[JdR] La Protection des données personnelles : un risque très réglementé

Les Jeudis du Risque se penchent cette semaine sur la protection des données personnelles et la réglementation très riche et complexe qui entourent ces données.
Le Portail fait donc un point de situation.

Deux thématiques doivent cependant être distinguées : la protection des données personnelles stricto sensu & la protection des données personnelles concernant leur transfert.

 

La protection des données personnelles

La première réglementation concernant la protection des données personnelles voit le jour avec la loi Informatique et Liberté du 6 janvier 1978. Cette loi garantit à toute personne physique une protection de ses données permettant de l’identifier, directement ou indirectement, et ce dans le cas où ces données font l’objet d’un traitement automatisé ou non.

Cette loi prévoit quelles données peuvent être recensées et donne des obligations renforcées pour les entreprises en cas de traitement automatisé.

En 1981, le premier élément international fut la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel n°108, qui impose ces obligations à l’ensemble des Etats Membres de l’Union européenne (UE).

Puis, afin d’harmoniser le droit de l’UE, la Directive 95/46/CE a été élaborée par le Conseil et le Parlement européen. Elle a permis également la mise en place d’une zone de libre circulation des données à caractère personnel sur l’UE. Cette directive a été traduite en France par l’élaboration de la loi de 2004.

La loi de 2004 donne la possibilité aux entreprises d’avoir un correspondant informatique et liberté (CIL) leur permettant d’alléger leurs obligations de déclarations. Cet acteur est le garant du bon respect de la loi de 1978 : en plus de tenir à jour la liste des traitements effectués par l’entreprise et veiller au bon respect de la loi, il doit, si cela est nécessaire, alerter la CNIL en plus de reporter annuellement son activité à la CNIL.

Sa désignation permet de réduire les risques liés au traitement des données et les contentieux qui pourraient en découler.

Face à l’évolution d’internet depuis 1995, les régulateurs européens interviennent afin de renforcer la protection des données personnelles dans le Règlement UE 2016/679 du Parlement européen et du Conseil du 17 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD). Cette nouvelle réglementation entrée en vigueur le 25 mai 2016 sera applicable le 25 mai 2018 et remplacera la directive 95/46.

L’objectif de ce règlement est de renforcer les droits des personnes, de responsabiliser les acteurs du traitement des données et de crédibiliser la régulation par une coopération renforcée entre les autorités de protection des données.

En pratique pour les citoyens, le règlement offre plus de droits sur leurs données : ils peuvent les récupérer auprès des plateformes et les communiquer à d’autres ; plus de lisibilité est donnée sur l’utilisation qui est faite pour les données ; pour les mineurs de moins de 16 ans une autorisation parentale est nécessaire avant l’inscription sur des services en ligne. En cas de litige la CNIL sera l’interlocuteur unique et les sanctions pour les entreprises sont très importantes. Enfin, le droit à l’oubli est consacré.

En revanche pour les professionnels, le nouveau règlement n’est pas si limpide. Les responsables des traitements des données devront :

  • Mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles (dès la conception du produit ou du service)) : le but est de limiter la quantité de données traitées
  • Désigner un Data Privacy Officer (délégué à la protection des données) : celui-ci a vocation de remplacer le CIL de la loi de 2004, il sera garant de la conformité en matière de protection des données au sein de son organisme.
  • Tenir un registre des traitements mis en œuvre
  • Notifier les failles de sécurité aux autorités et aux personnes concernées
  • Réaliser des études d’impacts sur la vie privée : caractéristiques du traitement, risques et mesures adoptées

Ces nouvelles mesures ont pour but de responsabiliser les acteurs. En cas de manquement au règlement les sanctions peuvent aller jusqu’au versement d’une amende administrative qui peut se situer entre 10 ou 20 millions d’euros selon la catégorie de l’infraction ou pour une entreprise, de 2% à 4% du chiffre d'affaire annuel mondial, le montant le plus élevé étant retenu.

