Non classé

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018, apporte de nouveaux éléments substantiels relatifs à l’obligation d’information du responsable de traitement de données à caractère personnel. Je vais ici m’employer à relater ces modifications et donner des conseils pour s’y adapter et bien les faire appliquer.

Le règlement consacre trois articles à l’obligation d’information du responsable de traitement (article 12 à 14) tandis que la loi informatique et libertés n’en comprend qu’un (article 32). Le premier de ces articles, l’article 12, impose que les informations communiquées aux personnes dont les données sont collectées le soient d’une façon concise, transparente et intelligible.

Cette disposition nécessite de s’y attarder car elle ne figurait pas dans la loi informatique et libertés. Les rédacteurs du règlement ont ici tenu à mettre en garde les professionnels contre des formulations obscures qui tenteraient de relater les informations exigées par le règlement sans en faire comprendre leur portée aux personnes concernées. Le règlement précise ainsi que si la personne concernée est un enfant, celui-ci doit être à même de comprendre les informations communiquées par le responsable de traitement.

Cette précision étant faite, il faut dès à présent relever que le règlement fait une distinction entre la collecte directe (article 13) et la collecte indirecte (article 14) de données à caractère personnel que la loi informatique et libertés distinguait uniquement, jusqu’ici, pour la communication des informations.

Dans cet article nous allons donc successivement étudier ce que prévoit le règlement pour la collecte directe de données à caractère personnel (I) et la collecte indirecte (II).

I) La collecte directe de données à caractère personnel

Il s’agit ici de l’hypothèse où le responsable de traitement recueille directement, ou par l’intermédiaire d’un sous-traitant, les données à caractère personnel auprès d’une personne physique.

Actuellement l’article 32 de loi informatique et libertés prévoit que le responsable de traitement doit informer la personne dont les données sont collectées :

• de l’identité du responsable de traitement ;
• des finalités ;
• du caractère facultatif ou obligatoire des réponses ;
• des destinataires ;
• des droits reconnus à la personne ;
• des éventuels transferts de données hors UE.

Désormais concernant la collecte directe, l’article 13 prévoit que le responsable de traitement doit informer la personne concernée des éléments évoqués ci-dessus, auxquels s’ajoutent également les éléments suivants :

• la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
• les coordonnées du responsable de traitement ;
• les coordonnées du délégué à la protection des données s’il y en a un ;
• la possibilité de saisir la CNIL ;
• l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
• si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
• les finalités nouvelles si un traitement ultérieur est prévu.

Enfin, sur le moment de communication de l’information, l’article 32 de la loi informatique et libertés prévoit que la personne dont les données à caractère personnel sont traitées peut être informée au moment de la collecte des données ou préalablement. A présent, le règlement est plus strict car il impose que la personne soit obligatoirement informée au moment de la collecte de ses données. Dès lors, une information préalable ne serait plus suffisante comme le permettait la loi informatique et libertés.

Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de modifier leurs mentions d’information informatique et libertés figurant sur leurs conditions générales ou tout autre type de documents pour y ajouter les mentions d’information suivantes quant au traitement effectué :

• la durée de conservation ou en cas d’impossibilité les critères permettant de la déterminer ;
• les coordonnées du responsable de traitement ;
• les coordonnées du délégué à la protection des données s’il y en a un ;
• la possibilité de saisir la CNIL ;
• l’existence d’une décision automatisée comprenant un profilage et la logique de celle-ci ;
• si le traitement se fonde sur l’intérêt légitime du responsable de traitement pour passer outre le consentement du client, la définition de l’intérêt légitime ;
• les finalités nouvelles si un traitement ultérieur est prévu.

II) La collecte indirecte de données à caractère personnel

Il s’agit ici de l’hypothèse pour laquelle les données ne sont pas recueillies immédiatement auprès de la personne concernée mais sont acquises auprès d’un autre professionnel, comme par exemple dans le cas du rachat d’un fichier de prospection ou d’une base de données.

Actuellement l’article 32 de loi informatique et libertés prévoit l’obligation, pour le responsable de traitement ayant acquis des données à caractère personnel de manière indirecte, de communiquer à la personne concernée les mêmes informations que celles communiquées dans le cadre d’une collecte directe. Cette information doit s’effectuer dès l’acquisition des données ou au plus tard lors de la première communication à un destinataire ou à la personne concernée.

