés par le RGPD, qu’ils soient traitants ou sous-traitants, dès lors que des traitements de données à caractère personnel sont effectués.
Le RGPD pose pas moins de 26 définitions utiles aux entreprises permettant de saisir la portée de cette future législation européenne. Les sanctions en cas de manquement ont évolué, tout comme le contenu des droits protégés relatif au traitement des données. Seules 9% des entreprises françaises se déclaraient conformes à moins d’un an de l’entrée en vigueur. Quels sont les enjeux de cette mise en conformité ?
Des sanctions financières bien plus coercitives
Rappelons d’emblée les sanctions qui seront encourues en cas de manquement au RGPD. Les pouvoirs et les missions de la CNIL seront nettement élargis. Les sanctions seront sévères en cas d’infraction et l’amende plafond atteindra 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial — le montant le plus important étant retenu. En application de ces nouvelles pénalités, l’amende qui serait infligée par la CNIL à Facebook, passerait de 150.000 euros à 1 milliard ! Ces dispositions sont donc bien plus comminatoires qu’auparavant et semblent désormais franchir le pas de la dissuasion, longtemps controversée en raison des amendes infligées et aux montants parfois très relatifs.
Enjeux internationaux et liens avec la gestion des risques
Les entreprises auront tout intérêt à s’y conformer pour éviter un double risque :
- le risque financier induit par la sanction en cas de manquement que l’on envisage très bien
- plus insidieusement, un risque tenant à la réputation de l’entreprise.
Il serait effectivement délicat de justifier une violation des données au moment où le législateur européen prend précisément des mesures pour réguler une technologie trop peu réglementée. A l’ère du Big Data et de l’intelligence artificielle, l’entreprise qui traite des données voit peser sur elle une multitude d’obligations nouvelles, avec l’éternel objectif de protéger la vie privée des citoyens et des consommateurs. C’est d’autant plus vrai que chaque citoyen européen pourra demander directement l’application du RGPD, et faire valoir les droits et garanties qui l’accompagnent, à toute entreprise (européenne ou non) qui collecte ses données.
L’enjeu est également d’ordre international : il s’agit notamment d’imposer aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs concurrents européens, plus modestes, dès que les données d’un citoyen européen sont collectées et traitées. L’Europe a longtemps été balbutiante sur les règlementations de technologies numérique mais semble désormais prendre la mesure de l’importance, pour elle et ses Etats membres, de ne pas devenir une « colonie numérique » des GAFAM étrangers.
Les avancées du RGPD
Il s’agit du contenu propre du RGPD auquel les entreprises doivent se conformer.
- Des droits existants renforcés
Le règlement confirme l’existence pour les particuliers d’un droit d’accès, d’un droit de rectification, d’un droit d’opposition et d’un droit à l’oubli. Rien n’est ici fondamentalement nouveau dans le principe, les entreprises étant habituées à ce socle de protection juridique des citoyens.
- De nouveaux droits consacrés
Focus sur le droit à la limitation du traitement :
Ce droit peut être demandé par une personne dont les données sont traitées par l’entreprise. Il lui revient de « marquer » les fichiers : dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier. Les entreprises devront réviser leur documentation et élaborer un processus interne pour identifier et trier — pour ne pas dire isoler — ces données considérées comme « intouchables » après exercice d’un droit à la limitation de traitement sur ces dernières.
Focus sur le droit à la portabilité :
Il permet de récupérer les données fournies à un prestataire sous-traitant (comme un opérateur télécom), afin de les transmettre à d’autres. Cette demande de portabilité devra concrètement être gérée par le délégué à la protection des données (DPD) désigné par l’entreprise.
- Des traitements transnationaux encadrés
Les deux principales nouveautés issues du règlement visent à faciliter le respect des règles lorsque le traitement se fait entre plusieurs États.
Une centralisation européenne
Dans un premier temps, les entreprises concernées devront désigner un « établissement principal » en Europe, pour que les autorités bénéficient d’un interlocuteur unique. Ensuite, ces différents organismes adopteront conjointement, sous la direction de l’autorité de contrôle de l’établissement principal, les décisions relatives au traitement transnational en cause. Concrètement, les entreprises n’auront plus qu’un interlocuteur par traitement.
