Une situation qui n’a pas ravi Bruxelles : « Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres », a estimé Bruxelles.
Aussi, « Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ».
Définissant les bases, Bruxelles a estimé « qu’en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. »
C’est ainsi qu’a été élaboré la General Data Protection Regulation (GDPR), le nouveau règlement européen décidé en décembre 2015 qui va s’appliquer dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
En réalité, ce règlement se substitue à la directive datant de 1995 sur la protection des données, qui définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique. Celui-ci prévoit, entre autres, le droit d'accès et de rectification aux données et le principe du consentement.
Ce cadre juridique a permis à chaque membre de l'UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale informatique et des libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l'échelle européenne, conformément à l'article 28 de la directive du GDPR.
Pour Thiébaut Devergranne, « le texte du nouveau règlement européen va profondément changer la donne en matière de protection des données personnelles ». Dans un long billet explicatif, le docteur en loi a proposé une analyse des articles qui feront office de loi l’année prochaine en privilégiant « une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR », prenant donc soin d’occulter « les aspects relatifs au droit des personnes qui ont moins besoin d’être préparés en raison de leur nature ».
Il relève quelques statistiques, notamment :
- 100 pages d’obligations à respecter ;
- 99 articles de loi ;
- 20 millions d’euros de sanction en cas d’infraction pour les PME ou les organismes publics ;
- 4 % du CA Global du groupe pour les grandes entreprises (soit entre 3 et 5 milliards d’euros de risques de sanction pour des entreprises comme Google, Amazon, etc.).
« Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux –, cette réglementation va devenir un contre-pouvoir majeur dont nombre d’organisations vont faire les frais », a-t-il commenté.
Comment se mettre en conformité avec le GDPR ?
1. Minimiser les données personnelles collectées
C'est un des changements les plus substantiels opérés par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. L'article 5 du règlement européen précise à ce titre que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). » Ce principe a un impact pratique majeur quant aux données collectées que l'on va voir en prenant un exemple pratique.
L'exemple d'une newsletter
Afin d’illustrer ses propos, il a évoqué la mise en place d'une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ? L’email.
Clairement : ni le prénom, ni le nom, ni l’adresse, ni le fait que la personne soit un homme, ou une femme, ni les coordonnées physiques de la personne. Aucune de ces données ne serait en effet strictement nécessaire pour l'envoi de la newsletter (sauf justification particulière – évidemment si vous envoyez une lettre papier – auquel cas vous justifiez alors du besoin de collecter ces informations dans vos finalités).
2. S’assurer du fondement juridique du traitement
Un des éléments clés de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s'assurer qu'elles donnent leur consentement à leur traitement. En fait c'était déjà le cas de la loi informatique et des libertés (article 7 : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée »), mais le législateur a encore plus insisté sur ce point.
Envoyé par Règlement
Le règlement s'inscrit ici encore dans la continuité de la loi informatique et des libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l'objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.
L'article 9 définit cette notion de données sensibles :
Envoyé par Règlement
4. Afficher les mentions légales
Le règlement (comme la loi informatique et des libertés d'ailleurs) impose au responsable de traitement d'informer la personne dont les données sont traitées d'un certain nombre de mentions (les mentions légales). La mise en place de ces mentions est importante pour plusieurs raisons. La principale est qu'elle permet de cerner ouvertement le niveau de maturité informatique et libertés d'une organisation. Ainsi, lorsque l'on procède à un audit, ou lorsque la CNIL procède à un contrôle, l'absence de mentions légales est un indicateur qui permet de déterminer immédiatement l'existence de problèmes majeurs au sein de l'organisation.
5. Respecter le droit à la probabilité des données
Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d'exporter ses données personnelles dans un format structuré (xml...).
Ce droit est défini par l'article 20 du règlement (qui définit également certaines exceptions et limites) :
Envoyé par Règlement
6. Mettre en place un registre de conformité
Le règlement impose aux organisations de tracer l'ensemble des traitements de données personnelles mis en œuvre afin de s'assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de trois dispositions différentes.
7. Assurez la sécurité des données personnelles
De longue date, imposer la sécurité des données personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et des libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l'essentiel, qu'à des mises à jour de ce côté.
8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée
Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de données personnelles à la CNIL. Sauf cas exceptionnels, le responsable du traitement doit notifier à la CNIL toute violation de données personnelles sous 72 heures :
Envoyé par Règlement
Envoyé par Règlement
Pierre angulaire de la conformité, le règlement européen a conservé la fonction du DPO (data privacy officer) qui existait déjà dans la loi française (CNIL) autant que la directive européenne. Le responsable du traitement est tenu de désigner un DPO dans trois cas :
Envoyé par Règlement
La PIA est intéressante, car elle permet de mesurer la complexité à laquelle on est confronté lorsque l'on entre dans les détails du texte. Le règlement a prévu d'augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soit, fait complètement sens. Dans ces termes, l'article 35 impose au responsable du traitement de réaliser une étude d'impact sur la vie privée (une PIA pour « Privacy Impact Assessment ») afin de s'assurer que l'ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.
Le règlement prévoit les dispositions suivantes :
Envoyé par règlement
11. Assurez-vous de ne pas transférer des données personnelles hors de l'UE
De la même manière que la réglementation ancienne, la mise en œuvre de traitements de données personnelles hors de l'UE est strictement encadrée par le règlement européen. En pratique, la loi va limiter la fourniture de services informatiques par des entreprises hors de l'UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens.
Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.
Source : Thiébaut Devergranne
Et vous ?
Que pensez-vous de ce nouveau règlement ?
Constitue-t-il, selon vous, un rempart assez solide pour veiller à la protection des données européennes ?