Protection des données

« Vigilance face aux “données interdites” », il est à noter que ce terme n’existe pas dans la réglementation.

On peut collecter quasiment toutes les données qu’on veut dès lors qu’on respecte des cadres de protection : 

• la proportionnalité, 
• la sécurité, et
• la durée de conservation.

Les données sensibles, les données d’infraction et le numéro de sécurité sociale, doivent être un critère d’alerte.

Il faut vérifier dans quelles conditions il est possible de collecter ces informations.

1.1.1 Données sensibles

Les données sensibles sont relatives :

– à l’origine raciale ou ethnique,

– aux opinions politiques,

– aux convictions religieuses ou philosophiques, 

– à l’appartenance syndicale, 

– aux données génétiques,

– aux données biométriques,

– à la santé, 

– à la vie sexuelle ou à l’orientation sexuelle. 

La collecte de ce type d’information est par principe interdite.

Conséquemment d’un point de vue juridique, l’information sur le niveau de revenu d’une personne n’est donc pas une donnée sensible.

En faisant du marketing par exemple, la mise en place d’une campagne marketing « ethnique » pour la vente de produits de beauté adaptés à des typologies particulières de peau serait interdite, si on entre dans un système de classification ethno-raciale des clients ou des prospects. 

Si un assureur, veut poser un certain nombre de questions à ses clients, concernant leur état de santé pour l’octroi d’une police d’assurance, ce serait interdit par principe.

Cependant pour  certains domaines d’activités, certaines lois font offices d’exception pour certains secteur d’activités tout en instaurant des règles particulières à respecter. 

En résumé, il faut retenir que par principe, la collecte de ces informations dites “sensibles” est interdite.

Exceptions:

1. Lorsqu’une loi permet de collecter ces informations. 

En effet, pour certains secteurs d’activités, un texte particulier autorise la collecte de données sensibles.

1. Le RGPD a prévue une liste des cas où la collecte de données sensibles est autorisée. L’exception principale est le recueil du consentement.

1.1.2 Infractions pénales

La collecte des informations sur des condamnations pénales ou des informations relatives à des qualifications pénales est interdite.

L’article 10 du règlement européen prévoit cette deuxième catégorie d’information dont la collecte est interdite, les données d’infraction.

Cet article prévoit que les traitements de données relatives aux condamnations pénales et aux infractions ne peuvent être effectués que sous le contrôle de l’autorité publique.

En résumé il est interdit d’enregistrer des informations sur des qualifications pénales, c’est-à-dire des informations sur des infractions listées par le Code pénal ,comme par exemple une escroquerie, un vol, une agression sexuelle.

Sur le plan pratique, un responsable RH qui a été informé qu’un salarié aurait agressé sexuellement un collègue ne peut enregistrer cette information, c’est strictement interdit.

Ce que prévoit le règlement européen, c’est que seule une autorité publique, notamment l’autorité judiciaire, peut enregistrer ce type d’information.

Si, par exemple, en faisant des audits sur des zones de commentaires libres, des zones de bloc-notes, on s’aperçoit que des opérateurs enregistrent des informations de cette nature, il faut les supprimer immédiatement.

Là où il peut y avoir une limite, c’est sur la gestion de la fraude et la gestion des risques.
Beaucoup d’entreprises sont, en effet, intéressées de faire des recherches d’antériorité sur certains de leurs clients ou de garder, plus largement, la trace de tentatives d’escroquerie.
La banque par exemple, aimerait pouvoir se protéger contre certains types de pratique comme celle d’ouvrir un compte bancaire avec de faux documents d’identité.

En conséquence, mettre en place des traitements de lutte contre la fraude est légal, mais dans l’organisation du traitement, il faudra veiller à ne pas enregistrer des informations de nature pénale.

Cela revient à marquer « incohérence » dans un traitement plutôt que d’enregistrer « tentative d’escroquerie ». Là, on n’est plus dans une qualification pénale.

Dernière exception, la « gestion du contentieux », cela signifie la mise en place d’un fichier pour son propre contentieux. 

C’est le cas par exemple pour un chef d’entreprise qui a déposé une plainte contre un salarié, contre un client ou un tiers; dans le cadre limitatif de cette procédure judiciaire dont il est à l’origine ou à laquelle il serait attrait, il a le droit de mettre en place un fichier.

1.1.3 Numéro de sécurité sociale

Dernière exception, dernière information sensible, le numéro de sécurité sociale.

En France, toute personne est identifiée dès sa naissance par son numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Le NIR, est communément dénommé « numéro INSEE » ou « numéro de sécurité sociale ».

Le règlement européen prévoit que le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu de ce règlement.

Dans l’ancienne loi informatique et libertés, il était prévu qu’il n’était pas possible de collecter le numéro de sécurité sociale, sauf lorsqu’une disposition législative ou réglementaire vous autorise à le faire.
C’était un élément très fort de l’ancienne réglementation informatique et libertés, parce qu’en 1978, quand on a adopté la loi informatique et libertés, on l’a fait au motif, notamment, des risques d’interconnexion de fichiers, dans le secteur public, avec le numéro de sécurité sociale.
Donc historiquement, cette information a toujours été considérée comme particulièrement sensible.
Et jusqu’à aujourd’hui, le principe, est qu’on ne peut collecter et traiter le numéro de sécurité sociale, que lorsqu’un texte législatif ou réglementaire vous permet de le faire.

Si un employeur, mettait en place un système de paie, des dispositions l’autorisent à collecter le numéro de sécurité sociale; mais il ne peut pas utiliser ce numéro pour d’autres fins, par exemple, l’utiliser comme identifiant général du salarié dans ses bases.

1.1.4 Collecte et sécurité

Pour toutes ces hypothèses de collecte un peu sensible d’informations, lorsque vous êtes dans les exceptions et qu’il est possible de collecter, évidemment, il faudra mettre en place des mesures de protection adaptées qui passeront par :

• une information renforcée des personnes, voire un recueil du consentement;
• un rôle important du délégué à la protection des données qui va devoir vérifier les modalités de mise en œuvre pratique du traitement;
• la mise en place d’un PIA, une étude d’impact, et la rédaction de rapports d’audit; et enfin,
• la mise en place de mesures particulières pour assurer la sécurité informatique des données et pour former et sensibiliser le personnel aux enjeux.

En d’autres termes, si vous êtes dans les exceptions qui vous permettent, dans certains cas, de collecter des données sensibles, évidemment, derrière, il faudra particulièrement aménager les conditions de collecte et de traitement de ces données.

Histoire de la réglementation

La réglementation informatique et libertés a été adoptée en France le 6 janvier 1978.
Elle a ensuite été modifiée en octobre 1995, à la faveur d’une première directive européenne adoptée à l’époque.
Et enfin, elle a été modifiée tout récemment pour être applicable en France en 2018, c’est le fameux RGPD, le Règlement général sur la protection des données.

Pourquoi est-ce qu’en 1978, le législateur français, très précurseur, a adopté une réglementation en matière de protection des données ?

Pour deux raisons, la première est une question purement technique, c’est l’époque, les années 1970, où on passe de la mécanographie à l’informatique, c’est la découverte de l’informatique.

Jusqu’à présent, le fichage se faisait par de très grosses machines, mécanographiques, ce sont des fiches perforées compliquées à utiliser, volumineuses; et on passe à l’informatique, qui à l’époque est plutôt volumineuse, mais on est dans un progrès important de l’exploitation d’informations et dans une capacité à utiliser les données beaucoup plus forte.

À cette évolution technologique, s’adjoint une préoccupation éthique. Puisqu’on peut mettre en place des fichiers, que va-t-on faire avec ?
Cette question s’était posée notamment pour les administrations en France.
Un fameux article publié dans le journal « Le Monde », avec un intitulé important : « ‘Safari’ ou la chasse aux Français », a donné lieu à une prise de conscience.

C’était en 1974, quand le ministère de l’Intérieur a voulu mettre en place un super-fichier qui allait collecter et interconnecter des données en provenance des organismes de sécurité sociale, du Trésor Public et de la police.
On s’est demandé : jusqu’où peut-on aller dans le fichage des citoyens et quels ne sont pas les risques de dérive ?

À l’époque, on était beaucoup dans le contexte de l’après-guerre, dans le souvenir qu’on avait de fichages ethniques, qui avaient pu être réalisés en France, et surtout à l’étranger. C’est de cela que part la réglementation informatique et libertés.

Entre les années 1970 et 1990, plusieurs phénomènes vont arriver.

D’abord, il y a la marchandisation des données.
C’est l’idée que les données personnelles acquièrent une valeur marchande et qu’au-delà des administrations, qui dans les années 1970, ont commencé à créer des fichiers, les entreprises ont aussi commencé à collecter de la donnée personnelle dans des fichiers client et des fichiers de marketing.

Très vite, ces entreprises ont compris la valeur marchande que représentaient ces bases de données, et quelles étaient les potentialités d’utilisation qu’on pouvait en faire.
Il y a eu un nouvel enjeu qui était de protéger les personnes vis-à-vis du commerce, des entreprises privées.

Un 2e élément, c’est la traçabilité, c’est-à-dire le développement des technologies qui fait qu’au quotidien, on va laisser des traces informatiques.
Je paie par carte bancaire, j’utilise un passe dans le métro ou le bus pour y accéder, je laisse des traces de mes déplacements. Cela génère des risques en matière de protection de la vie privée.

Du coup, la directive du 24 octobre 1995 est venue poser des règles nouvelles en matière de protection des personnes, et en particulier vis-à-vis du secteur privé, des entreprises. Cela s’est traduit en France par une transposition le 6 août 2004; la loi informatique et libertés a été modifiée.

Elle a notamment renforcé les obligations des entreprises, en fixant dans certains cas des régimes d’autorisation préalable ou en permettant à la CNIL, la Commission nationale de l’informatique et des libertés, de prononcer des sanctions pécuniaires.
On en vient aux enjeux les plus récents en matière de protection des données, ceux qui ont conduit à l’adoption du règlement européen en 2016.

Présentation de la réglementation

La loi informatique et libertés existe depuis 1978 maintenant, mais avec le RGPD, le Règlement général sur la protection des données modifie complètement le cadre juridique applicable.

Dès lors que vous collectez des données personnelles, vous devez respecter des règles de protection de la vie privé.  Un professionnel qui ne respecte pas le RGPD a un risque d’image, de sanctions judiciaires, notamment pénales, de sanctions administratives prononcées par la CNIL, voire dans certains cas, un risque disciplinaire.

Cette réglementation s’applique pour protéger les données personnelles des personnes physiques exclusivement, (pas les personnes morales).

Une donnée personnelle est une information qui, directement ou indirectement (par recoupement), permet d’identifier une personne physique:

• nom,
• prénom (dans un contexte donné), 
• photographie du visage,
• adresse, 
• enregistrement d’un son, d’une voix, 
• empreinte digitale ou biométrique, etc.

Toutes ces informations sont des données à caractère personnel tout comme un numéro d’identification, une adresse IP ou encore un numéro de carte bancaire.

Pour que le règlement européen s’applique, il faut que ces données à caractère personnel soient enregistrées dans un traitement, dans un outil, généralement numérisé, qui va permettre de collecter, organiser, traiter ces données.

