Non classé

Le fameux correspondant informatique et libertés (CIL) de la loi du même nom, qui avait vocation à faciliter les démarches du responsable de traitement, change de nom sous l’empire du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et devient désormais le délégué à la protection des données (DPO : Data Protection Officer).

Outre ce changement de nomenclature, le règlement apporte des modifications substantielles à cette institution. Plus développé que sous l’empire de la loi informatique et libertés, qui ne lui consacre qu’un seul et unique article (l’article 22) le règlement lui en consacre désormais trois (articles 37,38 et 39). Dans ces dispositions il faut relever deux changements majeurs.

Le premier changement substantiel du règlement est de modifier les modalités de désignation du délégué à la protection des données et plus précisément de prévoir certains cas de désignation obligatoires (I). Le deuxième élément important qui change est l’élargissement des obligations à la charge du délégué à la protection des données (II)

I) Les modalités de désignation du délégué à la protection des donnée

a) Sur l’obligation de désigner un délégué à la protection des données

Sous l’empire de la loi informatique et libertés, la désignation d’un CIL n’est jamais obligatoire.

Toutefois désigner un CIL présente des avantages certains. Cela permet notamment au responsable de traitement, d’être dispensé d’effectuer des déclarations pour les traitements qu’il souhaite effecteur, de faciliter ses relations avec la Cnil, de participer à la mise en œuvre d’une approche qualité, d’améliorer la sécurité juridique et l’image à l’égard des tiers de l’entreprise. Cela présente aussi des inconvénients tels que la perte de vigilance du responsable de traitement qui aura tendance à se reposer sur son CIL qui pourtant n’assume pas la responsabilité du responsable de traitement. L’autre inconvénient majeur est le coût que représente le CIL car il faut pouvoir supporter son salaire.

La désignation ou non d’un CIL reste donc à la libre appréciation de chaque responsable de traitement qui effectuera une analyse coûts/avantages pour savoir s’il décide ou non d’opter pour la désignation d’un CIL.

Désormais, après d’âpres débat sur le sujet, ce ne sera plus le cas à partir de 2018, puisque le règlement prévoit des cas de désignation obligatoire du DPO. L’article 37 prévoit ainsi qu’un DPO doit être désigné par le responsable de traitement et le sous-traitant dans les cas suivants :

• le traitement est réalisé par une autorité publique, à l’exception des tribunaux ; ou
• l’activité cœur de métier du responsable de traitement ou du sous-traitant requiert le suivi régulier et systématique de données à une large échelle ; ou
• l’activité cœur de métier du responsable ou du sous-traitant consiste à traiter à une large échelle des données sensibles ou relatives à des condamnations ou infractions.

On notera ici que les critères de désignation obligatoire du CIL choisis par le règlement sont volontairement flous, tout du moins pour les deux dernières hypothèses. Le règlement ne précise pas en effet, à partir de quel seuil un responsable de traitement ou un sous-traitant effectue un traitement à grande échelle. Il a voulu laisser le soin au groupe de l’article 29 (réunion des CNIL européennes) de trancher la question. On peut s’interroger sur la pertinence de ces critères alors qu’il avait été question de critères beaucoup plus précis lors des premières propositions du règlement, comme celui d’un certain seuil du nombre de salariés du responsable de traitement. Le choix de tels critères flottant pousse donc d’autant plus, les responsables de traitements, à la prudence dans leurs actions.

Conseils :

• Les établissements tels que par exemple les établissements bancaires, amenés à traiter tous les jours et à actualiser les données de leurs clients doivent logiquement être considérés comme effectuant des traitements de données à caractère personnel avec un suivi régulier et systématique à large échelle. En revanche, aussi grand soient-il, les fichiers clients ne devraient pas, semble-t-il, être considérés comme des traitements réguliers et systématiques à large échelle, car d’une part ceux-ci ne font pas l’objet d’un suivi régulier et systématique, les fichiers clients n’étant généralement mis à jours que par les clients eux-mêmes lors d’une nouvelle commande, et d’autre part car cela ne constitue pas l’activité cœur de métier du responsable de traitement, le traitement de données n’étant ici qu’une activité support de l’activité principale de e-commerçant, à savoir la vente en ligne ;
• Attention, tant le responsable de traitement que le sous-traitant sont concernés par la désignation obligatoire d’un délégué à la protection des données.

b) Sur le choix du délégué à la protection des données

L’article 22 de la loi informatique et libertés dispose que le choix du CIL émane du responsable de traitement et que cette décision est notifiée à la CNIL. Cependant l’article ajoute que le correspondant doit être une personne bénéficiant de certaines qualités requises pour exercer ses missions. Ainsi, Il s’agit donc d’une personne qui a une connaissance réelle de la loi Informatique et libertés et/ou qui a reçu une formation spécifique en la matière.

