Le nouveau règlement (UE) du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la Directive 95/46/CE (règlement général sur la protection des données), entre en application le 25 mai 2018.
Ce nouveau texte est directement applicable dans l’ensemble de l’Union sans nécessité de transposition ; dès lors, les traitements déjà mis en œuvre doivent rapidement être mis en conformité avec le règlement, pour l’échéance du 25 mai 2018, ce qui nécessite pour de nombreuses entreprises des adaptations techniques et juridiques.
En effet, le champ d’application du nouveau règlement est très étendu et ses dispositions modifient profondément la matière, jusqu’ici régie par des dispositions nationales dans chaque pays de l’Union, prises en application de la Directive 95/46/CE.
1 – Champ d’application
Le règlement s’appliquera aux responsables de traitement et aux sous-traitants situés sur le territoire de l’Union Européenne, mais aussi à ceux qui sont situés en dehors de ce territoire dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens et des services aux résidents ou à les « cibler ». En bref, le règlement s’appliquera à tout traitement de données personnelles de personnes physiques localisées dans l’Union Européenne, même si celui qui effectue le traitement n’est pas lui-même localisé sur ce territoire.
Rappelons à cet égard que la notion de traitement s’entend de toute opération appliquée à des données personnelles (collecte, enregistrement, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, effacement, destruction, etc…).
La notion de données personnelles couvre quant à elle toute information concernant une personne physique identifiée ou identifiable, soit par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, soit par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Le responsable de traitement s’entend de toute personne physique ou morale qui détermine les finalités ou les moyens du traitement ; c’est le « propriétaire » des données concernant ses clients ou ses salariés.
Quant au sous-traitant, il s’agit de la personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement (ex. prestataire, hébergeur, …), sachant que la situation du sous-traitant peut être requalifiée s’il s’avère qu’en réalité, il agit en tant que responsable de traitement.
2 – Règles nouvelles
S’agissant des règles nouvelles, le texte vise à renforcer les droits des personnes physiques dont les données sont exploitées, à responsabiliser les acteurs traitant les données personnelles et à renforcer la coopération entre les autorités nationales de protection des données (en France, la CNIL), sous l’autorité d’un chef de file, le Comité Européen de la Protection des Données (CEPD).
Sans entrer dans les multiples détails de ce règlement, on peut d’ores et déjà noter que :
- celui-ci instaure une protection particulière à l’égard de certaines données : les données dites sensibles (originale raciale ou ethnique, opinion politique ou appartenance syndicale, conviction religieuse ou philosophique, données biométriques aux fins d’identifier une personne physique de manière unique, données génétiques, données concernant la santé, données concernant la vie sexuelle ou l’orientation sexuelle), les données pénales et les données des mineurs ;
- les traitements dits à grande échelle, qui sont susceptibles de présenter des risques pour les droits et libertés des personnes, font l’objet d’une procédure de consultation préalable et obligatoire de la CNIL ; pour tous ces traitements à risque, le responsable de traitement devra conduire une étude d’impact complète ; il s’agit ici notamment des traitements de données sensibles (cf. ci-dessus) ou reposant sur l’évaluation systématique et approfondie d’aspects personnels, y compris le profilage, ou instaurant une surveillance systématique à grande échelle d’une zone accessible au public ;
- certains traitements nécessiteront le consentement préalable et obligatoire des personnes physiques ; la notion de consentement fait l’objet d’une nouvelle définition : il devra s’agir d’une déclaration ou d’un acte positif explicite ; ce consentement pourra être retiré par l’intéressé à tout moment ; en tout état de cause, les personnes disposeront également d’un droit d’opposition, à tout moment, gratuit et sans justification, à prospection et profilage ;
- pour être licites, les traitements devront répondre à un ensemble de critères quant à leurs modalités de fonctionnement (traitement licite, loyal et transparent), à leurs finalités (déterminées, explicites et légitimes), à la nature des données traitées (adéquates, pertinentes et limitées par la finalité déclarée), à l’exactitude et à la mise à jour des données, à la durée de conservation des données et aux garanties de sécurité ;
- le responsable de traitement sera assujetti à une obligation d’information récurrente vis-à-vis de toute personne physique concernée par le traitement, portant outre sur les données traitées, sur les bases juridiques, les modalités et les finalités de ce traitement, ainsi que sur les droits de cette personne (accès, rectification, oubli, limitation, portabilité, opposition) ;
- le responsable de traitement sera également tenu d’assurer la sécurisation des données traitées par toutes mesures appropriées ; il devra remédier techniquement à toute faille ou fuite et notifier la CNIL et la personne concernée en cas d’incident ;
- le responsable de traitement devra également documenter soigneusement ses activités de traitement, vérifier la conformité de ses différents contrats au règlement, tenir dans certains cas un registre spécial des activités de traitement ;
- il aura selon le cas la possibilité ou l’obligation de recourir à un DPO (Data Protection Officer), qui l’informera et le conseillera, surveillera les activités de traitement et coopérera avec la CNIL (en bref, qui contrôlera la bonne application du règlement dans l’entreprise) ;
- l’activité de traitement de données pourra faire l’objet d’une certification ; les acteurs du traitement pourront aussi adhérer à des codes de conduite ;
- les transferts de données hors de l’Union Européenne seront particulièrement surveillés ;
- en tout état de cause, la CNIL disposera d’un pouvoir d’enquête, d’injonction et de sanction ; les sanctions les plus fortes seront très élevées, puisque l’amende administrative pourra aller dans certains cas jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial de l’entreprise.
En conclusion, alors que la Directive 95/46/CE reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisation), le nouveau règlement repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.
Les responsables de traitement et les sous-traitants devront en effet mettre en place les organisations, procédures et mesures de protection appropriées et pouvoir démontrer cette conformité à tout moment.
Dans cette perspective, il est vivement conseillé d’entamer si ce n’est déjà fait une démarche de mise en conformité en prévision de l’échéance du 25 mai 2018, sachant que sont concernés, à titre d’exemple, tous les fichiers clients, prospects, fournisseurs ou RH exploités en entreprise.
A cet effet, la CNIL a publié une recommandation qui prévoit les étapes suivantes :
- désigner un pilote, pour piloter la gouvernance des données personnelles de la structure ;
- recenser les traitements de données personnelles effectués dans la structure, élaborer un registre des traitements ;
- prioriser les actions à mener au regard des risques que font peser les traitements recensés sur les droits et libertés des personnes concernées, et ce bien entendu au regard des critères posés par le règlement ;
- gérer les risques en effectuant le cas échéant une analyse d’impact sur la protection des données ;
- organiser les processus internes qui garantiront la prise en compte de la protection des données à tout moment en prenant en compte l’ensemble des évènements qui pourront survenir au cours de la vie d’un traitement (ex. : failles de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire) ;
- documenter la mise en conformité pour prouver la conformité au règlement.
Même si on peut espérer que la CNIL accordera de facto un délai de grâce aux plus petites entreprises pour se mettre en conformité avec le règlement, il faudra pouvoir justifier si besoin que des démarches ont été entreprises et pouvoir les documenter.
Pour information, il se dit que la CNIL a d’ores et déjà prévu d’embaucher 200 collaborateurs supplémentaires pour gérer sa nouvelle mission.
A noter que les dispositions du RGPD seront bientôt complétées par un nouveau Règlement E-privacy, actuellement en préparation, qui concernera plus spécifiquement toutes les communications électroniques, et qui s’articulera avec le RGPD.
Jean Marie MOIROUX