Paroles de
Numérique

Données personnelles : le règlement "responsabilise les entreprises", selon Karine Riahi et Sophie de Marez Oyens

26/02/2016
Sophie de Marez Oyens et Karine Riahi avocates au sein du cabinet KGA
Avec la future adoption du règlement, les entreprises pourraient avoir à anticiper les problématiques juridiques liées aux données personnelles dès la conception de leurs projets destinés aux internautes.

Mi-décembre 2015, le Parlement européen et le Conseil de l'UE se sont accordés sur une version du règlement européen relatif à la protection des données personnelles. Le texte, ayant reçu l'aval du trilogue, responsabiliserait davantage les entreprises quant à la question du traitement des données personnelles, notamment pour celles qui ont recours à des techniques de profilage. Une reponsabilité solidaire pourrait peser sur le responsable du traitement des données et ses sous-traitants. Parallèlement, les internautes seraient davantage informés sur l'utilisation de leurs données et pourraient mieux faire valoir leurs droits. Enfin, le droit à l'oubli numérique serait réaffirmé. Decryptage du contenu du texte à l'aide des avocates Karine Riahi (associée) et Sophie de Marez Oyens du cabinet KGA.

Remarque : le texte doit encore être formellement adopté par les députés européens en plenière au mois de mars ou d'avril, avant publication définitive au Journal Officiel de l'UE.

Pour vous, la proposition de règlement conduirait à la suppression de formalités déclaratives issues de la loi informatique et libertés mais responsabiliserait davantage les entreprises. Pourquoi ?

Karine Riahi : On ne fera pas table rase du passé : les autorisations obtenues et les déclarations déjà réalisées par les entreprises auprès de la Commission nationale de l’informatique et des libertés (CNIL) concernant le traitement des données personnelles, conserveront leur validité. Néanmoins, un bouleversement pourrait se faire sentir quant à la démarche des entreprises vis-à-vis de la question des données personnelles. Aujourd’hui, l’entreprise commence par concevoir et développer un projet. Puis vient le temps de s’assurer de sa conformité à la loi informatique et libertés. Parfois, il apparaît que le projet ne rentre pas complètement dans « les clous » de la réglementation. Les déclarations et demandes d’autorisation peuvent donc conduire les entreprises à modifier leur projet. Demain, l’analyse règlementaire devra être opérée dès la conception du projet. On responsabilise les entreprises en les incitant à intégrer la question de la donnée personnelle. L'idée est de rendre cette question familière à l’ensemble de leurs équipes opérationnelles et prégnante tout au long du processus de développement de leurs projets. Certaines entreprises responsables de traitement devront également mener des études d’impact* lorsque leur projet présente un risque important au regard du respect de la vie privée des utilisateurs (traitements pour une activité de profilage ou de données sensibles, par exemple). Ces études d’impact participent au « privacy by design », qui signifie une protection des données personnelles dès la conception et qui sous-tend l’ensemble du règlement. Il permettra aux entreprises de gagner en efficacité et en rapidité sans nécessairement consulter la CNIL.

Sophie de Marez Oyens : Un des objectifs affichés par le règlement est de mettre un terme à la lourdeur administrative qui découle des différentes déclarations que les entreprises doivent effectuer. De plus, ces déclarations n’assurent pas nécessairement la pleine et entière conformité à la législation. Sur ce point, les autorités européennes ont tenu compte de la position des petites et moyennes entreprises qui n’ont pas toujours les ressources suffisantes pour faire face à ces coûts administratifs.

Le texte renforcerait le consentement des individus sur le traitement de leurs données personnelles. C’est la fin de la « politique de la case pré-cochée », selon vous. Pourquoi ?

Karine Riahi : Le règlement impose l’expression d’un véritable consentement des personnes concernées, c’est-à-dire « libre, spécifique, éclairé et indubitable », exprimé par un acte positif. La case pré-cochée, portant autorisation pour une entreprise d’utiliser les données personnelles d’un utilisateur, est ainsi à proscrire. Au contraire, demander à l’internaute de cocher une case qui traduit son acceptation du traitement de ses données personnelles, exige un acte positif de consentement de sa part, impliquant qu‘il a lu et accepté le traitement, comme en matière de conditions générales de vente, par exemple.

Les entreprises auront-elles à davantage expliciter le traitement des données personnelles envisagé ?

Sophie de Marez Oyens : Le règlement prévoit une obligation de transparence accrue, à la charge du responsable de traitement. La requête, afin d’obtenir le consentement de l’utilisateur, doit être présentée dans un langage clair et net, l’entreprise ayant à indiquer précisément quels sont les droits des personnes concernées par le traitement et les moyens dont elles disposent pour faire valoir ces droits. En particulier l’indication du nom du responsable du traitement et de son contact est à prévoir. Un formulaire d’opposition en ligne au traitement de certaines données pourrait être proposé par les entreprises, afin de se conformer aux exigences spécifiques quant au profilage.

