Adopté par le Parlement européen le 14 avril, le règlement sur la protection des données personnelles (GDPR) renforce les droits des citoyens européens et leur donne davantage de contrôle sur leurs données personnelles. Point fort, il offre aux entreprises et aux citoyens un cadre juridique unifié dans l'Europe des 28 qui entrera en vigueur en 2018. D'ici là, les entreprises devront se remettre en cause sans forcément savoir comment ni avec quels outils. D'autant qu'en cas de fuite de ces données, elles encourent une amende de 4% de leur chiffre d'affaires annuel...
Le 15 décembre 2015, un accord a été conclu entre les représentants de la Commission européenne, du Parlement européen et du Conseil des ministres de l’Union européenne (UE) à l’issue des négociations finales entre les trois institutions (réunions dites de «trilogue») sur le projet de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ». Le Conseil a également confirmé cet accord le 12 février 2016 en dégageant un accord politique sur le texte. Soumis en vue de son adoption au Conseil en première lecture, le Règlement général sur la protection des données (RGPD) [en anglais : General Data Protection Regulation (GDPR)] a ensuite été transmis au Parlement pour approbation. Au final, la RGPD a été publié le 14 avril 2016 et entrera en vigueur deux ans plus tard (2018). D’emblée il soulève un grand nombre de questions.
Les droits des citoyens sont renforcés. Tout d’abord, le RGPD, appelé également Règlement 2016/679, touche le citoyen, les entreprises, les autorités de protection des 28 États-membres de l’UE à l’instar, en France, de la Commission nationale informatique et libertés (Cnil). Sur l’ensemble du territoire, ce règlement offre aux citoyens européens un renforcement des droits existants, notamment en leur permettant de disposer d’informations complémentaires sur le traitement de leurs données à caractère personnel mais également de les obtenir sous une forme claire, accessible et compréhensible. De plus, le droit à l’oubli est conforté. Par ailleurs, un nouveau droit émerge : celui de la portabilité des données qui permet de faciliter les transferts de données personnelles d’un prestataire de services à un autre (de son choix) – sans toutefois en préciser les modalités. Il est aussi à noter que le règlement consacre un droit d’opposition spécifique pour les traitements des données par le marketing direct. Les mineurs font également l’objet d’une protection particulière (voir l’interview de Fabrice Naftalski, avocat au sein du cabinet Ernst & Young Société d’Avocats).
One-Stop-Shop européen. Du côté des entreprises, le RGDP entend simplifier les formalités. En particulier, il offre la possibilité de recourir à un interlocuteur unique pour toutes les autorités européennes de protection des données. Autrement dit, le RGPD offre aux entreprises le même cadre législatif au sein de l’UE. Le Règlement s’appliquera donc de manière uniforme dans les 28 États membres, sans avoir à être transposé dans le droit national de chaque État. Ce »One-Stop-Shop », ou »guichet unique » (Article 60) permettra à une entreprise ayant des filiales dans plusieurs États-membres de n’avoir à traiter qu’avec l’autorité de contrôle de l’État-membre dans lequel elle a son établissement principal, les autorités des différents États-membres devant ensuite coopérer entre elles. L’autorité de contrôle correspondant à l’établissement principal ou unique de l’entreprise agira à titre d’ « autorité de contrôle chef de file ». Dans certains domaines, les États-membres pourront toutefois mettre en place des règles supplémentaires. Par exemple, dans le cadre de la minimisation du traitement des données, il est nécessaire de recueillir le consentement des parents en ce qui concerne les mineurs de moins de 16 ans. A cet égard, certains États-membres pourront abaisser ce seuil à 13 ans. En parallèle, le RGPD propose de mettre à disposition des entreprises une boîte à outils pour faciliter leur mise en conformité. Parmi les nouveautés, on remarquera les codes de (bonne) conduite, les certifications par des tiers de confiance agréés par les autorités européennes de protection des données, la tenue d’un registre, la consultation des autorités de protection, la notification des failles de sécurité.