Cette notion de traitement est largement définie dans le règlement européen.

Il peut s’agir d’un progiciel extrêmement sophistiqué pour gérer les ressources humaines ou lutter contre la fraude, mais aussi d’un petit tableur dans un outil de bureautique standard.

Dès lors que l’outil permet de classer de l’information, même de manière simple, c’est un traitement de données qui donc est soumis à ce règlement.

L’objectif de ces règles est de protéger la vie privée des personnes:

– au travail, vis-à-vis de l’employeur, 

– dans leur vie privée, dans leurs transactions commerciales, quand on souscrit des produits, des contrats, qu’on achète des biens, etc.

– et aussi dans son intimité, sur internet, lorsqu’il s’agit de réseaux sociaux, de blogs, etc.

A noter qu’il y a un enjeu plus fort que la protection de la vie privée, c’est la protection des libertés publiques, lorsqu’une administration collecte des données, parfois à très grande échelle, il y a des règles déontologiques, juridiques à respecter par ces administrations pour l’empêcher d’aller trop loin dans la surveillance des personnes.

Ce RGPD est  applicable en France depuis le 25 mai 2018.

Il y a deux points importants à retenir:

1. Lorsque vous collectez des informations auprès de personnes, ces personnes ont des droits: le droit à l’information, au consentement dans certains cas, le droit d’accès, d’opposition, etc. La mise en œuvre de tous ces droits doit donner lieu à la rédaction de procédures internes pour être sûr que le jour où la personne exerce ces droits, le professionnel soit en mesure d’y répondre correctement.
2. Si vous voulez mettre en œuvre un traitement de données à des fins commerciales, si vous êtes dans une association, il n’y a pas de problème si on respecte les obligations prévues dans le règlement: obligation de proportionnalité, de sécuriser les données, de fixer des durées de conservation, etc.

Il y a une dizaine de règles sur lesquelles il faut veiller, et si elles le sont on peut faire beaucoup de choses avec le règlement européen, dont l’objectif est aussi de permettre la libre circulation et la libre utilisation des données:

• Faire du marketing avec des données, sur le plan juridique, c’est possible.
• Contrôler l’activité de ses salariés pour un employeur, juridiquement, c’est possible.
• Lutter contre la fraude, pour veiller à ne pas faire d’affaires avec des clients douteux, juridiquement, c’est possible.

1.3.1 Le responsable de traitement

Selon l’article 4 du règlement européen, c’est la personne physique ou morale qui va déterminer les finalités et les moyens du traitement. 

Cette notion de finalité est un des points les plus essentiels du RGPD.

• Vous mettez en place un fichier, quelle est sa finalité ?
• À quoi sert-il ?
• À faire de la gestion clients ?
• De la lutte contre la fraude ?
• De la gestion des ressources humaines ?
• etc.

Il faut absolument définir pour chaque traitement cette finalité.

Le responsable du traitement va engager sa responsabilité sur le plan pénal, c’est celui qui prend l’initiative de mettre en œuvre le fichier. Il peut prendre cette initiative seul ou, et c’est une nouveauté, conjointement avec d’autres. Il peut donc y avoir une responsabilité conjointe, un partage de responsabilité.

Dans ce cas il est souhaitable que les entités qui vont être responsables conjointement se mettent d’accord contractuellement sur qui est responsable de quoi.

Le responsable de traitement est souvent le représentant légal de l’entité juridique qui met en œuvre le traitement.

1.3.2 Le sous-traitant

C’est celui qui va par exemple collecter la donnée, la traiter, sur instruction du donneur d’ordre, le responsable de traitement. 

Par exemple, un prestataire d’hébergement informatique, une société de développement de programmes, de marketing direct.

Ces sous-traitants ont un niveau de responsabilité plus important qu’avant, et doivent prêter beaucoup attention au RGPD.

Critères d’application de la Loi

Le premier est la territorialité de la personne qui collecte: si je suis implanté en France et que je collecte des données je dois respecter le RGPD.

Le second critère vise à obliger des entreprises qui établies à l’étranger, en dehors de l’Union Européenne, qui collectent des données en Europe, à respecter le droit à la protection des données en Europe. Si une entreprise américaine établie aux États-Unis met en place en France un site Internet sur lequel elle vend des biens ou des services, à partir du moment où elle les offre à des clients établis en France, elle devra respecter le règlement européen.

Si une société mets un place un site avec lequel elle peut suivre le comportement des personnes, par des techniques de segmentation comportementale, de marketing ciblé, là aussi, même si elle est établie en dehors de l’Union Européenne, elle devra respecter le règlement européen.

L’objectif ici du RGPD est d’obliger des opérateurs établis en dehors de l’Union Européenne à respecter les règles de protection européennes.

A noter que les règles qui sont présentées ici sont distinctes du droit à l’image, des règles de protection des bases de données, de règles de lutte contre les discriminations.

Attention le RGPD ne concerne pas le marketing direct. Il y a dans les tuyaux à la Commission européenne, un projet de règlement spécifique aux communications électroniques qui s’appelle le règlement « e-privacy ».

Enjeux du RGPD

La première cause de la mise en place du RGPD est le développement exponentiel des nouvelles technologies depuis quelques années qui peuvent être utilisées,  en nous proposant des biens et des services, pour nous surveiller, comme par la géolocalisation.

Une deuxième cause est liée au développement des enjeux sécuritaires: les problématiques de lutte contre le terrorisme, depuis une quinzaine d’années en Europe et dans le monde, font que les États ont développé des outils de surveillance de plus en plus performants. Ces nouveaux outils engendrent de nouveaux enjeux en terme de  protection de la vie privée.

Le RGPD, le règlement européen, promulgué en 2016 en Europe, et transcrit pour la France en 2018, a pour vocation d’apporter des réponses à ces enjeux: 

1. La fin des déclarations à la CNIL
   Jusqu’à présent, le régime de protection des données, sur le plan réglementaire, s’appuyait sur l’obligation qu’avaient les entreprises ou les administrations de déclarer leurs fichiers. C’est fini et remplacé par l’obligation documenter sa conformité. Ce qui est appelé le principe de responsabilité. On n’a plus à déclarer ses traitements à la CNIL (dans la plupart des cas), mais en contrepartie on doit s’organiser pour vérifier qu’en interne on a mit en œuvre les procédures pour que les données personnelles ne soient collectées en respectant le  cadre réglementaire.
2. Des sanctions administratives fortes
   Jusqu’à présent, la CNIL disposait d’un pouvoir de sanctionner les responsables de traitement qui ne respectent pas la loi, mais il était limité, puisque la CNIL ne pouvait prononcer que des amendes d’un faible montant. À partir de mai 2018, la CNIL peut prononcer des amendes jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial d’une entreprise… De plus le risque de non-conformité est plus important qu’il ne l’était avant le RGPD. 
3. La prise en compte de l’international, de la circulation des données, dans le cadre, par exemple, de la sous-traitance informatique. Une entreprise française va peut sous-traiter du traitement de données en Afrique du Nord, à l’Île Maurice, en Inde, en Asie, aux États-Unis… Ces flux de données doivent être protégés. Le RGPD apporte là aussi un certain nombre de réponses.
4. Enfin, de nouveaux concepts figurent dans le règlement européen, comme de nouveaux droits, le droit à la portabilité, ou le droit à la limitation des données.

Depuis les années 1970, ces évolutions de la réglementation ont toujours eu pour but de mieux protéger la vie privée et les données des personnes dans ce contexte d’évolution rapide des technologies. Même si cela ne pourra pas garantir que la vie privée des personnes soit totalement protégée, et ces règles ne protègeront pas les personnes contre elles-mêmes… 

Jusqu’à récemment, on communiquait ses informations personnelles par besoin auprès d’une administration ou d’une entreprise. On y était tenu. Mais ces dernières années, les personnes livrent d’elles-mêmes de l’information nominative, parfois très confidentielle ou intime, des photos, des vidéos, parce qu’elles souhaitent s’exposer.
Ce qu’il faut retenir, c’est que certes, le règlement européen vise à protéger les internautes, mais que si la personne consent à la mise en ligne d’une information, le RGPD sera d’un faible secours en cas de problème.

Il y a donc un nouvel enjeu, au-delà du cadre juridique, de sensibilisation des personnes au numérique. Pour qu’elles soient en capacité de connaître les conséquences de l’utilisation des outils informatiques disponibles. Afin qu’elles puissent en connaissance de cause choisir de confier ou pas leurs informations personnelles, en toute connaissance de cause.

Enfin, dernier nouvel enjeu, toujours au-delà du cadre juridique, c’est le « privacy by design », c’est-à-dire comment est-ce qu’un outil informatique, de par sa conception même, va pouvoir nous aider à protéger nos données et notre vie privée ?

Par exemple, vous utilisez un navigateur pour surfer sur Internet, certains de ces navigateurs seront prudents en matière de protection de la vie privée, par exemple vis-à-vis des cookies ou des traceurs de marketing ciblé…, d’autres pas du tout.

L’idée, c’est, en tant que donneur d’ordre, qu’utilisateur, consommateur, la personne doit pouvoir choisir des outils “privacy by design”, qui ont été pensés dès leur conception pour intégrer les enjeux de protection de la vie privée.

Grâce au RGPD d’ailleurs, la CNIL va pouvoir certifier des logiciels qui respectent ces règles de protection des données.

Gestion de la conformité

Obligation de documenter sa conformité (accountability)

Auparavant une des obligations principales était de déclarer ses traitements à la CNIL.
Cela a quasiment disparu et est  remplacé par l’obligation de documenter sa conformité.

L’article 5 du RGPD prévoit qu’un responsable de traitement doit être en mesure de démontrer que les principes de protection sont respectés.

L’article 24 précise que compte tenu de la nature, de la portée, du contexte, des finalités du traitement et des risques, du degré de probabilité et de gravité pour les personnes physiques, le responsable de traitement doit mettre en œuvre les mesures techniques et/ou organisationnelles pour pouvoir démontrer que le traitement est conforme au RGPD.

L’obligation de documenter sa conformité signifie donc, l’obligation de démontrer qu’on a mis en œuvre des mesures juridiques, techniques, et organisationnelles, pour protéger les données, et plus précisément, pour respecter toutes les dispositions du RGPD : veiller à la sécurité des personnes, mettre en place des études d’impact, etc., etc.

Il faut donc se constituer un gros classeur dans lequel on va indiquer tout ce qu’on fait et les diligences que accomplies pour être en conformité: les procédures, les manuels d’utilisation des logiciels, le registre des traitements… Il existe maintenant des applications en ligne qui permettent d’aider à cette collecte.

Le but étant d’être en capacité de prouver et démontrer auprès du régulateur, de la CNIL, ou d’un juge, en cas de contentieux judiciaire, qu’on a bien fait les efforts de mise en conformité.

Pourquoi cette obligation de documentation est si importante ? 

Cette obligation de documentation est très importante parce qu’elle responsabilise le  responsable du traitement, en effet le RGPD demande à ce que le responsable du traitement organise lui-même sa conformité en fonction de ses contraintes, de son organisation interne et des risques qu’il a identifié.

