Le Règlement Général sur la Protection des Données personnelles (RGPD) est l’occasion d’un changement de paradigme pour les entreprises, qui deviennent responsables de la protection des données personnelles qu’elles traitent.

Données personnelles : des pratiques administrées aux pratiques de responsabilité

Le Règlement Général sur la Protection des Données entre en vigueur en mai 2018.

Beaucoup d’auteurs se demandent combien d’entreprises seront prêtes à cette date. Un point clé est certainement l’inversion du régime juridique des traitements de données personnelles. Jusqu’à ce jour, le principe général était celui de l’autorisation. Les entreprises devaient déclarer les traitements de données personnelles qu’elles projetaient de faire. L’autorité nationale, la Commission nationale de l’informatique et des libertés (CNIL) en France, délivrait une autorisation ou une interdiction pour chaque traitement. Des régimes dérogatoires de simple déclaration ou d’autorisation a priori permettaient de couvrir les traitements de données les plus courants, par exemple ceux des prospects personnes privées. En résumé, les entreprises sont responsables devant la CNIL de l’application des directives prévues par leurs autorisations ou leurs déclarations sur les traitements de données personnelles.

Dans le futur, la responsabilité du bon traitement des données personnelles est confiée aux entreprises elles-mêmes. Celles-ci doivent prendre les mesures pertinentes et proportionnées, d’une part en vue d’atteindre des objectifs applicables à tous les responsables de traitement : par exemple, procédure d’alerte rapide en cas d’incident susceptible d’entraîner un vol de données ; d’autre part en vue de garantir aux personnes dont les données sont collectées la faculté de consentir explicitement au transfert de données non indispensables. In fine, les entreprises sont responsables devant les personnes privées dont elles gèrent les données, que ces personnes soient ressortissantes de l’UE (même établies dans un pays étranger, et dans le cadre d’un traitement par une société non établie dans l’UE), ou qu’elles y soient établies.

Chaque entreprise doit se préoccuper de la qualité des traitements de données personnelles comme s’il s’agissait des qualités cruciales de ses propres produits, et doit prouver, en cas de contrôle, qu’elle a défini les objectifs de traitement et leur protection. Le nouveau règlement n’impose plus d’autorisation préalable. Mais ce n’est qu’une vue de façade. L’engagement de l’entreprise est en réalité bien plus fort : celle-ci, en tant que « responsable de traitements » de données personnelles, doit définir explicitement l’objectif de chaque traitement et les mesures raisonnables prises afin que soient préservés les intérêts des personnes concernées et surtout que leurs exigences de protection et de confidentialité soient respectées. Le risque en cas de carence est lui aussi plus fort. L’administration peut à tout moment auditer les traitements, et les sanctions encourues sont beaucoup plus importantes que dans le régime actuel : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise prise en défaut. Dans un tel cadre, l’absence d’autorisation préalable ne vaut certainement pas absence de relation avec la CNIL. Dans les cas un peu complexes, l’entreprise demandera conseil à la CNIL sur le dispositif qu’elle met en place, comme beaucoup le font aujourd’hui. La réponse de la CNIL pourrait avoir le même poids qu’un rescrit fiscal. La pratique devra toutefois confirmer ce point.

Des faiblesses du régime actuel

Le régime d’autorisation présentait à notre sens deux faiblesses majeures que nous constations en entreprise.

En premier lieu le régime d’autorisation aurait transformé la CNIL en une énorme machine à octroyer des droits, si la Commission n’avait elle-même identifié des cas de traitement de données justiciables de mesures semblables. C’est ainsi que les traitements de fichiers d’employés, de prospects, de membres d’associations, se sont trouvé normalisés et font déjà l’objet de simples déclarations voire de dispense de déclaration sous réserve de respecter des contraintes essentielles. Toutefois, la CNIL reste très sollicitée par des questions sur des traitement à la frontière de ce qui est autorisé d’office. Les entreprises peuvent se retrouver sans réponse. In fine, dans le régime actuel, certains intérêts des citoyens pourraient, plus que dans le futur, être compromis sans que la responsabilité de l’entreprise ne puisse être engagée.

En second lieu le régime de sous-traitance des traitements de données personnelles était très encadré, limitant le choix du sous-traitant notamment sur son appartenance à l’Union européenne ou à certains pays amis. Certains ont dit que ce régime limite la liberté d’entreprendre. Il nous semble qu’il limite également la liberté d’innover.

Désormais, les principes et les règles de base s’appliqueront à toute entreprise, dès l’instant qu’elle gère des données personnelles de personnes résidant dans l’Union Européenne. Le règlement précise qu’il ne peut être dérogé à ces principes et règles par voie contractuelle.

La responsabilité du donneur d’ordre

Le régime futur met la responsabilité du responsable de traitement de données en première ligne. A lui de choisir ses sous-traitants de gestion de données en sorte d’atteindre les objectifs de protection mentionnés dans le règlement. Le responsable de traitement doit définir les traitements et choisir ses sous-traitants comme si la protection des données personnelles était la prunelle de ses yeux.

Dans le cadre particulier du choix de sous-traitants et des relations avec eux, un certain nombre de pratiques de base reflètent ce nouveau devoir de client qui incombe au responsable de traitement donneur d’ordre.

1. Le responsable de traitement doit définir, par un cahier des charges, ce qu’il attend de son sous-traitant en vue d’attendre les objectifs de protection des données. Même si ces attentes sont largement dictées par le règlement lui-même, le responsable de traitement et son sous-traitant doivent collaborer à l’atteinte des objectifs de protection vis-à-vis du client final ou plus largement des personnes concernées par le traitement.

2. Le responsable de traitement doit choisir ses sous-traitants en considérant en premier lieu leurs capacités et leurs références en matière de protection des données personnelles.

3. Le responsable de traitement définira des processus de contrôle portant sur les pratiques du sous-traitant ayant pour objectif la protection des données personnelles.

4. À la cessation de la prestation, le responsable de traitement veillera à ce que la protection des données personnelles continue d’être assurée, par exemple par le retrait des données d’archives et des copies de sécurité.

5. Ce changement de perspective est certainement l’enjeu le plus important de l’évolution de la mission de correspondant CNIL en celle d’administrateur de la protection des données (Data Protection Officer, DPO), pour les entreprises qui choisissent cette voie.

D’autres articles vous permettront de partager nos points de vue sur la protection des données.