Extra-territorialité. Précisons aussi que le champ d’application de la loi est désormais considérablement étendu (Article 3). Ainsi comporte-t-il un effet extra-territorial dans la mesure où les entreprises ayant leur siège en dehors de l’Europe devront malgré tout appliquer les mêmes règles que leurs homologues européennes lorsqu’elles proposeront des biens ou des services sur le marché de l’UE, dès lors que le traitement de données à caractère personnel concerne des résidents européens. Inversement, le RGPD exige que les entreprises non européennes, qui traitent des données personnelles de ressortissants de l’UE, nomment un représentant situé dans l’Union (Article 27).Responsabilisation accrue des acteurs économiques. L’idée de fond du RGPD est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque »maître de fichiers » sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Point important, en cas de manquement aux exigences du RGPD, les sanctions administratives (Article 83) pourront désormais aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial d’une entreprise, les responsables de traitement et leurs sous-traitants étant solidairement responsables (Article 28). Conséquence, les prestataires assumeront une responsabilité directe, ce qui aura un impact significatif sur de très nombreuses sociétés agissant en qualité de sous-traitants. Le texte détaille les obligations de chacun à prévoir dans un contrat. Lorsqu’un sous-traitant fait lui-même appel à un prestataire qui ne respecte pas les engagements du contrat initial, le sous-traitant initial en sera pleinement responsable devant le responsable de traitement. Autre aspect : les responsables conjoints du traitement (Article 26) peuvent se voir reconnaître la qualité de responsable de traitement.
Acteurs du SaaS et du numérique en ligne de mire. Les prestataires de service en mode Software as a Service (SaaS), qui proposent des services à la demande sur Internet ainsi les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son sous-traitant respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018), il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maître du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser les traitements auxquels il procédait.
« A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maître du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous-traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est aussi directement impactée par cette réglementation, explique Frans Imbert-Vier, PDG d’Ubcom, une agence d’audit et conseil en cybersécurité et gouvernance des organisations. En effet, on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles. » Mais, à côté du SaaS, bon nombre d’acteurs de la transition numérique sont également concernés. A commencer par les agences de Web marketing, les annonceurs publicitaires, les spécialistes du Real Time Bidding (achat haut fréquence d’espaces publicitaires en ligne), les e-commerçants, prestataires en retargetting et en programmatique (utilisation des coockies de votre navigateur pour replacer sur d’autres sites les produits qui vous ont intéressé). Suivis par les acteurs de la e-santé, du e-sport et des objets connectés.
Les cyber-failles augmentent l’exposition au risque. La protection des données personnelles des citoyens européens ne concerne pas que leur utilisation abusive à des fins commerciales ou marketing. Les entreprises sont également exposées au risque de cyberattaque. « Outre la perte de réputation et de crédibilité, l’entreprise aura bien sûr une crise à gérer dans l’urgence pour enrayer l’attaque, faire l’analyse forensique qui permettra de comprendre comment celle-ci a eu lieu, décrypte Jimaan Sane, souscripteur au Lloyd’s, l’entité britannique qui a inventé l’assurance en 1688. Il faudra aussi déterminer combien de personnes sont susceptible de voir leurs données compromises. Dans tous les cas, pour l’entreprise, la grande question sera de savoir si elle a fait preuve de négligence ou de malveillance. »
Registre des traitements des données. En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. « Ces mesures techniques peuvent prendre plusieurs formes. Tout d’abord, la pseudonymisation et le chiffrement des données, détaille Marc-Antoine Ledieu, avocat spécialiste dans le droit des nouvelles technologies. Viennent ensuite les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement. Suivis par les moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique. Enfin, citons la procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement des données. »
Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement l’obligation d’informer les autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données. En cas d’atteinte aux conditions normales de stockage et d’accès aux données, cette obligation d’information s’impose également à tout sous-traitant (prestataires SaaS, hébergeurs…). Toutes ces obligations vont contraindre les entreprises à mieux maîtriser leurs données, de la collecte jusqu’au stockage en passant par les traitements (consolidation, nettoyage des doublons, calcul, élaboration de profilage…). Au nouveau organisationnel, les entreprises devront désigner au moins un Correspondant Informatique et Libertés (CIL) qui sera l’interlocuteur unique de la Cnil. « Le rôle et les contours de la mission du CIL ne sont pas encore très précis. D’ailleurs, le GDPR n’a fait que poser un cadre. Il comporte encore beaucoup de zones d’ombre, analyse Chakir Moullan, responsable du marché français chez 8Man, un éditeur allemand de solutions de gestion des accès et des identités. A tel point que la Cnil a lancé un appel à consultation pour en préciser la mise en œuvre préciser. Le travail ne fait que commencer. A la fois pour la Cnil et ses homologues que pour les entreprises qui traitent des données personnelles. Aujourd’hui, bon nombre d’acteurs ont commencé à travailler in vitro avant de s’attaquer à la phase in vivo pour être fin prêts à la date de 2018. »
Vers une nouvelle architecture de coopération entre les autorités de protection. Le RGPD a également pour objectif d’instaurer des mécanismes (Article 51 et suivants) visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’UE. Les autorités de contrôle, à savoir les homologues de notre Cnil française, ont leurs pouvoirs renforcés, notamment leurs pouvoirs répressifs avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée. Surtout, les »Cnil européennes » pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. Cette intégration européenne renforcera ainsi la protection des personnes et la sécurité juridique pour les entreprises. Pour consolider davantage ce mécanisme, le règlement prévoit (Article 68 et suivants) la création du Comité européen de la protection des données (CEPD) [European Data Protection Board ( EDPB)] qui sera composé de représentants des 28 autorités de contrôle indépendantes ainsi que du Contrôleur européen à la protection des données – lequel remplacerait l’actuel Groupe de travail de l’article 29 – G29. Ce Comité sera compétent pour assurer une application cohérente du règlement.
Eliane Kan et Erick Haehnsen
« Les entreprises vont chercher à limiter le risque de sanction en recourant à des certifications »
Interview de Fabrice Naftalski, avocat au sein du cabinet Ernst & Young Société d’Avocats qui compte parmi les leaders en France en matière de protection des données à caractère personnel.
Avec le Règlement général sur la protection des données (RGPD), concrètement, qu’est ce qui change ?
Le citoyen européen avait déjà la possibilité d’accéder à ses données, de s’opposer à leur traitement et de les supprimer. Avec le Règlement général sur la protection des données (RGPD), il acquiert de nouveaux droits. Dont celui de la portabilité avec lequel il peut récupérer les données personnelles qu’il a communiquées à une plate-forme afin de les transmettre à un autre fournisseur de services.
Y a-t-il également une plus grande exigence de transparence de la part des entreprises ?
Oui. Les fournisseurs de services devront être plus transparents à l’égard de l’internaute sur ce qu’elles font de ses données. Le règlement instaure un principe de »minimisation des données ». Ce qui signifie que seules des données nécessaires à la finalité du service pourront être traitées. A cet égard il faut noter que le consentement des parents est requis pour procéder au traitement des données de mineurs de moins de 16 ans, sachant que certains États-membres abaissent ce seuil à 13 ans. En cas de problème, l’internaute peut s’adresser à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’entreprise qui traite ses données. Surtout, le règlement consacre le droit à l’oubli. L’internaute peut demander à son prestataire qu’un lien soit déférencé d’un moteur de recherche ou qu’une information soit supprimées s’ils portent atteinte à sa vie privée.
Quelles sanctions encourent les entreprises en cas de violation de ces droits ? Et comment limiter le risque ?
La sanction applicable aux responsables des traitements mais aussi à leurs sous-traitants peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Toutefois, il convient de remarquer qu’il s’agit là d’un plafond. D’ailleurs, le règlement prévoit que les juges puissent limiter le quantum des sanctions lorsque l’entreprise a adopté un code de bonne conduite. En effet, le RGDP encourage la mise en place de codes de conduite par secteurs d’activité afin d’inciter les acteurs à se conformer au nouveau règlement européen. Par ailleurs, l’entreprise limitera également le risque de sanction en recourant à la certification par un tiers de confiance accrédité par les autorités nationales de protection des données. A cet égard, l’article 42 du RGDP prévoit que le Comité européen de la protection des données (EDPB, exG29) et les institutions de l’Union européenne proposent des certifications et des labels afin d’attester de la conformité des traitements effectués par une entreprise donnée. Pour l’heure ces certifications n’existent pas encore au niveau européen, même si émergent quelques initiatives privées comme le label euroPrise.
Propos recueillis par Eliane Kan
Commentez