L’article 46 du décret d’application de la loi Informatique et libertés du 20 octobre 2005 vient donner quelques précisions supplémentaires.

Il précise notamment que ne peuvent pas être désignés comme correspondant, le responsable du traitement ou son représentant légal. De plus, les fonctions ou activités exercées concurremment par le correspondant ne doivent pas générer un conflit d’intérêt avec l’exercice de sa mission. Enfin, lorsque moins de 50 personnes participent à la mise en œuvre du traitement ou y ont accès, l’organisme est libre de désigner un CIL externe. Une convention doit alors régler les aspects techniques, économiques et juridiques de l’exercice de cette mission. Toute personne physique ou morale peut être désignée telle que des prestataires de services, des avocats ou des experts comptables.

Le règlement n’apporte pas de réels changements sur le choix du délégué à la protection des données, l’article 37 précise en effet que le délégué est désigné sur la base de ses qualités professionnelles et, en particulier :

• de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données ;
• de sa capacité à accomplir les tâches qui lui sont confiées ;
• le responsable du traitement ou le sous-traitant doit veiller à ce que ses missions et tâches n’entraînent pas de conflit d’intérêts.

Enfin concernant la désignation d’un délégué à la protection des données externe ou interne, le règlement n’opère pas de distinction en fonction du nombre de salariés du responsable de traitement, il prévoit juste que le délégué à la protection des données peut être indifféremment externe ou interne.

Conseils :

• Il faut dès à présent former et sensibiliser les CIL en place, à la règlementation européenne en matière de protection des données à caractère personnel ;
• Il faut également veiller à ce que le CIL choisi soit compétent, non seulement sur la loi Informatique et libertés, mais également sur la règlementation européenne en matière de protection des données à caractère personnel ;
• Il faut enfin veiller à ce que le CIL choisi soit compétent d’un point juridique mais également technique pour effectuer les nouvelles tâches définies par le règlement européen (voir ci-dessous).

II) L’élargissement des obligations à la charge du délégué à la protection des données

L’article 22 de la loi informatique et libertés dote le CIL de six missions, à savoir :

• formuler les recommandations nécessaires au responsable de traitement ;
• être consulté avant toute mise en œuvre de nouveaux traitements de données ;
• recevoir les réclamations et les requêtes des personnes concernées ;
• informer le responsable de traitement des manquements constatés ;
• établir un bilan annuel d’activité ;
• établir la liste exhaustive des traitements de données à caractère personnel mis en œuvre au sein de l’organisme qui l’a désigné, et tenir cette liste à disposition de la CNIL.

Désormais, le règlement est plus précis sur les obligations du délégué à la protection des données puisque l’article 39 du règlement prévoit que celui-ci doit :

• informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les salariés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions de l’Union ou de l’État membre concerné en matière de protection des données ;
• contrôler la conformité du règlement à d’autres dispositions de l’Union ou de l’État membre concerné en matière de protection des données ;
• contrôler la conformité du règlement aux règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, et notamment sur les questions de répartition des responsabilités, de formation du personnel et de réalisation d’audits ;
• dispenser des conseils, lorsque cela est demandé, en ce qui concerne l’analyse d’impact et vérifier l’exécution des tâches ;
• coopérer avec l’autorité de contrôle ;
• faire office de point de contact pour l’autorité de contrôle sur les questions liées au traitement de données à caractère personnel, y compris la consultation préalable visée à l’article 34, et consulter celle-ci, le cas échéant, sur tout autre sujet.

Le règlement rajoute que le délégué à la protection des données doit tenir compte dans l’accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.