Une nouvelle fonction émerge au sein de l’entreprise, celle de data protection officer (DPO). Pouvez-vous nous la décrire ?

Sophie de Marez Oyens : La nomination d’un délégué à la protection des données personnelles est obligatoire au sein des entreprises dont l’activité principale « exige une surveillance systématique et régulière des comportements des personnes » (telle que l’activité de profilage) ou « consiste à traiter des données sensibles » (telle que la religion, l’origine ethnique, les opinions politiques, etc). Toutes les entreprises n’auront donc pas l’obligation de nommer un DPO. Notons, cependant, que l’exception spécifique au profit des entreprises de moins de 250 personnes a disparu de la dernière version du règlement. Les correspondants informatique et libertés existants auront une vocation naturelle à devenir DPO et endosseront leurs nouvelles fonctions. Ils poursuivront la tenue de registres quant aux traitements des données personnelles réalisés et des mesures mises en œuvre pour se conformer à la réglementation.

Les entreprises qui font du profilage devront mettre en place ce DPO. Celles qui utilisent des techniques de CRM (customer relationship marketing) font-elles du profilage ?

Sophie de Marez Oyens : Oui absolument. Le règlement définit l’activité de profilage comme toute forme de traitement automatisé de données à caractère personnel en vue d’évaluer certains aspects d’une personne physique, dont ses préférences personnelles. Le traitement de données issues de cartes de fidélité permettant de déterminer les préférences d’achats des consommateurs est donc assimilable à du profilage. Lorsqu’une entreprise traite ces données pour mener une telle activité, elle devra en informer la personne concernée de manière claire et distincte et obtenir son consentement libre et éclairé. Trois obligations spécifiques sont ainsi imposées aux entreprises pratiquant le profilage : désigner un DPO, mener des études d’impact et obtenir le consentement spécifique du consommateur, en l’informant des conséquences du profilage.

Karine Riahi : Le champ des entreprises concernées est donc assez important.

Une responsabilité solidaire pèsera sur les entreprises en cas d’atteinte aux données personnelles. Qu’implique-t-elle ?

Karine Riahi : Elle induit une protection pour l’individu lorsqu’il souhaite obtenir réparation à la suite d’une violation de ses droits. Dans l’hypothèse où les finalités et moyens d’un traitement de données personnelles sont déterminés par deux responsables de traitement, la solidarité permet à un individu d’agir soit contre l’un, soit contre l’autre pour l’intégralité du dommage qui résulte de l’atteinte à ses données. A charge, pour l’entreprise poursuivie, de se retourner, ensuite, contre son co-contractant pour sa part de responsabilité (définie contractuellement). Ce n’est pas l’affaire du justiciable.

Sophie de Marez Oyens : Le règlement impose également une responsabilité directe du sous-traitant, qui n’existait pas dans la directive européenne de 1995 et dans la loi informatique et libertés. En revanche, elle est limitée à ses obligations spécifiques : en terme de transfert de données, de documentation (tenue de registres relatifs à tous les traitements mis en œuvre pour le compte du responsable de traitement) ou de mise en œuvre des mesures de sécurité. Ainsi, une violation des obligations de sécurisation des données personnelles peut amener l’individu à se retourner à la fois contre le sous-traitant et contre le responsable de traitement ou contre l’un ou l’autre pour le dommage subi dans son intégralité, grâce au principe de solidarité.

Le règlement innove-t-il sur la question du droit à l’oubli ?

Sophie de Marez Oyens : Lorsqu’un traitement n’est plus légal, qu’il ne répond plus aux finalités d’origine ou lorsque la personne concernée a valablement fait jouer son droit d’opposition, elle peut faire valoir un droit à l’effacement. Le droit de suppression n’est pas nouveau et était déjà prévu par la directive ainsi que par la loi informatique et libertés. La décision de la Cour de justice de l’UE dite « Google Spain » a décliné ce droit dans le cadre de l’activité des moteurs de recherche. Le règlement le réaffirme plus clairement, lui consacrant un article entier intitulé « droit à l’effacement/droit à l’oubli », et le soumettant à certaines conditions et exceptions. La liberté d’expression peut notamment, dans certains cas, l’emporter sur le droit à l’effacement.

*Des guides sur les études d’impact, à vocation pédagogique, sont proposés par le CNIL (publiés sur son site en juillet 2015).

propos recueillis par Sophie Bridier
Ecrit par
propos recueillis par Sophie Bridier