En fonction de toutes ses spécificités et contraintes internes, le  responsable de traitement va être autonome dans l’organisation de sa conformité, mais en contrepartie, il doit être capable de tout justifier.

Cependant, cette obligation de documenter la conformité n’est pas de l’autorégulation, car le régulateur national, la CNIL, ou le juge, peuvent contrôler si l’entreprise respecte la réglementation.

Il faut donc avoir en tête la check-list des points les plus importants de la réglementation informatique et libertés, à respecter sur tout projet informatique,  et que l’on va documenter, c’est à dire, reprendre dans notre documentation de conformité.

Check-list « informatique et libertés »

Ce sont les 10 points les plus importants : 

1. Vérifier que la loi informatique et libertés s’applique bien au traitement. 

Est-ce bien des données personnelles, suis-je le responsable du traitement ? Si je n’ai qu’une posture de sous-traitant, quelles sont exactement mes obligations ? 

1. Vérifier qu’on est en mesure de démontrer que les principes de protection sont respectés.

Est-ce que j’ai bien organisé la documentation de ma conformité ? Si la CNIL vient chez moi qu’est-ce que je suis capable de montrer, de donner ?

1. Vérifier qu’on respecte bien le principe de collecte loyale et proportionnée des données. 

Alors, le principe de proportionnalité est un principe cardinal de la réglementation informatique et libertés.

Pour résumer on peut faire tout ce que qu’on veut avec des données dès lors que l’on ne va pas trop loin par rapport au but qui vous conduit à collecter de la donnée, par exemple à des fins commerciales, par rapport aux intérêts de la personne fichée, les droits dont elle bénéficie. 

1. Vérifier qu’on a mis en place une politique de durée de conservation, voire d’archivage des données.

En effet, quand on met en place un traitement, on n’a pas le droit de conserver les données personnelles pour des durées illimitées. 

1. Vérifier si on a mis en place une politique assurant  la sécurité et la confidentialité des données.

On est là à la frontière du domaine juridique et du domaine technique, puisqu’un des sujets importants, c’est protéger les données contre des accès non autorisés, contre des failles de sécurité. A ce titre, je dois pouvoir démontrer que j’ai mis en place une PSSI, une politique de protection de mes données personnelles.

1. Vérifier si les données collectées relèveraient d’un régime un peu particulier. 

Par exemple, des données relatives à la santé des personnes, à leurs opinions politiques, religieuses, philosophiques, à leur vie sexuelle, …, autrement dit des « données sensibles« , toutes ces données ne peuvent être collectées qu’avec des précautions maximum parce que la réglementation prévoit des règles restrictives en la matière.

1. Vérifier si les données sont transférées en dehors de l’Union européenne. 

Si j’envoie de la donnée en dehors de l’Union européenne soit à des fins de prestation de service vers un prestataire, un sous-traitant, soit vis-à-vis d’un partenaire, dans ce cas là il y a des règles particulières à respecter.

1. Vérifier que des procédures sont bien mises en œuvre pour s’assurer du respect des droits des personnes. 

Droit à l’information préalable, droit au consentement dans certains cas, droit d’accès aux données, droit d’opposition, … Est-ce que je suis assez organisé pour bien connaître ces droits et être en capacité de répondre aux demandes qui me seront adressées ?

1. Vérifier l’existence de formalités à réaliser auprès de la CNIL; vérifier si on est dans l’obligation de réaliser des « études d’impact ».

Bien qu’il n’y a presque plus de déclaration à faire à la CNIL, il reste quelques cas. Aussi, pour certains types très particuliers de traitement, il faut rédiger un document d’analyse des risques en matière de protection des données.

1. Vérifier si on est dans l’obligation de désigner un délégué à la protection des données. 

Le règlement européen prévoit désormais que dans certains cas, on est tenu de désigner un délégué à la protection des données. C’est le référent interne informatique et libertés, celui qui va devoir veiller à ce que les règles soient respectées.

Principe de proportionnalité

« Le principe de proportionnalité : jusqu’où peut-on aller dans la collecte des données ? »

Ce principe est défini à l’article 5 du règlement européen, qui indique que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. 

Rappelez-vous le principe de finalité : c’est ce à quoi sert un fichier.

Ce que prévoit la réglementation, c’est qu’en tant que professionnel, on a le droit de collecter autant de données que l’on souhaite dès lors que cette collecte de données reste pertinente, proportionnée, nécessaire, au regard de la finalité poursuivie.

Par exemple, vous mettez en place un système informatique de recrutement. Vous allez collecter des informations sur des personnes qui candidatent à un emploi.Vous pouvez collecter les informations administratives sur le nom, l’adresse, des informations sur le parcours professionnel, des informations sur les niveaux de rémunération antérieurs.Tout ça apparaît proportionné sur le plan professionnel, apparaît objectif, donc pas de problème. En revanche, si vous commencez à poser des questions sur des informations de nature physique, les mensurations de la personne, etc., des informations sur la nationalité, eh bien là, on va considérer que vous sortez du cadre, c’est disproportionné.

Comment savoir si une information est proportionnée ou pas ? 

La loi ne prévoit pas une liste des informations qu’on peut collecter pour chaque catégorie de traitement. En revanche, quand on le peut, on essaie de s’appuyer sur les textes.

Dans l’exemple pré-cité, il faut regarder les dispositions du Code du travail, par exemple, les dispositions en matière de lutte contre les discriminations nous donnent une liste d’informations dont la collecte est interdite. Cela peut aider à comprendre comment se situe le principe de proportionnalité. 

La CNIL également, analyse, au gré de son travail et des décisions qu’elle prend, le principe de proportionnalité. Des recommandations sont mises en ligne sur son site, et donnent, au cas par cas, des éléments d’informations sur la mise en œuvre pratique de ce principe.

D’autres exemples, toujours dans le secteur RH, les « keyloggers », les outils qui permettent de tracer les manipulations faites sur un ordinateur.
Des employeurs ont souhaité mettre en place ce type de système pour contrôler ce que faisaient leurs salariés. La CNIL a indiqué que la finalité de surveillance des salariés, vis-à-vis de ces systèmes de « keyloggers », était tout à fait disproportionnée.

Autre exemple, la CNIL a reçu un jour, une déclaration d’un employeur qui souhaitait mettre en place un système vérifiant si le salarié faisait bouger ou pas la souris de son ordinateur. Le principe était que si la souris bougeait, ça voulait dire que le salarié travaillait, et si la souris s’arrêtait de bouger, ça voulait probablement dire que le salarié ne travaillait pas. Dans cet exemple, la CNIL a considéré que c’était disproportionné parce que ce n’était ni objectif ni pertinent.

Autre point important à retenir, c’est que le principe de proportionnalité va s’appliquer au regard de deux choses : au regard de la finalité du traitement, comme on vient de l’indiquer, et également par rapport à la nature des informations qu’on collecte.
Donc, c’est un contrôle en deux temps. 

Est-ce que la finalité poursuivie est proportionnée ?

Dans l’exemple de la gestion du recrutement ou de la gestion RH, la finalité poursuivie s’avère proportionnée, mais une fois ce principe vérifié, il faut regarder les natures d’informations collectées et s’assurer que ces informations sont aussi complètement proportionnées.

L’exemple précité des « keyloggers » ne veut pas dire que le salarié ne peut pas être surveillé par son employeur. La cybersurveillance est possible, par exemple, la CNIL considère que des systèmes de filtrage de sites, pour définir les sites auxquels les salariés ont accès ou pas, sont possibles. On fixe une liste de sites interdits qui va s’appliquer à tous les salariés.

Autre exemple, qui concerne la gestion clients, c’est la problématique des zones bloc-notes. Il y a quelques années, la CNIL avait prononcé un avertissement public à l’égard d’une société (un centre d’appel) qui avait rédigé dans ses zones bloc-notes des commentaires plutôt déplacés, pas du tout objectifs évidemment, voire tout à fait désagréables et désobligeants.

Quand un délégué à la protection des données identifie, dans certaines applications, des zones bloc-notes très alimentées, avec des volumétries importantes, cela peut nécessiter des actions de contrôle régulières, pour vérifier qu’on n’écrit pas n’importe quoi dans ces zones. Ça peut passer par des opérations de formation et de sensibilisation du personnel, avec des règles précises sur ce que les employés ont le droit d’inscrire dans ces zones. Ça peut aussi prendre la forme de mini-audits dans lesquels on va extraire des zones et regarder, soit directement, soit via des systèmes de recherche par mot-clé, s’il n’y a pas des commentaires déplacés sur les personnes. Si c’est le cas, évidemment, il faut tout supprimer, puisqu’une information disproportionnée ne peut pas être conservée.

C’est le même cas pour les zones de texte libre, dès lors que l’information renseignée reste pertinente et objective, ça ne pose plus de problème. Dans cette hypothèse une entreprise qui propose des cours à domicile et envoie des enseignants au domicile des élèves pour leur donner des cours particuliers, des mentions de type « L’élève a agressé un enseignant » ou « Il y a un chien dangereux au domicile de l’élève », ne sont absolument pas des commentaires qu’il est interdit d’écrire, puisque c’est pertinent et objectif.

Autre point très important, le principe de la collecte loyale et licite des données. Le principe à l’article 5 du règlement européen, impose que la personne doit en être parfaitement informée.

Les principes de collecte dite « indirecte » sont, à l’inverse, interdits. Collecter de la donnée à l’insu d’une personne concernée, n’est pas possible, c’est une infraction pénale. 

Quand on collecte une donnée, on la collecte directement auprès de la personne concernée, et via des mentions d’information expliquées ultérieurement; on informe précisément la personne sur les conditions dans lesquelles on va utiliser ces informations. 

Il y a des zones grises, notamment en matière de prospection commerciale, tout ce qui tourne autour du parrainage, où on va communiquer les coordonnées d’un ami pour qu’il bénéficie d’un produit avec une offre commerciale, et où, par la même occasion, on va bénéficier d’une offre.

Ces systèmes sont tolérés par la réglementation et par la CNIL, mais on est dans cette zone grise de la collecte indirecte; si on identifie des pratiques de collecte indirecte d’informations au sein de son entreprise ou de son administration, on doit avoir le réflexe de vérifier si une loi particulière nous autorise à réaliser cette collecte indirecte.

On peut vérifier les recommandations que la CNIL, par exemple, a pu faire en la matière auprès d’organismes professionnels de vente à distance ou de vente sur Internet, aujourd’hui, il y a des préconisations précises qui existent et qui sont disponibles sur le site de la CNIL.

Un dernier exemple pour bien illustrer ce principe de proportionnalité, l’avertissement prononcé à l’encontre de Pages Jaunes en 2011, où la société aspirait les profils des réseaux sociaux sur Internet, sans informer les personnes concernées.

Ce qu’il faut retenir ici, c’est que ce n’est pas parce qu’une information est librement accessible sur Internet qu’on peut librement la réutiliser.

Le principe de finalité a pour conséquence que si on se crée un profil sur Facebook, ou autre réseau social, un employeur, ou une entreprise commerciale, n’a pas le droit de réutiliser ces informations sans informer préalablement la personne concernée, voire obtenir son accord, car les finalités ne sont pas les mêmes.

