De nouvelles règles s’imposent aux entreprises en matière de protection des données personnelles, en application du « Règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – RGPD) ».
Ce règlement s’applique aussi aux TPE, PME, aux professions libérales…
Il renforce les obligations pré-existantes, et en crée de nouvelles, très techniques et formulées en des termes qui peuvent dérouter.
Il convient de se conformer au RGPD avant le 25 mai 2018.
De nombreux questionnements sont encore posés par le texte.
Malgré la proximité de cette échéance, certaines notions sont loin d’être claires et de l’aveu même des spécialistes, une période de rodage sera nécessaire.
Divers ouvrages ou documents circulent quant à l’application du RGPD.
Certaines entreprises seront plus concernées que d’autres par telle ou telle obligation.
En cas de doute sur l’application d’une obligation à l’entreprise, la tentation est grande « d’ouvrir le parapluie », et de s’y conformer, pour éviter toute sanction. Néanmoins certaines contraintes peuvent induire un coût important. D’où le rôle de l’avocat…
La présente note ne se veut pas exhaustive ; elle constitue un simple document de sensibilisation qui ne dispense pas de consulter, pour adapter la conformité de votre entreprise au RGPD.
Il convient de prendre en compte l’absence de recul des professionnels sur le texte, et le fait que certaines notions feront nécessairement l’objet d’une interprétation jurisprudentielle.
Outre les règles européennes, les obligations spécifiques imposées par la loi française sont également à prendre en compte.
Cette obligation ne s’applique pas aux entreprises de moins de 250 salariés, sauf exceptions, parmi lesquelles les cas où le traitement de données crée un risque pour les droits et libertés des personnes.
Compte tenu de la définition très large du traitement de données, nombre d’entreprises devront mettre en place le registre des traitements, sous peine de s’exposer à des sanctions pénales et de ne pouvoir répondre au principe dit « d’accountability » (sic).
Ce principe que l’on traduit par « principe de responsabilité » ou « obligation de rendre compte » signifie qu’il appartient à l’entreprise de prouver, par des documents, qu’elle respecte les obligations du RGPD et qu’elle a mis en place les dispositifs nécessaires.
La CNIL a mis en place un modèle de registre des traitements téléchargeable.
Autant en profiter : en France, la CNIL est précisément, l’autorité de contrôle.
La page d’explications :
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
Le lien direct :
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
Un exemple de fiche de registre a également été mis en place :
https://www.cnil.fr/sites/default/files/typo/document/20140922-MOD-FICHE_REGISTRE-VD.pdf
Parmi les fiches de registre à que votre entreprise pourrait être amenée à conserver on peut citer, par exemple :
– celles qui concernent les données liées aux ressources humaines de l’entreprise : identité et coordonnées du responsable de traitement de ces données (cela peut être l’entrepreneur lui-même), finalités, catégories de personnes concernées, de données à caractère personnel, de destinataires, existence de transferts vers un pays tiers ou vers une organisation internationale, délais d’effacement prévus, description des mesures de sécurité correspondant à ces données ;
– celles qui concernent les données des clients ;
– celles qui concernant les données de vidéo-surveillance, s’il y a lieu…
En vertu de l’article 33 du RGPD, « le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
Le formulaire de notification destiné à la CNIL est téléchargeable via le lien qui suit :
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Ces conseils s’inscrivent dans le cadre des principes généraux du RGPD et des obligations applicables à diverses professions (obligation de confidentialité notamment) :
Le terme de « sous-traitant » est à considérer au sens large.
C’est celui qui traite des données à caractère personnel pour le compte du responsable de traitement (voir l’article 4 du RGPD pour la définition exacte) : parmi les co-contractants de l’entreprise, on peut citer les experts-comptables, comptables, prestataires informatiques, et tous autres prestataires qui d’une façon ou d’une autre, auront accès à tout ou partie de vos données dans le cadre de la mission que vous leur confiez.
Il convient de leur demander de justifier des mesures prises pour respecter le RGPD.