Afin de se préparer à la nouvelle réglementation, les autorités de protection se concertent pour élaborer un plan d’action commun.  De leurs côtés, les entreprises ne sont pas prêtes. En effet, selon une étude Symantec, 96% des entreprises n’ont qu’une connaissance partielle du règlement et 92% des entreprises craignent sur leur capacité à pouvoir se conformer pour 2018.

Face à ces éléments hautement stratégiques pour les acteurs économiques, un dossier spécial RGPD [1] est à venir sur le Portail de l’IE dans les jeudis du risque !

La France a anticipé certaines dispositions du RGPD dans la loi pour une république numérique. Cette loi créée de nouveaux droits informatiques et libertés et permet ainsi aux individus de mieux maîtriser leurs données personnelles tout en renforçant les pouvoirs de sanctions de la CNIL ainsi que ses missions. Elle permet aussi l’ouverture des données publiques de manière étendue.

Parmi les nouveaux droits offerts aux individus, la Loi pour une République offre :

  • Le droit de maîtrise de ses données par l’individu, qui est affirmé et vient renforcer la loi de 1978.
  • Le droit à l’oubli spécifique pour les mineurs permettant d’obtenir une procédure accélérée
  • La possibilité d'organiser le sort de ses données personnelles après la mort
  • La possibilité d'exercer ses droits par voie électronique
  • Des informations et une transparence sur l’utilisation et la conservation des donnée

Face à une protection de plus en plus accrue, il est nécessaire de mentionner loi de programmation militaire(LPM) pour la période 2014-2019 qui est venue mettre à mal ce principe.

Le but de cette loi est de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.

Pour cela, sur demande motivée, les agents habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget peuvent avoir accès aux informations ou documents traités ou conservés auprès des opérateurs de communications électroniques et des personnes qui mettent à disposition des outils de communication ou de stockage en ligne par leurs réseaux ou services de communications électroniques.

Le décret d’application est venu préciser que ces demandes motivées doivent comporter l’identité et la qualité du demandeur, la nature précise des informations, documents et la période concernée.

Aussi, les documents et informations concernées ont été restreints à ceux des R10-13 et R10-14 du Code des postes et des communications électroniques. En substance il s’agit des informations permettant d'identifier l’origine de la communication, l'utilisateur ; le ou les destinataires ; les équipements terminaux de communication utilisés; les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication; les données relatives aux services complémentaires demandées ou utilisées et leurs fournisseurs ainsi que les informations fournies lors de la souscription du contrat : identifiant de connexion, les noms et prénoms, adresse postale, pseudonymes utilisés, adresse email, numéros de téléphone, « mot de passe ainsi que les données permettant de le vérifier ou de le modifier ».

Bien que cette loi fut très critiquée par la CNIL ainsi que les différentes associations dont la Quadrature du Net, French Data Network et la Fédération FDN, le Conseil Constitutionnel jugea que la LPM comportait des garanties suffisantes contre l’atteinte disproportionnée au droit au respect de la vie privée.

Par conséquent, face à une protection de plus en plus accrue des données personnelles qui ne cesse de connaître de nouvelles réglementations, la loi française de programmation militaire est venue s’immiscer dans cette protection afin de la faire tomber au nom de principes supérieurs. Il est à se demander si les institutions européennes ne condamneront pas la France pour cette ingérence au sein de nos données.

La protection et l’information de l’utilisateur demeurent le point central de ces règlementations. Le 10 janvier dernier, la Commission européenne a détaillé une série de nouveaux textes relatifs à la protection des données personnelles dans l'Union européenne. Parmi eux, un nouveau projet de règlement est à l’étude : e-Privacy, celui-ci vise à bloquer par défaut la collecte des cookies tiers dans tous les navigateurs y compris sur mobile. Les différents lobbies se sont déjà emparés du sujet, les prochains mois seront décisifs quant à l’avenir de ce texte.

 

Le transfert des données personnelles

En vue d’offrir une protection accrue à ses citoyens, la directive 95/46/CE interdisait le transfert des données personnelles en dehors des États non membres de l'Espace économique européen (EEE) ayant un niveau de protection inférieur à celui de l'EEE.