Droit à l’oubli

Le principe du droit à l’oubli n’est pas un principe nouveau. Il figurait dès l’origine dans la loi informatique et libertés. Il dit que tout traitement doit être limité dans le temps.
Il ne peut pas être à durée indéterminée, on ne peut pas conserver des données de manière illimitée.

Cette durée limitée, donc, ne doit pas excéder celle qui est nécessaire aux finalités que l’on aura préalablement définies pour le traitement de données à caractère personnel.

Il faut informer les personnes au moment de la collecte sur cette durée ou, si cette durée n’est pas fixe, sur les critères qui vont permettre de déterminer cette durée.

Par exemple, une société peut informer ses clients que leur données ne seront pas conservées au-delà de leur abonnement à sa lettre d’information.

Les conséquences pour les responsables de traitement aujourd’hui, c’est qu’ils doivent revoir leurs mentions d’information pour intégrer cette nouvelle notification pour les individus.

On va rechercher dans les textes juridiques qui s’appliquent au traitement et parfois donnent des indications d’une durée de conservation, ou dans les recommandations de la CNIL ou les textes réglementaires que la CNIL a adopté, comme ses normes simplifiées ou ses autorisations.

La CNIL, par exemple, préconise, s’agissant de la vidéosurveillance, que la durée de conservation des images ne doit pas excéder un mois. On considère qu’un mois est suffisant en cas de vol ou d’intrusion pour permettre aux services de sécurité de regarder les images, d’identifier le voleur, l’intrus, et d’agir en conséquence.

Concernant la conservation des données de paie, la CNIL considère qu’une durée de 5 ans est celle qu’il faut appliquer. Cette durée correspond aux règles de la prescription, pendant laquelle l’employeur doit pouvoir justifier du paiement de ses salariés et du calcul des éléments du salaire.

Les données relatives à un prospect, la CNIL conseille de les conserver 3 ans.

Concernant les données contenues dans un dossier médical, par un médecin du travail par exemple, les durées sont beaucoup plus longues parce que c’est dans l’intérêt de la personne.

Par contre, lorsque les données sont traitées dans une liste noire, un fichier d’exclusion, avec des conséquences préjudiciables pour les individus, là on va plutôt être enclin à réduire cette durée; et c’est, en règle générale, une durée de 3 à 5 ans que la CNIL reconnaît comme proportionnée, suffisante, adaptée, au regard du principe de proportionnalité fixé par le règlement général sur la protection des données personnelles.

La CNIL distingue trois temps dans le cycle de vie des données.

Un premier temps, qu’elle appelle archives « courantes », correspond aux données vivantes, aux données actives, celles que l’on utilise tous les jours.

Le deuxième temps, ce sont des archives « intermédiaires« . C’est ce qu’on appelle « l’archivage », en règle générale, dans le secteur privé. C’est lorsqu’on va conserver le dossier pour pouvoir justifier du bon respect d’un certain nombre d’obligations légales ou justifier d’obligations.

Enfin, le troisième temps, c’est la réalisation d’archives « définitives ». Cela correspond à la fin de vie des données, à la suppression physique des données, ou à défaut, leur anonymisation. Puisque des données anonymes ne sont plus des données personnelles, elles peuvent alors être collectées au-delà de ce cycle de vie tel que défini.
Ces principes figurent dans une délibération de la CNIL de 2005.

Quelles sont les questions à se poser, pour savoir à partir de quel moment on va basculer des archives courantes aux archives intermédiaires, et ensuite aux archives définitives ?

Pour les archives courantes, c’est assez simple, c’est jusqu’à quand ai-je besoin des données pour arriver à ma finalité ? 

Ma finalité, c’est par exemple de gérer un service d’achats en ligne. Une personne a passé une commande, mon objectif est la livraison du bien et le paiement intégral de ma facture. La durée de conservation en archives courantes est jusqu’à paiement intégral de la facture. 

Après se pose la question du sort des données. C’est là que vont intervenir les archives intermédiaires. 

A-t-on une obligation légale de conserver les données au-delà du paiement de la facture? En règle générale, oui, on va avoir des obligations comptables qui vont nécessiter une conservation sur 10 ans en archives intermédiaires.

Aussi, on va se demander, en cas de contentieux, pendant combien de temps est-il requis de justifier du respect de la réglementation, du droit de la consommation ou de la protection des données personnelles. 

Là aussi, ce sont ces questions et leurs réponses, qui vont varier selon le droit applicable, qui peuvent nous permettre de déterminer ce second temps.
Ces données sont en principe mortes, mais on les conserve pour pouvoir nous justifier, nous protéger, et justifier de droits et d’obligations.

Ensuite, une fois qu’on a épuisé ces durées-là, arrive la question de l’archivage définitif. Comment on procède? Est-ce qu’on les détruit physiquement? Est-ce qu’on va programmer un processus d’effacement? Qui le fait? Comment on le prouve? Ou si on anonymise les données, quel algorithme, quel système on utilise pour ce faire?

2.1.1 Droit au déréférencement

Alors à côté de ce principe général il y a des déclinaisons spécifiques, qui sont soit des constructions jurisprudentielles, soit que l’on va retrouver dans le règlement général sur la protection des données personnelles. 

Le premier élément est le droit à l’oubli numérique, le droit à l’oubli sur Internet, autrement appelé le « droit au déréférencement ». 

C’est la possibilité d’obtenir des moteurs de recherche comme Google le retrait de l’indexation de données nous concernant. 

Dans un Arrêt de la Cour de justice de l’Union européenne dans l’affaire Google Spain du 13 mai 2014, la CNIL a dégagé une série de principes dans des lignes directrices adoptées le 26 novembre 2014. Parmi ces lignes directrices et ces recommandations qu’elle adresse aux éditeurs et aux moteurs de recherche surtout, il y a l’effectivité du déréférencement. 

La CNIL exige que ce déréférencement porte sur toutes les extensions des noms de domaines et pas que le .fr, les sites identifiés comme français; cela doit porter sur l’ensemble des sites.

D’ailleurs, la société Google a été sanctionnée le 10 mars 2016 précisément sur le refus du déréférencement complet des données dans son moteur de recherche.

2.1.2 Droit à l’effacement

Le droit à l’effacement est un nouveau droit, un droit reconnu à la personne concernée d’obtenir rapidement l’effacement des données à caractère personnel. 

Pour se faire, il suffit qu’elle le demande. Elle n’a pas à justifier sa demande. 

C’est ce qui change par rapport à la loi informatique et libertés, où on ne lui reconnaissait pas forcément la capacité de demander cet effacement sans avoir à justifier derrière; et c’est au responsable de traitement, qui ne va pas vouloir effacer, de justifier son refus. 

Il va falloir faire droit à ces demandes d’effacement dans des circonstances assez logiques. 

Premièrement illustration, le responsable de traitement a épuisé la finalité du traitement, il n’a plus de justification pour conserver les données, que ce soit en archives actives, courantes ou intermédiaires.

Deuxième cas qui va justifier également l’effacement des données, c’est le retrait du consentement lorsque le traitement ne reposait que sur le consentement de la personne. Le responsable de traitement n’a plus de base légale, donc il doit effacer ces données qu’il  ne peut juridiquement pas conserver.

Troisièmement, ce sont des données qui seraient non conformes, parce que conservées au-delà de la durée de conservation ou parce que la personne s’est opposée à leur traitement. Là, une des conséquences de cette opposition va être l’effacement des données.

Un cas nouveau introduit, les données de mineurs de moins de 16 ans.
Cet âge est de quinze ans dans la loi informatique et libertés.
Mais on reconnaît un droit à l’effacement quasi automatique des mineurs dont le « casier » sur Internet devient vierge, est effacé lorsqu’ils deviennent majeurs.
Les limites à ce droit à l’effacement sont assez logiquement la liberté d’expression ou l’existence d’une obligation légale de conserver.
On revient ici sur les raisons qui pouvaient conduire à un archivage intermédiaire.

Si une personne a exercé son droit à l’effacement et que le responsable de traitement y a fait droit, parce qu’on était dans l’une de ces situations-là, les tiers à qui les données ont été communiquées avant la demande d’effacement doivent être informés de cet effacement et devront eux-mêmes, sauf s’ils peuvent justifier d’une raison de conserver, effacer les données. 

Les limites à ce droit à l’effacement sont un peu aussi les limites au droit à l’oubli d’une manière générale.

Ce sont d’autres libertés, comme la liberté d’expression et d’information; on ne demandera pas à des journalistes d’effacer leurs fichiers. 

C’est également l’obligation légale de conserver. Ça peut être également l’intérêt public dans le domaine de la santé. 

Un autre élément qui va justifier que l’on n’efface pas les données, c’est la gestion des archives publiques ou la conservation des données pour les chercheurs, la recherche scientifique, historique, ou pour réaliser des statistiques. 

Enfin, lorsque la conservation de ces données est nécessaire à l’exercice ou à la défense d’un droit en justice, il n’est bien sûr là aussi pas question d’effacer les données.

Transferts internationaux de données

Les transferts internationaux de données sont bien sûr absolument nécessaires à notre économie et ils sont par nature, dynamiques, fragmentés et globaux; c’est-à-dire qu’ils peuvent changer à tout moment, et en particulier, ils peuvent aller dans des directions différentes et a priori de manière globale. 

Par conséquent, pour que ces transferts restent bien protégés, il faut une protection qui reste effective et avec des recours pour l’individu. 

L’objectif est de permettre à l’individu de pouvoir intenter une plainte auprès de l’exportateur de données, auprès du responsable de traitement.

Les transferts internationaux de données ne sont donc pas une interdits, mais un encadrement par des moyens nécessaires de ces transferts est indispensable.

Premièrement, le transfert doit être assuré vers un pays dit « adéquat ». Si le transfert n’est pas vers un pays adéquat, une forme d’adéquation doit être assurée d’une manière ou d’une autre. Ces formes d’adéquation, autrement dit ces conditions, doivent être ensuite respectées tout au long de la chaîne de traitement depuis le responsable de traitement jusqu’au processeur, sous-processeur, sous-sous-processeur, etc., quel que soit le lieu où se situe ce processeur.

2.2.1 Pays adéquats

Qu’est-ce que l’adéquation ? 

C’est un concept défini au niveau de la Commission européenne qui dit que certains pays, parce qu’ils ont une qualité de traitement, de collecte, de protection des données personnelles, sont reconnus comme « fiables ».

De manière générale, à ce jour, ce sont bien sûr tous les membres de l’Union européenne, mais également tous les membres de l’Espace économique européen, la Suisse, la Norvège, l’Islande et le Lichtenstein, et d’autres pays comme Andorre, Guernesey, Israël, Nouvelle-Zélande et Uruguay.  

Les transferts vers ces pays sont donc libres, sans avoir besoin de précautions particulières, puisque ces pays sont reconnus comme adéquats.

2.2.2 Dérogations si non adéquations

Dans le règlement européen, on prévoit comme première dérogation d’avoir le consentement explicite de l’individu qui dit : « Je suis d’accord pour vous donner mes informations et que celles-ci soient transmises vers le pays en question ». 