Et de vérifier et exiger que les contrats vous liant à vos prestataires contiennent un certain nombre de clauses.
Il sera notamment possible de s’inspirer de l’article 28, alinéa 3 du RGPD :
« Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:
a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
c) prend toutes les mesures requises en vertu de l’article 32;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;
e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;
g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données. »
La CNIL propose des clauses-type :
https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
En application du RGPD, un certain nombre de contrats ou de documents paraissent devoir être modifiés ou créés, pour respecter les obligations d’information préalables et recueillir le consentement des personnes dont les données sont recueillies. Ou encore pour permettre l’exercice, par le client, le salarié, ou toute autre personne concernée, des droits que lui offre le RGPD (effacement des données, accès).
La CNIL propose un nombre important de modèles de clauses :
https://www.cnil.fr/fr/modeles/mention
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne
https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
L’article 13 du RGPD intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée » donne la liste des éléments que l’entreprise est amenée à fournir ; il appartient à l’entreprise de les mentionner, par exemple sous forme de liste, dans ses contrats et autres documents :
– identité et coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
– les coordonnées du délégué à la protection des données (s’il en a été nommé, voir ci-dessous) ;
– finalités du traitement auquel sont destinées les données à caractère personnel et base juridique du traitement;
– lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
– les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent;
– le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
– la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
– l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;
– lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
– le droit d’introduire une réclamation auprès d’une autorité de contrôle;
– des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
– l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
L’analyse d’impact est connue soit sous son nom français, soit sous le barbarisme DPIA (Data Protection Impact Assessment).
Elle est conseillée en ce qu’elle permet de déterminer les besoins de l’entreprise, le plan d’action à mettre en oeuvre.
Mais est-elle obligatoire ?
Selon l’article 35 du RGPD :
«
L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:
« a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
c) la surveillance systématique à grande échelle d’une zone accessible au public. »
Une incertitude peut exister sur la question de savoir si la nature de l’activité de l’entreprise est susceptible, pour reprendre l’article 35 « compte tenu de la nature, de la portée, du contexte et des finalités du traitement » d’engendrer « un risque élevé pour les droits et libertés des personnes physiques » ?
Le G29, le groupement des « CNIL européennes » a donné des exemples de « traitement à grande échelle » (source https://www.cnil.fr/fr/reglement-europeen/lignes-directrices):
«
– traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses
activités;
– traitement des données de voyage des passagers utilisant un moyen de transport public urbain
(par exemple, suivi par les titres de transport);
– traitement des données de géolocalisation en temps réel des clients d’une chaîne internationale
de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de
ces services;
– traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre
du déroulement normal de ses activités;
– traitement des données à caractère personnel par un moteur de recherche à des fins de publicité
comportementale;
– traitement des données (contenu, trafic, localisation) par des fournisseurs de services de
téléphonie ou internet.
Exemples ne constituant pas un traitement à grande échelle:
– traitement, par un médecin exerçant à titre individuel, des données de ses patients;
– traitement des données à caractère personnel relatives aux condamnations pénales et aux
infractions par un avocat exerçant à titre individuel. »
Sur le plan strictement juridique, on pourrait considérer qu’il existe une incertitude et donc un risque qu’il appartient à chacun de peser.
La CNIL a mis en place un logiciel permettant aux entreprises de procéder à l’analyse d’impact relative à la protection des données.
Les explications relatives à l’utilisation de ce logiciel sont disponibles ici :
https://www.cnil.fr/fr/nouveautes-sur-le-pia-guides-outil-piaf-etude-de-cas
Le logiciel est téléchargeable ici (pour télécharger sur un PC, choisir la « version portable ») :
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Selon le RGPD, le délégué à la protection des données (distinct du responsable de traitement) est obligatoire pour les responsables des traitement suivants :
«
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »
Là encore, un travail d’interprétation devra être effectué.
La fonction de délégué à la protection des données est encadrée par des critères de qualification.
Il peut d’agir entre autres, d’un salarié de l’entreprise.
LIPSOS | AVOCAT