C’est dans ce contexte de prise de conscience, à l’ère du Big Data et de l’émergence d’IA toujours plus perfectionnées, que le Règlement Général de Protection des Données (RGPD) remplacera en mai 2018 une vieille directive de plus de vingt ans, et aura vocation à garantir aux citoyens une meilleure protection de leurs données personnelles. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. Tous seront concernés par le RGPD, qu’ils soient traitants ou sous-traitants, dès lors que des traitements de données à caractère personnel sont effectués.
Le RGPD pose pas moins de 26 définitions utiles aux entreprises permettant de saisir la portée de cette future législation européenne. Les sanctions en cas de manquement ont évolué, tout comme le contenu des droits protégés relatif au traitement des données. Seules 9% des entreprises françaises se déclaraient conformes à moins d’un an de l’entrée en vigueur. Quels sont les enjeux de cette mise en conformité ?
Des sanctions financières bien plus coercitives
Rappelons d’emblée les sanctions qui seront encourues en cas de manquement au RGPD. Les pouvoirs et les missions de la CNIL seront nettement élargis. Les sanctions seront sévères en cas d’infraction et l’amende plafond atteindra 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial — le montant le plus important étant retenu. En application de ces nouvelles pénalités, l’amende qui serait infligée par la CNIL à Facebook, passerait de 150.000 euros à 1 milliard ! Ces dispositions sont donc bien plus comminatoires qu’auparavant et semblent désormais franchir le pas de la dissuasion, longtemps controversée en raison des amendes infligées et aux montants parfois très relatifs.
Enjeux internationaux et liens avec la gestion des risques
Les entreprises auront tout intérêt à s’y conformer pour éviter un double risque :
Il serait effectivement délicat de justifier une violation des données au moment où le législateur européen prend précisément des mesures pour réguler une technologie trop peu réglementée. A l’ère du Big Data et de l’intelligence artificielle, l’entreprise qui traite des données voit peser sur elle une multitude d’obligations nouvelles, avec l’éternel objectif de protéger la vie privée des citoyens et des consommateurs. C’est d’autant plus vrai que chaque citoyen européen pourra demander directement l’application du RGPD, et faire valoir les droits et garanties qui l’accompagnent, à toute entreprise (européenne ou non) qui collecte ses données.
L’enjeu est également d’ordre international : il s’agit notamment d’imposer aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs concurrents européens, plus modestes, dès que les données d’un citoyen européen sont collectées et traitées. L’Europe a longtemps été balbutiante sur les règlementations de technologies numérique mais semble désormais prendre la mesure de l’importance, pour elle et ses Etats membres, de ne pas devenir une « colonie numérique » des GAFAM étrangers.
Les avancées du RGPD
Il s’agit du contenu propre du RGPD auquel les entreprises doivent se conformer.
Le règlement confirme l’existence pour les particuliers d’un droit d’accès, d’un droit de rectification, d’un droit d’opposition et d’un droit à l’oubli. Rien n’est ici fondamentalement nouveau dans le principe, les entreprises étant habituées à ce socle de protection juridique des citoyens.
Focus sur le droit à la limitation du traitement :
Ce droit peut être demandé par une personne dont les données sont traitées par l’entreprise. Il lui revient de « marquer » les fichiers : dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier. Les entreprises devront réviser leur documentation et élaborer un processus interne pour identifier et trier — pour ne pas dire isoler — ces données considérées comme « intouchables » après exercice d’un droit à la limitation de traitement sur ces dernières.
Focus sur le droit à la portabilité :
Il permet de récupérer les données fournies à un prestataire sous-traitant (comme un opérateur télécom), afin de les transmettre à d’autres. Cette demande de portabilité devra concrètement être gérée par le délégué à la protection des données (DPD) désigné par l’entreprise.
Les deux principales nouveautés issues du règlement visent à faciliter le respect des règles lorsque le traitement se fait entre plusieurs États.
Une centralisation européenne
Dans un premier temps, les entreprises concernées devront désigner un « établissement principal » en Europe, pour que les autorités bénéficient d’un interlocuteur unique. Ensuite, ces différents organismes adopteront conjointement, sous la direction de l’autorité de contrôle de l’établissement principal, les décisions relatives au traitement transnational en cause. Concrètement, les entreprises n’auront plus qu’un interlocuteur par traitement.
Un transfert hors UE encadré
S’agissant du transfert de données personnelles vers des États hors Union européenne, le règlement confirme le principe selon lequel le responsable d’un traitement ne peut procéder au transfert de données personnelles vers un État tiers que si ce dernier assure un niveau de protection adéquat des droits et libertés des personnes concernées. C’est notamment à la Commission européenne, que revient la faculté de dire si tel ou tel Etat dispose d’une législation protectrice des données personnelles, en vertu de l’article 45 du RGPD. La CNIL avait déjà dressé en janvier 2015 une liste des pays considérés comme sûrs. Si tel est le cas, il n’y aura pas besoin d’autorisation spécifique pour un traitement transnational de données, mais dans le cas contraire, tout transfert pourrait être relevé et faire l’objet d’un sévère rappel à la loi.
La question se posera nécessairement à l’encontre des entreprises américaines qui traitent les données personnelles. Le Privacy Shield est l’accord américano-européen régissant le transfert de données de l’UE vers les États-Unis, et les inquiétudes demeurent de la part du G29, malgré une « protection de niveau sensiblement équivalente » des données aux Etats-Unis, à en croire la Commission européenne. Une entreprise française ou établie en France, si elle cherche à transférer des données à une société basée aux Etats-Unis, devra s’assurer sur le site internet dédié à l’accord que celle-ci a bien adhéré au Privacy Shield : vérification annuelle de certifications actives, consultation du site du Département du Commerce… seront des étapes indispensables au respect du RGPD.
Comment procéder à une mise en conformité concrète ?
Un panel de mesure est à mettre en place pour être en conformité avec la réglementation :
La CNIL met à disposition des entreprises des fiches actions pour être prêts pour mai 2018.
Ces dispositions s’appuient sur les principes de « Privacy by Design » et « d’accountability». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.
Si en principe, le règlement sera directement applicable dès le 25 mai 2018 sans mesure de transposition, il laisse, sur de nombreux points, les États membres préciser les conditions de sa mise en œuvre. Dès lors, dans l’attente de ces mesures, certaines incertitudes demeurent quant au contenu et à l’étendue exacte du futur dispositif de protection des données personnelles. L’intérêt pour les entreprises est donc pour le moment de se montrer de bonne foi, en prenant toutes les diligences de conformité possibles, un cadre plus protecteur que la loi ne pouvant leur être reproché a posteriori.
Ce RGPD s’inscrit dans une logique de prévention des atteintes aux données personnelles (et par extension à la vie privée) tout en conférant aux entreprises un cadre efficace et précis leur permettant de manipuler des données. Ces contraintes peuvent donc être vues comme une opportunité pour les entreprises de sécuriser leur activité et de minimiser le risque juridique pesant sur elles.
Guillaume DARTINET