Il faut souligner que ce consentement doit être informé, libre, spécifique et non ambigu. C’est très précis dans le règlement. 

Ce consentement, dans le domaine du transfert, a une portée limitée et, en général, porte sur un nombre limité, souvent une dizaine de personnes. 

Il est difficilement concevable de demander à des milliers de personnes leur consentement. Mais ce moyen a aussi des désavantages ou des problèmes.

Premièrement, que faire en cas de refus, si l’individu ne veut pas transférer ? Ça peut obliger à développer toute une infrastructure parallèle qui n’utilise pas le transfert international. C’est souvent quasiment impossible.

Ce consentement est utile et indispensable pour les données sensibles, en particulier les données santé, et les données génétiques. 

Le cas le plus important et le plus problématique, est que ce consentement n’est pas valable en cas de subordination, lorsqu’il n’est pas libre; en particulier, dans le cas des ressources humaines, le consentement de l’individu, de l’employé, ne pourra pas être utilisé. 

Deuxième cas, les clauses contractuelles. C’est un moyen qui existe depuis déjà assez longtemps, on appelle ça des « model contracts« , qui sont définies unilatéralement par la Commission et sont assez simples à mettre en œuvre. 

Les clauses ne sont pas modifiables, c’est un contrat standard, et uniquement deux annexes sont à préciser : une annexe qui définit le ou les transferts et les conditions, par quel expéditeur, par quel exportateur et par quel importateur, ainsi que les mesures de sécurité qui sont mises en place pour protéger ces transferts. 

L’acceptation est immédiate par les autorités, mais, le problème c’est que c’est un moyen qui est fortement critiqué aujourd’hui par les activistes de « privacy ». 

En particulier aujourd’hui, il y a un recours à la Cour de justice de l’Union européenne pour invalider ces « model contracts », comme ça a été le cas pour d’autres moyens, comme nous le verrons plus avant.

Autre problème, ces « model contracts » sont spécifiques à un type de transfert et ils sont statiques, peu flexibles, et dans une large entreprise, ça peut monter très vite à plusieurs centaines. Très difficile à régler donc.

 

Les accords internationaux, en particulier le très célèbre Privacy Shield, qui est un accord qui a été signé, négocié, entre l’Union européenne et le département du Commerce américain, pour permettre des transferts uniquement. C’est un transfert qui est spécifique Europe-États-Unis. 

Il fait suite au Safe Harbor, qui a été invalidé par la Cour européenne de justice, et ce sont les « privacy activists » qui ont monté cet accord au niveau de la Cour européenne, qui a décidé que Safe Harbor n’était pas valide. 

L’invalidation de cet acte a été un très gros problème, et très rapidement, les États-Unis et l’Union européenne ont trouvé une autre solution un peu plus protectrice.

Lorsque la société fait cette auto-certification de Privacy Shield, elle se rend juridiquement contraignante vis-à-vis de la FTC, donc de la juridiction américaine, ce qui est assez important. Mais là aussi, ce Privacy Shield, comme le Safe Harbor, est critiqué par les activistes de « privacy », il nécessite un contrôle et une revalidation périodiques. D’une année à l’autre, il peut être donc invalidé. 

Le dernier point et le plus important, c’est ce qu’on appelle « les règles d’entreprise contraignantes », les BCR, les Binding Corporate Rules. Ce sont des règles juridiquement contraignantes pour une entreprise. 

Elles confèrent ce droit opposable, donc l’individu peut porter plainte contre la société pour non-respect de ces règles contraignantes. 

Le but principal de ces règles contraignantes est d’établir dans la société une gouvernance d’entreprise, une gouvernance des données personnelles qui, du plus haut niveau au niveau le plus « terrain » de la société, implique une responsabilité des individus, la formation, des « guidelines », une acceptation de responsabilité, une procédure de réclamation et ainsi de suite. 

Ça paraît assez lourd, mais en fait, ce n’est ni plus ni moins que la certification d’une infrastructure qui doit exister d’une manière ou d’une autre, afin d’être capable d’assurer la protection des données personnelles. 

C’est donc une solution flexible, prometteuse, relativement aisée, pour une société qu’on appellerait « mature », qui a déjà une certaine habitude, un certain développement dans le domaine. 

Ces BCR procurent une « adéquation organisationnelle ». C’est l’équivalent de l’adéquation au niveau des pays et ça permet d’avoir, justement, ce transfert libre et fluide à l’intérieur d’une société, tout comme entre les pays adéquats. 

Reste qu’il y a des raisons absolument essentielles pour lesquelles certains transferts peuvent être nécessaires et fait sans aucune précaution préalable.

C’est en particulier pour des raisons contractuelles, ou pour des motifs d’intérêt public, comme la sauvegarde de l’individu, la sécurité nationale, l’exercice de la justice, bien entendu, mais également lorsque l’individu a besoin, pour des raisons vitales, lorsqu’il a un accident, etc.

Par exemple, vous partez à l’étranger, et une société comme Mondial Assistance a besoin d’utiliser vos données. Bien entendu dans ce cas-là, il n’y a pas de précaution à prendre.

Autre cas, lorsque les données à transférer sont collectées à partir d’un registre public, donc de données disponibles de manière absolument libre; ou, le dernier point, lorsque c’est un cadre absolument légitime établi par la société, mais qui doit être justifié, en particulier auprès des autorités de protection de données.

D’autres cas restes possibles, comme les clauses-types, qui sont ad hoc, c’est à dire définies par une autorité ou par une société, mais qui doivent être approuvées par une autorité donnée.

Ensuite les deux derniers, les codes de conduite, ainsi que les certifications, sont deux nouvelles possibilités qui sont offertes par le règlement européen, les procédures ont été établies par le Working Party 29, le Groupe 29 (voir le lien GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES).

Il y a un ensemble de moyens dans d’autres régions du monde, par exemple, sur l’APEC, nous avons les CBPR qui sont un équivalent à peu près des BCR, des règles contraignantes d’entreprise.  

On a donc besoin, dans notre environnement global, d’avoir un panel d’outils différents qui permettent d’avoir cette protection des données personnelles de l’individu, dans quelque endroit que ce soit où ces données sont envoyées.

Droits des personnes fichées

Les droits des personnes fichées sont le droit à l’information, le droit à l’accès, la rectification, le droit à l’oubli, la portabilité et le consentement.

La directive de 1995 consacrait déjà des droits aux personnes fichées.
Ces droits étaient inspirés de la crainte d’une surveillance réalisée à l’insu des personnes. 

Le règlement renforce ces droits, mais il les adapte et en crée de nouveaux en raison de la digitalisation de nos sociétés qui, cette fois, nous fait craindre plus particulièrement de ne pas maîtriser nos données.

Le premier droit, qui est vraiment pivot, c’est le droit à l’information, ce que l’on appelle la « transparence ». Le droit à l’information est un droit traditionnel.
Par « traditionnel », on entend « assez ancien », puisqu’il existait déjà dans la loi de 1978 et dans la directive de 1995.

Ce droit signifie de permettre aux personnes d’être informées de ce que l’on fait de leurs données, comment, pourquoi, qui y a accès, où sont-elles traitées, par qui, etc.; et cela doit être fait de manière concise, aisément accessible et facile à comprendre.

Les autres droits traditionnels sont, par exemple, le droit d’accès aux données.
C’est la possibilité pour les personnes de demander à avoir accès aux données les concernant sur tous les traitements qui sont installés dans un organisme.
C’est aussi la possibilité de faire rectifier des données erronées ou de s’opposer au traitement de leurs données, et sous certaines conditions, de solliciter l’effacement.

En parlant d’effacement, on pense assez naturellement au droit à l’oubli, que l’on appelle aussi le droit au « déréférencement ».
C’est la possibilité de demander à un moteur de recherche de supprimer de ses résultats toutes les recherches associées à mon nom et à mon prénom.

Par exemple, on tape sur un moteur de recherche son nom et prénom et on retrouve un lien vers un ancien CV, un lien vers une ancienne photo, on peux demander à ce moteur de recherche de supprimer ce lien.

Pourquoi parle-t-on de « consécration » ?
Parce que le droit à l’oubli, avant d’être dans le règlement, est apparu en 2014 dans une affaire Google Spain.
Google ayant été débouté par la justice européenne, le particulier qui avait fait la demande a pu obtenir que soient supprimés du moteur de recherche des liens le concernant.

Toutefois, même si ce droit à l’oubli est désormais consacré dans le règlement, de nombreuses questions se posent encore.

Récemment, en 2017, le Conseil d’État a sollicité la justice européenne pour avoir des informations sur la portée territoriale du droit à l’oubli.
C’est-à-dire : est-ce que le droit à l’oubli, ce droit au déréférencement, ne concerne que le moteur de recherche .fr ou aussi les moteurs de recherche .com, etc.?

Par ailleurs, la Cour européenne des droits de l’homme, dans un arrêt de 2017, a également indiqué que le droit à l’oubli connaissait des limites, notamment par rapport au droit à l’information.

Autre droit consacré par le règlement, qui cette fois est une véritable instauration, est le droit à la portabilité des données.

Il s’agit de pouvoir récupérer dans un format adéquat les données communiquées à une plateforme, afin de les transmettre à une autre.

Sur les sites de streaming par exemple, qui ne sont pas forcément des plateformes, on a une liste de chansons préférées, si on change de site de musique en ligne, on peut demander que cette liste de chansons nous soit restituée dans un format adéquat pour qu’on puisse la transmettre à un autre site de streaming.
Idem, si on souhaite récupérer nos mails, parce qu’on veut changer de messagerie électronique.

Attention : le droit à la portabilité ressemble beaucoup au droit d’accès, dans le sens où on accède à des données qui nous concernent. Toutefois, ce droit est limité aux données fournies par la personne, donc il est plus restreint que le droit d’accès.

Le règlement clarifie également le consentement qui en tant que tel n’est pas un droit, mais une base légale.

Qu’entend-on par « base légale » ?
C’est le fondement sur lequel le responsable du traitement va décider de réaliser son traitement.

Pour utiliser cette base légale, le consentement doit avoir trois caractéristiques:

1- le consentement doit être libre. 

La personne doit être capable de dire oui ou non.

2- le consentement doit être spécifique à un traitement. 

Ça ne peut pas être un consentement général pour tous les traitements d’un organisme.

3- le consentement doit être éclairé. 

Là on revient à notre premier droit pivot, l’information.

Le règlement prévoit que « le consentement se manifeste par un acte positif clair et univoque »; on oublie donc les cases pré-cochées où les gens doivent décocher, on oublie aussi le silence. En matière de protection des données, qui ne dit mot ne consent pas.

Par ailleurs, qui dit consentement dit retrait du consentement, et donc derrière, gestion de ce retrait.

Le règlement a précisé la situation particulière des enfants, et c’est une vraie nouveauté par rapport à la directive de 1995.

Les « enfants » d’après le règlement sont les mineurs de moins de 16 ans; cet âge pouvant être réduit à 13 ans selon le droit des États membres.

L’information doit être adaptée au cas des enfants, et donc être compréhensible, il faudra donc s’adapter à leur niveau de langage. 