Cette nouvelle réglementation a été l’occasion pour l’UE de faire valoir les droits de ses résidents à l’extérieur de ses frontières et notamment aux États-Unis d'Amérique. Pour ce faire, le département du Commerce des États-Unis s'est concerté avec la Commission européenne afin de se conformer aux exigences de la directive. De cette concertation est né US-EU Safe Harbor List, un cadre juridique permettant une sphère de sécurité numérique.

Afin de se plier aux règles, les entreprises américaines devaient être certifiées par un contrôle annuel rigoureux.

Malgré ces mesures, la Cour de Justice de l'Union européenne (CJUE) invalide le 6 octobre 2015 Safe Harbor, suite, notamment, aux révélations Snowden. La Cour reproche aux États-Unis de ne pas assurer un niveau suffisant de protection des données européennes. Les autorités américaines pouvaient accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées.

Face à l’invalidation de Safe Harbor, Privacy Shield est entrée en vigueur le 1er août 2016. Désormais, il est possible de transférer les données personnelles des résidents de l’UE vers les USA si les entreprises destinataires sont inscrites sur un registre tenu par l’administration américaine. Aussi les entreprises américaines doivent respecter les obligations et garanties prévues par Privacy Shield.

Outre Atlantique, l’utilisation des données personnelles est encadrée par le Privacy Act de 1974. Cet acte protège l’utilisation de ces données par les agences gouvernementales, mais uniquement pour les citoyens américains et résidents permanents légaux.

Suite aux manquements des agences américaines, une nouvelle loi a été adoptée en février 2016 : le Judicial Redress Act qui étend la protection du Privacy Act aux citoyens des pays de l’UE.

Le Privacy Shield est venu compléter de façon effective ces dispositions pour que les citoyens des pays de l’UE soient efficacement protégés.

Cependant, ces protections sont remises en cause depuis l’élection de Donald Trump. En effet, parmi ces premières mesures, le Président des États-Unis a signé un décret, le 25 janvier, sur la sécurité à l’intérieur des États Unis. Il réduit l’applicabilité du Privacy Act uniquement aux citoyens américains et aux résidents permanents légaux. Le Judicial Redress Act est-il ainsi remis en cause ?

Bien qu’aucune disposition ne concerne le Privacy Shield, la stratégie politique du nouveau président américain laisse peser le doute quant à la protection effective des données des citoyens de l’Union européenne face aux agences gouvernementales.

Les institutions européennes pourront apprécier prochainement, lors de l’évaluation annuelle du Privacy Shield, si les données personnelles de ses résidents sont suffisamment protégées par les agences américaines. En cas de remise en cause de cet accord, les autres outils de transferts plus complexes (règles internes d'entreprise et les clauses contractuelles types de la Commission européenne) permettront de garantir un niveau de protection suffisant.

Pour le moment le Privacy Shield reste applicable. Pour utiliser la protection offerte par le celui-ci, les entreprises de l’UE souhaitant transférer des données à destination des États-Unis doivent procéder à une déclaration normale en renseignant son annexe « transfert » et choisir la garantie Privacy Shield après avoir vérifié que l’entreprise destinataire est enregistrée par l’administration américaine comme telle.

En définitive, l’avenir de la protection des données personnelles est incertain. Outre la délicate question des cyber-risques, la mise en place de nouvelles règles et le risque de la nouvelle politique américaine viennent troubler la protection de ces données par les acteurs économiques. En tant qu’élément majeur de l’économie actuelle, la donnée et sa nécessaire protection doivent être au cœur des préoccupations stratégiques des entreprises. Il est à craindre que, face à ce risque majeur, les règlementations européennes et nationales viennent s’accumuler et complexifier davantage les règles de protection de ces données dans un climat politique incertain.


Source :

[1]Règlement européen sur la protection des données & http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679


Articles des Jeudis du Risques : Sommaire