Conseils :

• Il faut que le délégué à la protection des données forme et sensibilise, les salariés en charge de traiter des données à caractère personnel, sur les problématiques de la règlementation européenne en la matière ;
• Il faut également que le délégué à la protection des données mette en place un suivi de l’analyse d’impact.

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018, apporte de nouveaux éléments substantiels relatifs à l’obligation d’information du responsable de traitement de données à caractère personnel. Je vais ici m’employer à relater ces modifications et donner des conseils pour s’y adapter et bien les faire appliquer.

Le règlement consacre trois articles à l’obligation d’information du responsable de traitement (article 12 à 14) tandis que la loi informatique et libertés n’en comprend qu’un (article 32). Le premier de ces articles, l’article 12, impose que les informations communiquées aux personnes dont les données sont collectées le soient d’une façon concise, transparente et intelligible.

Cette disposition nécessite de s’y attarder car elle ne figurait pas dans la loi informatique et libertés. Les rédacteurs du règlement ont ici tenu à mettre en garde les professionnels contre des formulations obscures qui tenteraient de relater les informations exigées par le règlement sans en faire comprendre leur portée aux personnes concernées. Le règlement précise ainsi que si la personne concernée est un enfant, celui-ci doit être à même de comprendre les informations communiquées par le responsable de traitement.

Cette précision étant faite, il faut dès à présent relever que le règlement fait une distinction entre la collecte directe (article 13) et la collecte indirecte (article 14) de données à caractère personnel que la loi informatique et libertés distinguait uniquement, jusqu’ici, pour la communication des informations.

Dans cet article nous allons donc successivement étudier ce que prévoit le règlement pour la collecte directe de données à caractère personnel (I) et la collecte indirecte (II).

I) La collecte directe de données à caractère personnel

Il s’agit ici de l’hypothèse où le responsable de traitement recueille directement, ou par l’intermédiaire d’un sous-traitant, les données à caractère personnel auprès d’une personne physique.

Actuellement l’article 32 de loi informatique et libertés prévoit que le responsable de traitement doit informer la personne dont les données sont collectées :

• de l’identité du responsable de traitement ;
• des finalités ;
• du caractère facultatif ou obligatoire des réponses ;
• des destinataires ;
• des droits reconnus à la personne ;
• des éventuels transferts de données hors UE.

Désormais concernant la collecte directe, l’article 13 prévoit que le responsable de traitement doit informer la personne concernée des éléments évoqués ci-dessus, auxquels s’ajoutent également les éléments suivants :

• la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
• les coordonnées du responsable de traitement ;
• les coordonnées du délégué à la protection des données s’il y en a un ;
• la possibilité de saisir la CNIL ;
• l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
• si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
• les finalités nouvelles si un traitement ultérieur est prévu.

Enfin, sur le moment de communication de l’information, l’article 32 de la loi informatique et libertés prévoit que la personne dont les données à caractère personnel sont traitées peut être informée au moment de la collecte des données ou préalablement. A présent, le règlement est plus strict car il impose que la personne soit obligatoirement informée au moment de la collecte de ses données. Dès lors, une information préalable ne serait plus suffisante comme le permettait la loi informatique et libertés.

Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de modifier leurs mentions d’information informatique et libertés figurant sur leurs conditions générales ou tout autre type de documents pour y ajouter les mentions d’information suivantes quant au traitement effectué :

• la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
• les coordonnées du responsable de traitement ;
• les coordonnées du délégué à la protection des données s’il y en a un ;
• la possibilité de saisir la CNIL ;
• l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
• si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
• les finalités nouvelles si un traitement ultérieur est prévu.

II) La collecte indirecte de données à caractère personnel

Il s’agit ici de l’hypothèse pour laquelle les données ne sont pas recueillies immédiatement auprès de la personne concernée mais sont acquises auprès d’un autre professionnel, comme par exemple dans le cas du rachat d’un fichier de prospection ou d’une base de données.

Actuellement l’article 32 de loi informatique et libertés prévoit l’obligation, pour le responsable de traitement ayant acquis des données à caractère personnel de manière indirecte, de communiquer à la personne concernée les mêmes informations que celles communiquées dans le cadre d’une collecte directe. Cette information doit s’effectuer dès l’acquisition des données ou au plus tard lors de la première communication à un destinataire ou à la personne concernée.