Ensuite, dans le cadre de la fourniture de services en ligne, par exemple on souhaite inscrire son enfant sur un réseau social, enfin, son enfant souhaite s’inscrire sur un réseau social, celui-ci devra avoir le consentement de ses parents.

Outils, référentiels et formalités préalables de la CNIL

Avec le RGPD, les professionnels sont désormais très autonomes dans la gestion de leur conformité.

Quels outils et référentiels la CNIL va-t-elle mettre à leur disposition pour les aider ?

La CNIL est effectivement très attachée à pouvoir fournir à l’ensemble des acteurs du secteur public, secteur privé, des outils et des référentiels.

Il y a deux grandes catégories, qui consistent:

• d’une part, à fournir des éléments sur l’organisation par des guides pratiques sur comment désigner un délégué à la protection des données, les six étapes pour se mettre en conformité avec le règlement, des outils tels que, par exemple, comment effectuer une analyse d’impact. C’est un petit logiciel qu’on peut télécharger et qui permet effectivement de faire pas à pas une analyse d’impact.
• La deuxième grande catégorie d’outils, ce sont des référentiels sectoriels qui permettent, sur le fond, sur l’application des principes de protection des données, à savoir, concrètement, ce que l’on peut considérer comme étant des informations pertinentes par rapport à la finalité d’un traitement.
  Ceci résulte du travail qu’effectue la CNIL avec l’ensemble des secteurs professionnels.

« Restera-t-il des formalités préalables à accomplir auprès de la CNIL ? Dans quels cas ? »

Effectivement, il y a deux situations, la première, celles dans lesquelles le règlement prévoit effectivement des autorisations que devra donner la CNIL.

C’est le cas pour les autorisations de transfert, lorsque les acteurs se prévaudront de règles contractuelles ad hoc, ou que ce seront des arrangements administratifs entre autorités publiques qui n’auront pas de valeur contraignante.

La deuxième situation est celle des marges de manœuvre laissées aux États membres, et c’est ce que prévoit la loi informatique et libertés, sur l’application, effectivement, de ces marges de manœuvre, dans certains domaines, à savoir, le traitement des données de santé ou des données génétiques, ou encore, données biométriques ou utilisation du NIR, de prévoir des autorisations spécifiques.

« La CNIL va-t-elle laisser un délai supplémentaire aux organismes pour mettre à jour leur niveau de conformité à compter de mai 2018 ? »

Non, il n’y aura pas de délais supplémentaires puisqu’on est déjà dans le délai qui est aménagé par le règlement depuis avril 2016 et qui s’interrompt donc pour une application effective au 25 mai 2018.

Pour autant, on sait bien que tout le monde ne sera pas fin prêt, donc, ce qui est essentiel, c’est d’avoir mis en place un plan d’action, en priorisant sur les traitements les plus sensibles en fonction de leur finalité ou des catégories d’informations traitées.

Dans cette perspective-là, la CNIL a mis en place les six étapes pour appliquer le règlement européen, et donc, ce qu’aura la CNIL à contrôler, c’est si, effectivement, les acteurs ont bien pris conscience de la nécessité de se mettre en conformité avec le règlement.

« Avec le RGPD, les pouvoirs de sanction de la CNIL sont beaucoup plus sévères.
Quelle sera la politique de la CNIL en la matière ? »

C’est vrai qu’on est rentré effectivement dans une nouvelle phase où la protection des données doit vraiment être prise au sérieux, et il est vrai que le niveau des sanctions est un élément extrêmement dissuasif, pour autant, la CNIL ne considère pas que l’objectif soit la sanction mais plutôt la conformité.

Les grands acteurs mondiaux qui, jusqu’à présent, n’étaient pas très affectés par les sanctions, qui ressemblaient à des petites gouttes d’eau et qui ne faisaient que les effleurer, 4 % du chiffre d’affaires mondial consolidé de l’exercice précédent, c’est effectivement très dissuasif; donc, c’est effectivement vers un autre mode de politique de sanction que l’on s’engage.

« Les autorités nationales ont-elle développé des pratiques d’échanges d’information, en préfiguration du futur dispositif de guichet unique ? »

La CNIL a effectivement développé des outils de coopération, en vertu du règlement européen. Elle a développé le mécanisme du guichet unique, l’assistance mutuelle, les opérations conjointes et le mécanisme d’urgence également.

Des outils très concrets ont été développés, comme, par exemple, des formulaires, des schémas, des procédures, qui vont permettre de déclencher les systèmes de coopération : encore une fois, les systèmes de guichet unique, assistance mutuelle et opérations conjointes.

La CNIL a également travaillé sur le système d’information, qui va sous-tendre la coopération multilatérale au niveau des États membres, c’est-à-dire entre autorités de protection des données, et puis, également, le système d’information, qui va permettre au CEPD, au comité européen, de fonctionner.

En effet, ce règlement est aussi un gros changement pour les autorités, dans la manière dont elles vont travailler au quotidien et dont elles vont coopérer avec leurs homologues.

Comment le règlement pourrait influer sur le rapport de force entre les États-Unis et l’Union? 

Il est à noter que le message politique du règlement est un message très fort de la part des 28 gouvernements et également du Parlement européen et de la Commission européenne; c’est quand même trois législateurs, qui représentent trois intérêts différents, qui se sont tous mis d’accord sur un texte qui tire le standard vers le haut.

On avait déjà un socle juridique, avec la directive de 1995 et les lois nationales, qui est quand même un socle qui est reconnu dans le monde entier comme étant très protecteur pour la vie privée, un socle organisé.

Le RGPD vient renforcer les droits des personnes, les obligations des entreprises, notamment avec ce concept d’accountability, qui les pousse à une mise en œuvre opérationnelle et à une conformité concrète des principes du règlement, renforcer aussi les compétences des autorités, leurs pouvoirs de sanction, et le système de coopération.

À noter aussi qu’on reste sur la philosophie de l’Europe, de l’Union européenne, sur ce sujet, et qui est exprimée dans le texte actuel de la directive, qui est de considérer la protection des données personnelles comme un droit fondamental.

C’est là aussi un message très fort mais qui est juste maintenu, sinon, encore une fois, renforcé, mais on reste sur cette logique de droit fondamental.

Également, avec les dispositions du règlement européen sur le champ d’application territoriale et géographique de ce texte, on va vers une application relativement large, puisque, en gros, l’article 3 du règlement prévoit qu’en fait, à partir du moment où on cible le marché européen, les entreprises doivent se mettre en conformité avec le règlement.

C’est un message clair qui prend comme critère, en gros, le ciblage du marché européen, le ciblage des individus qui sont sur le sol européen.

C’est une façon aussi de mettre à niveau les acteurs globaux, mondiaux, et les acteurs européens en les mettant sur un pied d’égalité en matière de conformité. Ils auront à se mettre en conformité tous les deux avec le règlement européen, à partir du moment où ils ciblent le marché européen.

Ce règlement va aussi être un argument de concurrence, un argument concurrentiel et de compétitivité, puisque c’est une façon aussi pour les entreprises, d’afficher un standard de protection de haut niveau, et, du coup, de rassurer le client, les investisseurs, les partenaires.

Ce haut niveau de standard de protection sera aussi un argument pour la croissance économique; ce n’est pas simplement de la conformité, c’est aussi une façon de promouvoir un certain modèle philosophique et également un levier de croissance économique.

En complément du RGPD, la loi ‘informatique et libertés’ nationale a été mise à jour.
Quel est l’objet de cette mise à jour ?

Avec l’adoption du règlement général sur la protection des données, loi « informatique et libertés » a été modifiée. Pourquoi cette mise à jour ?

D’une part, en fait, la mise à jour est de nature assez technique, puisque le règlement étant d’application immédiate et directe, les dispositions du règlement vont venir remplacer les dispositions de la loi « informatique et libertés », donc on n’a pas besoin d’avoir deux textes. Donc, il y a eu d’abord un toilettage de la loi.

Deuxième objet de la mise à jour, le règlement prévoit, en réalité, une certaine marge de manœuvre aux États membres, qui peuvent maintenir certains régimes, qui peuvent déroger à certaines dispositions du règlement; donc, le deuxième aspect de cette mise à jour porte sur le choix de maintenir certaines dispositions qui étaient présentes dans la loi « informatique et libertés », par exemple, les traitements dans le secteur de la recherche médicale, dont le régime a été maintenu, et, éventuellement, instaurer des dérogations ou des aménagements aux principes généraux prévus dans le règlement général sur la protection des données à caractère personnel.

Régulation « informatique et libertés »

Le mot “régulation” est différent de « réglementation » ou de « sanction », il signifie que lorsque les réglementations ne sont pas respectées, le juge est là pour sanctionner.

La matière « informatique et libertés » est plus complexe que cela, parce qu’il y a d’un côté, par exemple, des personnes fichées qui ont des droits, et lorsque ces droits ne sont pas respectés, il faut qu’il y ait des acteurs, des institutions, qui soient là pour sanctionner, le cas échéant.

C’est un principe fort qui figure dans le RGPD, de poser ce principe de la libre circulation des données et de la possibilité, pour les professionnels, de faire du business avec les données, sous réserve du respect des droits des personnes.

Cette prérogative que tiennent les professionnels de la réglementation se traduit par une forme d’accompagnement, de conseil, formalisée par certaines institutions, la CNIL notamment, ainsi que par d’autres acteurs.

Premier acteur la CNIL, qui a été créée il y a 40 ans, en même temps que la loi « informatique et libertés », et dont l’objectif est de deux ordres : 

• D’abord, d’accompagner et de conseiller les professionnels, et aussi les particuliers.
  Une personne fichée peut aller sur le site de la CNIL, elle y trouvera beaucoup d’informations et de conseils, par exemple, sur comment surfer sur Internet en veillant à protéger sa vie privée.
• Ensuite, il y a à la CNIL un service des plaintes qui est là pour recueillir les réclamations des particuliers et qui va, le cas échéant, assister les particuliers pour leur permettre que leurs droits soient respectés.

Enfin, il est à noter que le pouvoir de sanction de la CNIL est à hauteur de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial d’une entreprise, y compris une éventuelle perquisition.

Deuxième acteur : le judiciaire
Sur le plan pénal, toutes les règles « informatique et libertés » sont pénalement sanctionnées d’amendes, qui peuvent aller jusqu’à 300 000 pour une personne physique, 1,5 million pour une personne morale, et jusqu’à 5 ans de prison; du coup, les représentants légaux des entreprises, les responsables de traitement, sont un peu vigilants.

Sur le plan civil, il y a également de plus en plus de décisions qui sont prononcées.
En effet, les personnes fichées, les salariés, les clients, qui estiment que leurs droits « informatiques et libertés » n’ont pas été respectés, peuvent engager la responsabilité civile du responsable de traitement.

À titre d’exemple, la Cour de cassation, en 2013, a pris une décision très importante, dans laquelle elle a considéré qu’un contrat de vente d’un fichier de prospection commerciale entre deux entreprises était nul, au motif que ce fichier avait été constitué sans respecter les règles « informatique et libertés ».