Un transfert hors UE encadré
S’agissant du transfert de données personnelles vers des États hors Union européenne, le règlement confirme le principe selon lequel le responsable d’un traitement ne peut procéder au transfert de données personnelles vers un État tiers que si ce dernier assure un niveau de protection adéquat des droits et libertés des personnes concernées. C’est notamment à la Commission européenne, que revient la faculté de dire si tel ou tel Etat dispose d’une législation protectrice des données personnelles, en vertu de l’article 45 du RGPD. La CNIL avait déjà dressé en janvier 2015 une liste des pays considérés comme sûrs. Si tel est le cas, il n’y aura pas besoin d’autorisation spécifique pour un traitement transnational de données, mais dans le cas contraire, tout transfert pourrait être relevé et faire l’objet d’un sévère rappel à la loi.
La question se posera nécessairement à l’encontre des entreprises américaines qui traitent les données personnelles. Le Privacy Shield est l’accord américano-européen régissant le transfert de données de l’UE vers les États-Unis, et les inquiétudes demeurent de la part du G29, malgré une « protection de niveau sensiblement équivalente » des données aux Etats-Unis, à en croire la Commission européenne. Une entreprise française ou établie en France, si elle cherche à transférer des données à une société basée aux Etats-Unis, devra s’assurer sur le site internet dédié à l’accord que celle-ci a bien adhéré au Privacy Shield : vérification annuelle de certifications actives, consultation du site du Département du Commerce… seront des étapes indispensables au respect du RGPD.
Comment procéder à une mise en conformité concrète ?
Un panel de mesure est à mettre en place pour être en conformité avec la réglementation :
- Réaliser un audit de conformité afin de bien cerner l’étendue des mesures à prendre.
- Désigner un délégué à la protection des données (DPO), garant de l’application du RGPD et de sa mise en conformité. Il a vocation à reprendre les missions du correspondant informatique et libertés (CIL) mais de manière plus élargie, et devient le véritable « référent données » de l’entreprise, en lien avec les autorités de contrôle. Il gérera notamment les demandes d’exercice du droit à la portabilité exprimées.
- Rénover l’arsenal juridique contractuel. L’insertion de clauses de confidentialité types renforcées est nécessaire, et des clauses pénales peuvent également être envisagées pour dissuader les partenaires / sous-traitants de traiter les données hors du nouveau cadre légal européen.
- Instaurer en interne un ensemble de chartes et guides de bonne conduite sous le nom de « Référentiel Sécurité relatif au traitement des données ». Le but est de former le personnel et d’éviter des erreurs qui seraient préjudiciables à l’entreprise et aux personnes concernées par les données. Par exemple, un système d’habilitation / accréditation pour l’accès et le contrôle des données, une politique de gestion des incidents liés au traitement / au transfert / à la conservation des données, etc. Encore une fois, plus l’entreprise démontrera qu’elle a pris toutes les mesures nécessaires à la protection des données, plus le risque juridique se dissipera.
- Mener des études d’impacts, surtout en ce qui concerne les traitements dits « à risques ».
- Obtenir un consentement libre, ferme et éclairé de la part de la personne dont on récolte les données. Il ne sera ainsi plus possible de cocher automatiquement la case « j’accepte les conditions » sur un formulaire en ligne notamment. La politique de l’exposé des motifs du recueil et de l’obtention du consentement devront peut-être, au cas par cas, être refondues et reformalisées autrement.
La CNIL met à disposition des entreprises des fiches actions pour être prêts pour mai 2018.
Ces dispositions s’appuient sur les principes de « Privacy by Design » et « d’accountability». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.
Si en principe, le règlement sera directement applicable dès le 25 mai 2018 sans mesure de transposition, il laisse, sur de nombreux points, les États membres préciser les conditions de sa mise en œuvre. Dès lors, dans l’attente de ces mesures, certaines incertitudes demeurent quant au contenu et à l’étendue exacte du futur dispositif de protection des données personnelles. L’intérêt pour les entreprises est donc pour le moment de se montrer de bonne foi, en prenant toutes les diligences de conformité possibles, un cadre plus protecteur que la loi ne pouvant leur être reproché a posteriori.
Ce RGPD s’inscrit dans une logique de prévention des atteintes aux données personnelles (et par extension à la vie privée) tout en conférant aux entreprises un cadre efficace et précis leur permettant de manipuler des données. Ces contraintes peuvent donc être vues comme une opportunité pour les entreprises de sécuriser leur activité et de minimiser le risque juridique pesant sur elles.
Guillaume DARTINET