Désormais, l’article 14 du règlement prévoit que le responsable de traitement doit informer la personne concernée de l’ensemble des éléments prévus à l’article 13, auxquels s’ajoutent également :

• les catégories de données concernées par la collecte indirecte ;
• la source des données collectées y compris si elles sont issues d’une source accessible au public ;
• en cas de nouvelle finalité, les informations relatives à celle-ci.

Concernant le délai de transmission de ces informations à la personne concernée, le règlement prévoit que celui-ci ne doit pas dépasser un mois ou être effectué au plus tard lors de la première prise de contact avec les personnes concernées si les données sont utilisées à cet effet.

Il est toutefois fait exception à cette obligation d’information lorsque :

• la personne dispose déjà des informations ;
• la fourniture des informations est impossible ou disproportionnée ;
• l’obtention ou la communication des informations résulte d’une disposition législative ou communautaire impérative ;
• les données doivent restées confidentielles en vertu du respect du secret professionnel d’une profession réglementée.

Conseils : pour se conformer à ces nouvelles obligations, il convient pour les professionnels agissant en tant que responsable de traitement de s’assurer que l’ensemble des éléments prévus à l’article 13 ont bien été portés à l’attention des personnes concernées ainsi que d’informer celles-ci, via un mail général d’information par exemple, sur :

• la catégorie de données qui a été collecté indirectement ;
• les éventuels changements de finalités ;
• la source des données ;
• les autres éventuels changements.

Le règlement induit, dès lors, un changement dans la démarche du responsable de traitement. Tandis qu’actuellement celui-ci se cantonne à effectuer les formalités nécessaires pour pouvoir réaliser son traitement, à l’avenir ces dernières ne seront plus à sa charge. Toutefois, les obligations incombant au responsable de traitement n’en seront pas pour autant amoindries ; au contraire celles-ci seront alourdies. Il devra en effet se montrer proactif dans l’établissement de mesures techniques et organisationnelles permettant d’assurer le respect de la règlementation.

Des justificatifs de la mise en place de telles mesures pourront être demandés par la CNIL. S’agissant des mesures en question, le règlement européen introduit les concepts de « privacy by design » et « privacy by default » en son article 23.

Que recoupent donc ces deux concepts qui ne sont pas réellement si nouveaux ?

I) Privacy by design (protection de la vie privée dès la conception)

Le terme est apparu dans les années 1990 et s’est développé selon l’idée que le respect de la vie privée devait être pris en compte dès la conception d’un projet numérique. Cela implique de prendre en compte, dès la conception de projets numériques destinés à traiter des données personnelles, les exigences en matière de protection de la vie privée et les intégrer aux systèmes informatiques, infrastructures des réseaux et pratiques de l’entreprise. La protection de la vie privée dès la conception doit donc se traduire par des mesures techniques concernant les systèmes et infrastructures conçus mais également organisationnelles concernant les pratiques de l’entreprise en matière de traitement de données. L’article 25, alinéa 1 du règlement dispose, en effet : « Compte tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. »

L’article apporte toutefois une limitation intéressante à cette obligation de protection de la vie privée dès la conception, puisqu’il ne s’agit vraisemblablement que d’une obligation de moyens. En effet, la protection de la vie privée dès la conception est appréciée à la lumière des technologies disponibles et du coût de leur mise en œuvre.

La préposée à la protection des données de l’Etat d’Ontario au Canada, Ann Cavoukian, explique que le concept de « Privacy by Design » repose sur sept principes fondamentaux.