De plus en plus de salariés vont contester, devant le juge, un licenciement, par exemple, au motif que ce licenciement a été prononcé sur la base de preuves qui ressortent du système d’information, et souvent, ces preuves ont été collectées sans respecter les règles « informatique et libertés ».

Aujourd’hui, il y a deux  nouveaux acteurs de la régulation.

D’abord, avec le règlement européen est institué le Comité européen à la protection des données.

Il y avait déjà une instance européenne qui s’appelait G29 mais qui n’avait pas de pouvoirs contraignants, désormais, ce Comité européen à la protection des données va pouvoir prendre des décisions contraignantes pour ce qui concerne ce qu’on appelle les fichiers transeuropéens, c’est-à-dire l’hypothèse dans laquelle une entreprise va utiliser un seul et même fichier dans plusieurs pays de l’Union européenne. 

Dans cette hypothèse, plusieurs CNIL locales sont compétentes. Si elles n’arrivent pas à se mettre d’accord sur une question de réglementation, sur une question d’analyse de conformité, sur une procédure de sanction, également, dans ce cas, c’est au niveau européen que la décision sera prise concernant le responsable de traitement, via un système qu’on appelle d’une part le one stop shop et qui se traduit, à un moment donné, par l’intervention éventuelle de ce Comité européen à la protection des données.

Désormais, la réglementation est européenne, l’objectif, c’est d’assurer un lissage au niveau européen, de garantir qu’un professionnel qui veut travailler en France, au Luxembourg, en Belgique, en Irlande, aura exactement le même cadre réglementaire à respecter; finalement donc, l’objectif, est un peu aussi de lui faciliter le travail, de lui permettre de développer son business au niveau européen. Le Comité européen à la protection des données aura un rôle tout à fait essentiel sur ce sujet.

Troisième acteur, le délégué à la protection des données (DPD) ou Data Privacy Officer (DPO).

Voir à ce propos le chapitre 5 “Le Délégué à la Protection des Données”. 

Quatrième acteur : les représentants professionnels, c’est-à-dire toutes les instances associatives qui représentent des professionnels et qui, de plus en plus, produisent des recommandations à l’attention de leurs membres. travaillent ensemble sur ces questions de régulation « informatique et libertés » et produisent de la doctrine, de la recommandation qui vient contribuer à cet ensemble général, à ce cadre général qui participe du respect des personnes et de leurs droits en matière de protection des données.

Cinquième acteur : les sous-traitants
Ces sous-traitants ne portent pas de responsabilité sur le plan pénal, notamment, car c’est le responsable de traitement qui porte la responsabilité. Néanmoins, attention : avec le RGPD, les obligations des sous-traitants sont très renforcées. Au-delà des questions de sécurité et de confidentialité, aujourd’hui, les sous-traitants doivent tenir à jour un registre des traitements.
Ils doivent désigner, dans certains cas, obligatoirement un délégué à la protection des données. Ils sont astreint directement à gérer la question des transferts de données hors UE.

3.2.1 Vigie

La CNIL a des missions consistant à informer et conseiller tout le monde. C’est-à-dire qu’il y a les autorités publiques, le gouvernement et le parlement, au moyen d’auditions parlementaires, au moyen d’avis sur les projets de loi et participations à des groupes de travail multiples.

Il y a également les professionnels et le grand public, et ceci, au moyen de différents collectifs. Il y a, par exemple, un collectif de l’éducation numérique, composé de plus de 50 organismes qui se sont fédérés autour de la CNIL, pour faire de la pédagogie sur les enjeux de la société numérique et les conséquences en matière de collecte et de traitement des données personnelles.

L’objectif de la CNIL, c’est de faire prendre conscience à chacun d’entre nous, à quelque niveau qu’il soit dans la société, des grands enjeux en matière de protection des données.

Il y a également un rôle d’anticipation, dans le cadre de l’activité de veille, d’innovation et de prospective de la CNIL, qui a mis en place un laboratoire spécifiquement dédié aux nouvelles technologies, afin de les tester.

Elle a également publié toute une série de documentations sur des thématiques dont elle voyait poindre les tendances émergentes qui touchent aux libertés individuelles et publiques et à la protection des données personnelles.

Ce laboratoire est complété par un comité de la prospective qui réunit 15 experts aux profils extrêmement diversifiés, aussi bien journalistes qu’anthropologues, sociologues, philosophes, économistes, entrepreneurs, juristes, pour aborder les questions d’évolution de notre société, avec, des publications sur la ville connectée, le partage des données, etc.

C’est également un rôle de réflexion sur les problèmes éthiques et les questions de société qui sont soulevés par l’évolution des technologies numériques.
Ceci est un rôle qui a été confié récemment à la CNIL et qui résulte non pas du règlement européen, mais de la loi sur une République numérique, qui a confié à la CNIL le soin d’animer le débat public, autour de ces questions d’évolution des technologies numériques.

Un document a été rédigé sur le sujet par une quarantaine d’acteurs, fédérés autour de la CNIL, pour un débat public sur les algorithmes.

Cela a été l’occasion de questionner un petit peu les questions d’autonomie, de responsabilité, d’éthique, autour de l’intelligence artificielle, et d’examiner, dans certains secteurs d’activité, la justice, la police, les ressources humaines, quelle était l’utilisation de ces algorithmes de l’intelligence artificielle.

C’est également, et la CNIL est avant tout connue pour cela, un rôle, effectivement, de vigile, là aussi, sur plusieurs aspects.

Premièrement, réglementer et accompagner la conformité.

C’est d’abord l’adoption de cadres de référence, ce qu’on appelle des packs de conformité sectoriels, qui sont des mécanismes de droit souple, certes, mais qui permettent d’être fort agiles, au vu de l’évolution des nouvelles technologies, et d’accompagner l’innovation, puisque ces outils sont destinés à aider les responsables de traitement, les sous-traitants, l’ensemble des acteurs publics et privés, à réussir leur transition numérique.

On y trouve également l’approbation de codes de conduite professionnelle, la délivrance de labels, ce que fait déjà la CNIL, et ce que le règlement européen met en avant comme des outils de conformité, démontrant l’accomplissement des obligations nouvelles, mises à la charge des responsables de traitement.

Conséquemment, en la matière, on peut dire qu’effectivement, la CNIL a acquis une avance dont elle va pouvoir faire bénéficier l’ensemble de ses collègues, puisqu’elle adresse maintenant le public européen, au travers du système de gouvernance européenne.

Il y a la promotion des technologies protectrices de la vie privée, notamment pour ce qui concerne les techniques de chiffrement, et les labels actuels de la CNIL.

Le règlement va plus loin sur la certification d’opérations de traitement, en matière de protection des données et de possibilités de recourir à des organismes de certification pouvant être agréés par les autorités de protection des données.

La loi pour une République numérique, nous a également donné une compétence spécifique en matière de certification des processus d’anonymisation.

On a également des pouvoirs d’autorisation et de consultation, où il s’agit, dans le cadre du règlement européen, de conseiller le responsable de traitement qui peut nous saisir, à l’occasion des analyses d’impacts qu’il devra mettre en œuvre pour les traitements présentant des risques élevés pour les droits des personnes, et, bien évidemment, tout le volet d’avis au gouvernement sur des projets de loi, des projets de décrets et des propositions également, dont les parlementaires seront saisis.

Ensuite, il reste un pouvoir d’autorisation avec les dispositions du règlement concernant certains traitements, puisqu’il y a des marges nationales qui sont laissées aux États membres pour faire application de ce pouvoir d’autorisation, à l’égard de certains traitements considérés comme sensibles, comme c’est le cas pour les traitements dans le domaine de la santé, dans le domaine du traitement des données génétiques ou biométriques, ou encore de l’utilisation du numéro de Sécurité sociale.

Puis, le règlement prévoit expressément un pouvoir d’autorisation des autorités de protection des données, lorsque des transferts, hors Union européenne, vont être effectués au moyen de clauses contractuelles ad hoc, et non pas des clauses contractuelles types, et des arrangements administratifs qui ne seraient pas contraignants.

3.2.2 Vigile

On en vient, dans cette palette de missions de l’autorité de protection des données, à ce qui concerne l’aspect répressif qui prend appui sur ce que prévoit le règlement et dont la CNIL disposait jusqu’à présent.

Ce n’était pas forcément le cas de certains pays en Europe, d’où l’intérêt d’avoir cette harmonisation totale, qui consiste, dans les pouvoirs d’enquête de la CNIL, à ordonner au responsable de traitement et aussi au sous-traitant.

Cela est un aspect nouveau, pour le coup, qui est très intéressant, de pouvoir exiger toute information de sa part, et pour le sous-traitant, de pouvoir le sanctionner, lorsque la CNIL est saisis de plainte, ou pas, d’ailleurs, puisque la CNIL peut également s’autosaisir, de procéder à des audits dans le cadre de son pouvoir d’enquête, si, dans le cadre de la délivrance de certification, la CNIL sera amenés à les examiner, à notifier au responsable de traitement ou au sous-traitant une violation du règlement.

Ensuite, une possibilité d’accès à tous les locaux et les données du responsable de traitement ou du sous-traitant.

À l’appui de ces pouvoirs d’enquête, il y a bien sûr le pouvoir de prendre des mesures correctrices, comme le dit le règlement, qui sont aussi bien des avertissements que des rappels à l’ordre, que des injonctions de mettre les opérations en conformité, injonction aussi de communiquer à la personne une violation de données, d’imposer une limitation du traitement, ou même d’interdire ce traitement.

3.2.3 Sanctions

Les sanctions financières sont renforcées de façon très forte, puisqu’il y a maintenant des seuils maximum, soit 10 millions d’euros, ou pour une entreprise, 2 % du chiffre d’affaires mondial de l’exercice précédent pour le non-respect des obligations du responsable de traitement ou du sous-traitant, ou des dispositions sur les codes de conduite ou les mécanismes de certification.

Ces seuils remontent à 20 millions d’euros, ou pour une entreprise, à 4 % du chiffre d’affaires mondial de l’exercice précédent, pour ce qui est du non-respect d’un certain nombre d’autres dispositions du règlement, ce qui, effectivement, en fait des éléments très dissuasifs pour l’ensemble des acteurs.

Ce qui est tout de même important de préciser sur ces sanctions, c’est qu’elles sont encadrées, graduées et renforcées, puisqu’elles vont s’appliquer au responsable et au sous-traitant, en application de nouvelles modalités décisionnelles, qui sont le fait que l’on aura l’application du mécanisme de coopération pour les traitements transfrontaliers, et donc, d’une application uniforme et cohérente d’une seule et même décision. Cela permettra de faire poids au niveau européen, vis-à-vis notamment des grands acteurs internationaux.

Dernier point, ces sanctions s’appliquent sur la base de critères d’appréciation qui ont été précisés par le règlement, et qu’il est important d’avoir en tête.

Ce qui a été cité c’est bien sûr des seuils, des montants maximaux, et que c’est en fonction de tous ces indices, qu’il s’agisse de la nature, de la gravité, de la durée de l’infraction ou des autres éléments mentionnés, que sera appliqué le montant effectif de la sanction, au travers du mécanisme de coopération dont il a été question plus haut.