Désormais, l’article 14 du règlement prévoit que le responsable de traitement doit informer la personne concernée de l’ensemble des éléments prévus à l’article 13, auxquels s’ajoutent également :

• les catégories de données concernées par la collecte indirecte ;
• la source des données collectées y compris si elles sont issues d’une source accessible au public ;
• en cas de nouvelle finalité, les informations relatives à celle-ci.

Concernant le délai de transmission de ces informations à la personne concernée, le règlement prévoit que celui-ci ne doit pas dépasser un mois ou être effectué au plus tard lors de la première prise de contact avec les personnes concernées si les données sont utilisées à cet effet.

Il est toutefois fait exception à cette obligation d’information lorsque :

• la personne dispose déjà des informations ;
• la fourniture des informations est impossible ou disproportionnée ;
• l’obtention ou la communication des informations résulte d’une disposition législative ou communautaire impérative ;
• les données doivent restées confidentielles en vertu du respect du secret professionnel d’une profession réglementée.

Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de s’assurer que l’ensemble des éléments prévus à l’article 13 ont bien été portés à l’attention des personnes concernées ainsi que d’informer celles-ci, via un mail général d’information par exemple, sur :

• la catégorie de données qui a été collecté indirectement ;
• les éventuels changements de finalités ;
• la source des données ;
• les autres éventuels changements.

Le règlement induit, dès lors, un changement dans la démarche du responsable de traitement. Tandis qu’actuellement celui-ci se cantonne à effectuer les formalités nécessaires pour pouvoir réaliser son traitement, à l’avenir ces dernières ne seront plus à sa charge. Toutefois, les obligations incombant au responsable de traitement n’en seront pas pour autant amoindries ; au contraire celles-ci seront alourdies. Il devra en effet se montrer proactif dans l’établissement de mesures techniques et organisationnelles permettant d’assurer le respect de la règlementation.

Des justificatifs de la mise en place de telles mesures pourront être demandés par la CNIL. S’agissant des mesures en question, le règlement européen introduit les concepts de « privacy by design » et « privacy by default » en son article 23.

Que recoupent donc ces deux concepts qui ne sont pas réellement si nouveaux ?

I) Privacy by design (protection de la vie privée dès la conception)

Le terme est apparu dans les années 1990 et s’est développé selon l’idée que le respect de la vie privée devait être pris en compte dès la conception d’un projet numérique. Cela implique de prendre en compte, dès la conception de projets numériques destinés à traiter des données personnelles, les exigences en matière de protection de la vie privée et les intégrer aux systèmes informatiques, infrastructures des réseaux et pratiques de l’entreprise. La protection de la vie privée dès la conception doit donc se traduire par des mesures techniques concernant les systèmes et infrastructures conçus mais également organisationnelles concernant les pratiques de l’entreprise en matière de traitement de données. L’article 25, alinéa 1 du règlement dispose, en effet : « Compte tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. »

L’article apporte toutefois une limitation intéressante à cette obligation de protection de la vie privée dès la conception, puisqu’il ne s’agit vraisemblablement que d’une obligation de moyens. En effet, la protection de la vie privée dès la conception est appréciée à la lumière des technologies disponibles et du coût de leur mise en œuvre.

La préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian, explique que le concept de « Privacy by Design » repose sur sept principes fondamentaux.