1. Il faut prendre des mesures proactives et non réactives. Cela signifie qu’il ne faut pas attendre que les risques se produisent pour proposer des solutions. La « Privacy by Design » n’offre d’ailleurs aucune mesure corrective en cas d’incident.
2. Il faut assurer une protection implicite de la vie privée, ce qui signifie que la protection de la vie privée doit être systématiquement maximale. Elle n’est donc pas optionnelle et ne doit pas nécessiter l’intervention de l’utilisateur mais être directement intégrée au système.
3. Il faut intégrer la protection de la vie privée dans la conception des systèmes et des pratiques, ce qui implique de l’incorporer dans la conception et l’architecture des systèmes informatiques mais aussi dans les pratiques et la stratégie organisationnelle de l’entreprise.
4. Il faut assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle, ce qui implique que le responsable de traitement ne doit pas créer de fausses oppositions entre certains objectifs qui ne s’opposent pas mais sont complémentaires, tels que la sécurité et la protection de la vie privée. La protection de la vie privée doit être envisagée par la responsable de traitement comme une valeur ajoutée à sa technologie et non comme un frein au développement de son activité commerciale.
5. Il faut assurer la sécurité de bout en bout pendant toute la période de conservation des renseignements. Ceci implique que les mesures de protection de la vie privée mises en place dans le système informatique dès sa conception, persistent de manière sécurisée durant toute la période de conservation des données.
6. Il faut assurer la visibilité et la transparence du système pour les utilisateurs. A ce titre, pour vérifier que celui-ci est conforme à la protection de la vie privée intégrée, une vérification indépendante est nécessaire pour instaurer un climat de confiance entre le responsable de traitement et les personnes dont les données sont traitées.
7. Il faut assurer le respect de la vie privée des utilisateurs. Ce principe est relié aux six précédents et impose aux concepteurs de projets numériques de mettre l’intérêt des utilisateurs particuliers au centre de leurs préoccupations en prévoyant notamment, et ainsi qu’il l’a déjà été évoqué ci-dessus, la mise en place de mesures implicites de protection de la vie privée ainsi que des fonctions habilitantes axées sur les utilisateurs.

Conseils : pour se conformer à ce principe, il convient au sein de la direction de l’entreprise de s’engager réellement dans la prévention des atteintes à la vie privée. Plus particulièrement, il convient notamment :

• d’identifier le contexte particulier aux traitements mis en œuvre par le projet ;
• de mettre en place des mesures techniques dans les systèmes informatiques pour empêcher la modification ou la disparition des données ;
• de mettre en place des profils d’habilitation pour empêcher l’accès illégitime aux données ;
• d’établir un référentiel de sécurité incluant notamment : une charte dédiée à l’encadrement de l’utilisation des systèmes d’information de l’entreprise ; le déclenchement régulier et l’analyse de tests d’intrusion ; la mise en place de clauses contractuelles contraignantes imposant entre autres une procédure d’audit dans les contrats de sous-traitance ; la sensibilisation du personnel aux enjeux de sécurité et de confidentialité des données (sessions de formation, rédaction de notes de services, de livres blancs et autres communications internes à l’entreprise) ; une politique de gestion des incidents liés aux systèmes d’information ; une politique d’habilitation ; une politique d’archivage et de conservation des données.

Il est précisé que la CNIL a décidé d’accompagner les responsables de traitement dans la mise en place du principe de « Privacy by design » en publiant en juillet 2015 une version révisée de son guide sur la gestion des risques. Dans ce document, elle préconise d’employer la méthodologie EBIOS permettant d’assurer la sécurité de l’information.

II) Privacy by default (Protection de la vie privée par défaut)

Ce principe est intimement lié au précédent puisqu’il en est la continuité logique. Il vise, en effet, à permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible, à l’instar du principe de « Privacy by design ». Toutefois, si ce dernier vise l’encadrement du traitement on peut dire que le principe de « Privacy by default » concerne plus spécifiquement le traitement lui-même. A ce titre, l’article 25 du règlement prévoit que le responsable de traitement doit mettre en place des mécanismes visant à garantir, par défaut, que :

• seules sont traitées les données nécessaires à chaque finalité du traitement (principe de minimisation) ;
• les données ne sont pas conservées au-delà du minimum nécessaire à ces finalités ;
• les données ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

Conseils : pour se conformer à ce principe il convient de mettre en place lors de chaque collecte de données à caractère personnel, le plus haut niveau de confidentialité des données collectées au niveau du recueil de consentement de la personne concernée, ce qui se matérialise par :

• la mise en place d’un mécanisme d’obtention du consentement pour chaque traitement effectué ;
• la mise en place d’un mécanisme de recueil du consentement pour chaque destinataire des données.
• la mise en place d’un mécanisme du recueil du consentement pour chaque finalité ;

Pour l’application de ce principe, il convient également de mettre en place :

• des profils d’habilitation pour l’accès aux données ;
• un processus de destruction automatique et systématique des données une fois leur finalité épuisée.