La stratégie « Informatique et libertés » à repenser au sein des entreprises

Le projet de Règlement du Parlement et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel du 25 janvier 2012 institue l'obligation pour les entreprises de s'engager dans une démarche d'accountability.

Le cadre juridique de la protection des données personnelles au niveau européen est actuellement en cours de réforme. Le Parlement européen a annoncé le 17 décembre 2015 la conclusion d'un accord informel sur le projet de règlement relatif à la protection de données personnelles. L'accord informel conclu entre le Parlement européen et le Conseil a été soutenu par 48 voix contre 4, avec 4 abstentions.

En effet, le « Règlement du Parlement et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données » du 25 janvier 2012 devra remplacer la Directive 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel. Cette mesure répond à une nécessaire adaptation et actualisation du cadre normatif européen, car la Directive de 1995 a été élaborée bien avant la généralisation de l'Internet, l'essor de l'économie numérique et le développement des réseaux sociaux. L'objectif de ce projet de règlement est de créer un ensemble de règles uniformes, améliorer la sécurité juridique pour les opérateurs économiques et de renforcer la confiance des citoyens et des entreprises dans un marché unique du numérique.

Le nouveau règlement devra mettre en place une réglementation modernisée et plus adaptée aux exigences actuelles et en donnant ainsi aux citoyens davantage de contrôle sur leurs propres données dans un environnement numérisé. Le projet oblige les entreprises à s'engager dans une démarche d'accountability. En effet, les entreprises devront démontrer qu'elles sont en conformité avec la nouvelle loi européenne par la mise en œuvre d'une série de mesures.

L'obligation de notifier les violations de données à caractère personnel
L'obligation de notification des violations des données à caractère personnel qui nous vient des États-Unis sera désormais applicable aux entreprises européennes. Ainsi, en cas de violation de la sécurité des données entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données, le responsable de traitement devra notifier cet événement sans retard injustifié et, si possible, dans les 72 heures après en avoir pris connaissance à l'autorité de contrôle compétente. La notification devra décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les coordonnées du correspondant Informatique et libertés ou autre point de contact, les conséquences probables de la violation ainsi que les mesures que le responsable se propose de mettre en œuvre.

De plus, si la violation est susceptible de porter gravement atteinte aux droits et libertés des individus, le responsable doit informer les personnes concernées sans retard injustifié, en décrivant de façon claire la nature de la violation, les coordonnées du correspondant Informatique et libertés ou autre point de contact, les conséquences probables de la violation ainsi que les mesures que le responsable se propose de mettre en œuvre.

L'obligation de désigner un agent de protection des données
Le projet de règlement institue l'obligation de désigner un Délégué à la Protection des Données, dont le rôle sera de surveiller et d’auditer l’entreprise, dans les hypothèses suivantes:

• le traitement est effectué par une personne morale de droit public ;
  
• le traitement est effectué par une personne morale de droit privé (les entreprises de plus de 150 salariés) et porte sur plus de 5 000 personnes concernées sur une période de douze mois consécutifs ;
  
• le traitement est effectué par une personne morale de droit privé et qui du fait de sa nature, de sa portée et/ou finalités exige un suivi régulier et systématique des personnes concernées ;
  
• le traitement est effectué par une personne morale de droit privé et concerne des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.
  

Un groupe d'entreprises pourrait désigner un délégué principal à la protection des données, s'il existe un délégué à la protection des données sur chaque lieu d'établissement.

Le Délégué à la Protection des Données devra posséder les qualifications suivantes : 

L'obligation de pratiquer la « privacy by design »
Le projet prévoit que le respect du droit Informatique et libertés fasse l'objet d'une auto évaluation permanente, ainsi que la mise en place de mécanismes de gouvernance interne à cet effet.

Tout d'abord, le responsable doit mettre en place toutes mesures techniques et organisationnelles (y compris la minimisation des données collectées ou leur anonymisation) nécessaires au respect du Règlement, et doit revoir et actualiser ces mesures régulièrement. Ces mesures doivent inclure notamment la mise en œuvre de politiques Informatiques et libertés. De même, ces mesures peuvent également inclure l'adhésion à des codes de conduite édictés par des tiers ou l'obtention de la certification d'organismes agréés à cet effet par les autorités de contrôle. Le responsable doit toujours s'assurer que les données collectées sont proportionnées par rapport à la finalité du traitement, déterminer leur durée de rétention et leur accessibilité, qui doit par défaut être limité à un groupe de personnes défini.

Le responsable de traitement, ainsi que le sous-traitant, doit tenir à jour un registre recensant les traitements effectués, qui doit notamment mentionner les coordonnées du responsable ainsi que de tout co-responsable, du représentant du responsable et de son correspondant Informatique et libertés, les finalités du traitement, la description des catégories de personnes concernées et de données personnelles traitées, les catégories de destinataires, le cas échéant les transferts vers des pays tiers, la durée de rétention de chaque catégorie de données ainsi qu'une description générale des mesures techniques et organisationnelles mises en œuvre.