1. Il faut prendre des mesures proactives et non réactives. Cela signifie qu’il ne faut pas attendre que les risques se produisent pour proposer des solutions. La « Privacy by Design » n’offre d’ailleurs aucune mesure corrective en cas d’incident.
2. Il faut assurer une protection implicite de la vie privée, ce qui signifie que la protection de la vie privée doit être systématiquement maximale. Elle n’est donc pas optionnelle et ne doit pas nécessiter l’intervention de l’utilisateur mais être directement intégrée au système.
3. Il faut intégrer la protection de la vie privée dans la conception des systèmes et des pratiques, ce qui implique de l’incorporer dans la conception et l’architecture des systèmes informatiques mais aussi dans les pratiques et la stratégie organisationnelle de l’entreprise.
4. Il faut assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle, ce qui implique que le responsable de traitement ne doit pas créer de fausses oppositions entre certains objectifs qui ne s’opposent pas mais sont complémentaires, tels que la sécurité et la protection de la vie privée. La protection de la vie privée doit être envisagée par la responsable de traitement comme une valeur ajoutée à sa technologie et non comme un frein au développement de son activité commerciale.
5. Il faut assurer la sécurité de bout en bout pendant toute la période de conservation des renseignements. Ceci implique que les mesures de protection de la vie privée mises en place dans le système informatique dès sa conception, persistent de manière sécurisée durant toute la période de conservation des données.
6. Il faut assurer la visibilité et la transparence du système pour les utilisateurs. A ce titre, pour vérifier que celui-ci est conforme à la protection de la vie privée intégrée, une vérification indépendante est nécessaire pour instaurer un climat de confiance entre le responsable de traitement et les personnes dont les données sont traitées.
7. Il faut assurer le respect de la vie privée des utilisateurs. Ce principe est relié aux six précédents et impose aux concepteurs de projets numériques de mettre l’intérêt des utilisateurs particuliers au centre de leurs préoccupations en prévoyant notamment, et ainsi qu’il l’a déjà été évoqué ci-dessus, la mise en place de mesures implicites de protection de la vie privée ainsi que des fonctions habilitantes axées sur les utilisateurs.

Conseils : pour se conformer à ce principe, il convient au sein de la direction de l’entreprise de s’engager réellement dans la prévention des atteintes à la vie privée. Plus particulièrement, il convient notamment :

• d’identifier le contexte particulier aux traitements mis en œuvre par le projet ;
• de mettre en place des mesures techniques dans les systèmes informatiques pour empêcher la modification ou la disparition des données ;
• de mettre en place des profils d’habilitation pour empêcher l’accès illégitime aux données ;
• d’établir un référentiel de sécurité incluant notamment : une charte dédiée à l’encadrement de l’utilisation des systèmes d’information de l’entreprise ; le déclenchement régulier et l’analyse de tests d’intrusion ; la mise en place de clauses contractuelles contraignantes imposant entre autres une procédure d’audit dans les contrats de sous-traitance ; la sensibilisation du personnel aux enjeux de sécurité et de confidentialité des données (sessions de formation, rédaction de notes de services, de livres blancs et autres communications internes à l’entreprise) ; une politique de gestion des incidents liés aux systèmes d’information ; une politique d’habilitation ; une politique d’archivage et de conservation des données.

Il est précisé que la CNIL a décidé d’accompagner les responsables de traitement dans la mise en place du principe de « Privacy by design » en publiant en juillet 2015 une version révisée de son guide sur la gestion des risques. Dans ce document, elle préconise d’employer la méthodologie EBIOS permettant d’assurer la sécurité de l’information.

II) Privacy by default (Protection de la vie privée par défaut)

Ce principe est intimement lié au précédent puisqu’il en est la continuité logique. Il vise, en effet, à permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible, à l’instar du principe de « Privacy by design ». Toutefois, si ce dernier vise l’encadrement du traitement on peut dire que le principe de « Privacy by default » concerne plus spécifiquement le traitement lui-même. A ce titre, l’article 25 du règlement prévoit que le responsable de traitement doit mettre en place des mécanismes visant à garantir, par défaut, que :

• seules sont traitées les données nécessaires à chaque finalité du traitement (principe de minimisation) ;
• les données ne sont pas conservées au-delà du minimum nécessaire à ces finalités ;
• les données ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

Conseils : pour se conformer à ce principe il convient de mettre en place lors de chaque collecte de données à caractère personnel, le plus haut niveau de confidentialité des données collectées au niveau du recueil de consentement de la personne concernée, ce qui se matérialise par :

• la mise en place d’un mécanisme d’obtention du consentement pour chaque traitement effectué ;
• la mise en place d’un mécanisme de recueil du consentement pour chaque destinataire des données.
• la mise en place d’un mécanisme du recueil du consentement pour chaque finalité ;

Pour l’application de ce principe, il convient également de mettre en place :

• des profils d’habilitation pour l’accès aux données ;
• un processus de destruction automatique et systématique des données une fois leur finalité épuisée.