Cette obligation ne s'applique pas aux entreprises de moins de 250 salariés, sauf si le traitement peut constituer un risque aux droits et libertés des personnes concernées, le traitement n'est pas occasionnel ou le traitement inclut des données sensibles ou liées à des condamnations pénales. Néanmoins, cette restriction est regrettable puisqu'au vu de la place de l'informatique au sein des entreprises, on voit mal quelle entreprise de moins de 250 salariés ne procéderait pas de manière régulière à des traitements de données.

L'obligation de mettre en place une étude d'impact sur la protection des données
Actuellement, il n'existe pas d'obligation légale de mener une étude d'impact sur la protection des données et de la vie privée. Cependant, l'article 33 du projet de Règlement relatif à la protection des données du 25 janvier 2012 prévoit l'obligation de mener une étude d'impact sur la protection de données et de la vie privée en cas de risques spécifiques. En effet, le responsable du traitement est tenu par l'obligation de mener une étude d'impact dans l'hypothèse où le traitement sera susceptible de présenter des risques élevés pour les droits et les libertés des personnes comme par exemple la fraude, l'usurpation d'identité, la discrimination, des atteintes portées à la réputation, la violation de la confidentialité de données protégées par le secret professionnel ou tout autre inconvénient économique ou social (article 33 du projet de règlement relatif à la protection des données du 25 janvier 2012).

Le projet de règlement contient une liste non-exhaustive des traitements dans l'hypothèse desquels une étude d'impact est obligatoire :

• des traitements automatisés de données destinés à évaluer les aspects de la personnalité de certaines personnes sur la base desquels sont prises des mesures ayant des effets juridiques à leur égard ou les affectent de manière significative (article 33.2 du projet de règlement relatif à la protection des données du 25 janvier 2012) ;
  
• des traitements à grande échelle de données sensibles ;
  
• le contrôle d'espaces publics à large échelle à l'aide de systèmes optiques électroniques.
  

En ce qui concerne le contenu de l'étude d'impact, celui-ci doit porter sur l'ensemble du cycle de traitement des donnés dès leur collecte jusqu'à leur destruction. Cet étude doit comprendre une description du traitement ; une évaluation des risques ; une description des mesures envisagées pour prévenir et traiter les risques ; une description des mesures de sécurité et des mécanismes mis en œuvre afin de protéger les données personnelles.

D'ailleurs, l'étude doit contenir l'avis des personnes concernées ou de leurs représentants.
L’étude doit en outre faire état de l’avis des personnes concernées ou de leurs représentants.
Si à la suite de l'étude des risques élevés persistent, le responsable du traitement devra obligatoirement et préalablement à la mise en place du traitement consulter la CNIL. Cette dernière pourra dans ce cas refuser la mise en place du traitement envisagé ou exiger des mesures complémentaires si l'évaluation des risques est insuffisante.

Une plus grande responsabilisation des sous-traitants
Au vu du développement exponentiel de l'externalisation et du cloud computing, le régime mis en place par la Directive 95/46/CE du 24 octobre 1995, qui ne responsabilisait que de manière limitée les sous-traitants, devait être révisé. En effet, la directive ne prévoyait qu'une obligation pour le responsable de traitement de s'assurer que ses sous-traitants apportent des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer, de veiller au respect de ces mesures et de prévoir contractuellement le respect de ces dispositions.

Le projet de règlement prévoit désormais que le responsable de traitement doit non seulement prendre les mesures pour s'assurer que les données seront traitées par le sous-traitant en conformité avec le droit Informatique et libertés, mais aussi être toujours capable de démontrer que cela est le cas et procéder régulièrement à une révision de ces mesures. Les sous-traitants qui emploient plus de 250 salariés devront obtenir l'accord écrit spécifique du responsable de traitement. De même, ils devront toujours informer le responsable de traitement de toutes modifications concernant leurs propres sous-traitants, afin de donner au responsable de traitement la possibilité d'objecter à de telles modifications.

Les sous-traitants devront également tenir à jour un registre de toutes les catégories d'activités de traitement des données effectuées pour le compte de chaque responsable.

Enfin, le projet de règlement prévoit que les sous-traitants pourront être responsables des dommages subis par les personnes concernées, ainsi qu' être condamnés au paiement des amendes administratives prononcées par les autorités nationales de protection des données à caractère personnel.

Les étapes prochaines
Le Parlement européen devra se prononcer sur cet accord informel jusqu'à la fin du printemps 2016. Après l'entrée en vigueur de l'accord, les opérateurs économiques responsables disposeront d'un délai de 2 ans pour se mettre en conformité avec les nouvelles dispositions du règlement.

Il faut noter enfin que ce règlement, dès qu'il entrera en vigueur, devra être articulé avec la Loi française « pour une République numérique », prévoyant de mesures similaires quant à la protection de données personnelles et dont le projet a été adopté en première lecture à l’Assemblée Nationale le 26 janvier 2016, et qui sera examiné ensuite par le Sénat au mois d'avril 2016.

Nous restons tous très attentifs.