Par conséquent, on aboutit à un régulateur dont la palette de missions est extrêmement large, et qui, du fait, de cette nouvelle gouvernance européenne, pourra peser beaucoup plus fortement vis-à-vis des acteurs internationaux.

3.3.1 Guichet Unique

Lorsque la Commission européenne a lancé les travaux, en 2012, sur le règlement européen, c’est en ayant en tête le besoin qu’avaient les entreprises de pouvoir s’adresser à une seule autorité pour le compte de l’ensemble des CNIL européennes. Ce mécanisme de guichet unique.

Il est facile de comprendre que si une entreprise dispose de plusieurs établissements dans plusieurs États membres qui utilisent le même logiciel ou le même entrepôt de données, on est bien dans un traitement transfrontalier; mais c’est aussi le traitement d’un seul établissement dans un seul État membre, qui serait susceptible d’avoir des impacts sur les personnes dans plusieurs États membres. 

Les traitements mis en place par que ce soit Amazon, Apple, Google, établis dans un seul État membre, affectent ou peuvent affecter sensiblement, bien sûr, les ressortissants de plusieurs États membres.

Ce qu’on appelle l’établissement principal, c’est, le plus souvent, l’administration, le lieu du siège social de l’entreprise, à moins qu’il y ait effectivement une de ses filiales qui ait le pouvoir de prendre des décisions et de les appliquer effectivement sur la finalité et les moyens du traitement. 

Prenons un exemple : une banque établie en Allemagne, qui aurait une filiale qui serait complètement indépendante s’agissant des traitements concernant l’assurance. On aura deux établissements principaux : en Allemagne pour la banque et en Italie pour la société d’assurance. 

C’est très important de pouvoir savoir où est l’établissement principal parce que c’est ce qui va déterminer qui va être l’autorité de contrôle chef de file. 

L’autorité de contrôle chef de file, est, effectivement, celle de l’établissement principal, et c’est celle-ci qui fera office de guichet unique. 

Outre cette autorité de contrôle chef de file, il y aussi d’autres autorités de contrôle qui sont dites « concernées », parce qu’elles aussi sont sur des territoires où il y a un établissement du responsable de traitement ou du sous-traitant, puisque, effectivement, ça s’applique également aux sous-traitants, ou encore, elle a reçu une plainte qui concerne effectivement ledit traitement, ou alors les personnes qui sont sur son territoire, quand bien même elles n’ont pas effectué de réclamation, pour autant, sont susceptibles d’être affectées par le traitement en question.

3.3.2 Comité européen de protection des données

Mécanismes de coopération qui identifient les relations qu’il va y avoir entre l’autorité chef de file, d’une part, et les autorités concernées, de l’autre, et ce qu’on appelle le mécanisme de contrôle de la cohérence dans le règlement européen. 

C’est tout simplement le système de règlement des conflits lorsque les autorités de protection des données n’arrivent pas à se mettre d’accord.

À ce moment-là, il y a un système particulier avec ce qu’on appelle le Comité européen de protection des données, qui a été institué par le règlement.

3.3.3 Coopération sur les traitements transfrontaliers

Prenons deux exemples.

Exemple 1: un citoyen qui va déposer une plainte à l’encontre d’un traitement auprès de son autorité de protection nationale, puisque c’est toujours vis-à-vis d’elle qu’il va intervenir.

Cette autorité de protection nationale va s’adresser à l’autorité chef de file, qui est donc l’autorité du pays dans lequel se trouve l’établissement principal de cet organisme, responsable ou sous-traitant.

Cette autorité chef de file va faire l’instruction de la plainte, en consultant l’autorité de protection qui la saisit directement, mais également celles qui pourraient être concernées, il peut y avoir effectivement d’autres autorités, élaborer un projet de décision, et, après concertation, il est probable que les autorités se mettent d’accord, en tout cas, on peut l’espérer, déboucher sur une décision.

Exemple 2: ce qu’on appelle les mesures d’accountability.

Là, c’est l’établissement secondaire qui fera remonter à son établissement principal un projet de décision, par exemple, suite à une analyse d’impact sur un traitement ou l’adoption des règles internes d’entreprise.

Ici, c’est l’établissement principal qui va nouer une relation avec l’autorité chef de file, qui va jouer ce même rôle avec les autorités éventuellement concernées, pour faire une consultation, des échanges d’information, et déboucher sur un projet de décision et adopter par exemple les BCR, les codes de conduite, les avis sur des analyses d’impact.
Dans l’hypothèse, une fois encore, où les autorités de protection des données sont d’accord entre elles.

Malheureusement, il y a des cas où les autorités ne se mettent pas d’accord entre elles. Ce qui oblige à recourir au Comité européen de la protection des données; et on remonte de la même façon du citoyen qui fait sa plainte auprès de l’autorité de protection qui renvoie à l’autorité chef de file, qui n’obtient pas l’accord de toutes les autorités concernées, celles-ci s’opposant à son projet de décision.

Le conflit fait que c’est le Comité européen qui va donner un avis contraignant sur un cas individuel, en l’espèce, cette plainte, ou qui serait susceptible également de donner des opinions sur les sujets généraux.

Dans le cas où on a une autorité de protection des données qui va informer la chef de file qu’il y a effectivement une problématique, mais qui est vraiment unique dans son pays et qui ne justifierait pas qu’il y ait application du système de guichet unique; dans ce cas, la chef de fil décidera soit de faire quand même application du dispositif, ou alors de laisser l’autorité de protection décider à son niveau.

Voici, très rapidement, la recette du mécanisme one stop shop.

L’avenir nous dira si cette recette est bonne ou s’il convient effectivement de l’aménager. Ce qui est certain, c’est que le G29 travaille d’arrache-pied à mettre en place tous les dispositifs, que ce soit au niveau du système d’information ou des mécanismes de procédures, pour que cela fonctionne et permette une application cohérente du règlement.

3.4.1 L’objectif du règlement européen

Avoir, sur le même continent, une seule loi avec la même jurisprudence, le choix de l’instrument n’est pas anodin et a été fait de manière délibérée. C’était pour répondre aux faiblesses, à l’écueil actuel de la directive qui a été transposée dans les 28 États membres de manière divergente, et donc, avec des interprétations, de facto, aussi divergentes.

Le législateur a voulu donc organiser la cohérence sur ce sujet de la vie privée pour des cas transfrontaliers, des cas de traitement qui sont opérés dans différentes juridictions, mais également pour les cas nationaux.

L’idée, c’est d’avoir au maximum le même droit et la même interprétation de ce droit dans les 28 États membres.

Le législateur a tout fait pour que ce soit le cas dans le texte.
Il l’a fait, bien évidemment, par des règles, mais également, par la création d’un Comité européen à la protection des données, le CEPD, qui n’est pas une agence européenne, mais qui est un comité avec une personnalité juridique et un pouvoir contraignant.

C’est une des grandes nouveautés du règlement.

Nous avons donc une loi, avec des principes assez précis et détaillés, qui vont s’appliquer dans toute l’Union européenne, et avec un comité qui est chargé de contrôler la mise en œuvre, la cohérence de la mise en œuvre de ce texte.

3.4.2 Coopération des autorités nationales

L’article 63 pose justement le principe de la nécessaire application cohérente du texte et il précise que pour atteindre cet objectif, les autorités doivent coopérer entre elles.

Elles vont coopérer via le système du guichet unique, mais également au travers de ce Comité européen de la protection des données.

La Cnil a mis en place, au niveau du G29, une « task force », un groupe de travail qui est composé du président du G29, des deux vice-présidents et de l’EDPS pour, justement, travailler et préciser comment ce Comité va vivre.

Ce groupe de travail a notamment travaillé sur le budget, sur le personnel de ce Comité, sur le système d’information qui va sous-tendre les activités de ce Comité, et sur un projet d’accord avec l’EDPS sur le secrétariat de ce Comité européen.

C’est très important parce que l’EDPS qui est une institution communautaire, le contrôleur européen qui contrôle les fichiers communautaires, va, en fait, fournir le secrétariat de ce CEPD, de ce Comité.

La task force et l’EDPS ont donc travaillé ensemble sur les missions, les tâches, l’organisation et ce que va faire l’EDPS, dans le cadre de ce secrétariat.

Ils ont travaillé sur des règles de fonctionnement du CEPD et ils ont aussi développé des formulaires, des lignes directrices, des schémas, pour les autorités, pour bien comprendre comment va fonctionner ce CEPD, mais également le système de coopération renforcée, multilatérale entre autorités.

Alors, très rapidement, que va faire ce CEPD ?
À quoi il va servir ?

Le CEPD va produire trois types d’actes.

1. Il va prendre des avis, en vertu de l’article 64.
   Le CEPD devra prendre un avis qui sera adopté à la majorité simple dans les deux mois de sa saisine.
2. Il va prendre des décisions contraignantes, en vertu de l’article 65, et donc, en fonction de certains sujets, il devra se prononcer, dans un délai d’un mois, avec la possibilité d’une extension d’un mois si le sujet est trop complexe, et se prononcer à la majorité des deux tiers.

Il va prendre des décisions contraignantes qui s’appliqueront non pas aux entreprises mais aux autorités.
Il pourra être saisi, dans ce cadre-là, de litiges entre autorités.
Ça sera une sorte d’organisme de médiation ou d’arbitrage entre autorités.

1. Il va prendre des lignes directrices, en vertu de l’article 70, qui seront adoptées à la majorité simple.
   Les sujets qui feront l’objet de lignes directrices sont des sujets techniques qui relèvent du règlement.
   Ce travail de production de lignes directrices, est fait déjà avec le G29, rien de nouveau.

En ce qui concerne le premier type d’acte, notamment l’article 64, lorsque les autorités nationales adoptent ou ont un projet d’adoption de ces instruments, par exemple, un code de conduite, des BCR ou des clauses contractuelles, ou autre  exemple, la liste nationale des traitements à risques, l’autorité compétente doit saisir le Comité européen.

Le Comité européen doit examiner ce cas et préparer un projet de décision dans un délai de huit semaines, qui peut être éventuellement prorogé à six semaines si le cas est complexe.

Le Comité adopte sa décision par majorité simple, Il est ensuite notifié aux autorités de contrôle concernées et publié.

Une fois cette notification faite, l’autorité doit soit prendre en compte l’avis, soit peut ne pas le prendre en compte.

Dans ce dernier cas, le mécanisme de l’article 65 pourra être déclenché par les autres autorités, c’est-à-dire que les autorités pourront saisir le Comité, en raison de cette non prise en compte de son avis, et à ce moment-là, on est dans le système de l’article 65, un système de médiation et d’arbitrage.

L’article 64 permet donc au Comité de prendre des avis sur des sujets précis qui, à la base, ne sont pas contraignants, mais qui peuvent le devenir si les autorités estiment que l’autorité concernée doit suivre l’avis. À ce moment-là, elle peut déclencher l’article 65.

L’article 65, est le système de règlement des litiges par le Comité entre autorités.
On n’est pas au niveau des entreprises.

Dans trois cas, le Comité peut être saisi.

Soit parce que les autorités ne sont pas d’accord entre elles sur un projet de décision qui relève du guichet unique: il y a un système, un cas transfrontalier, une autorité chef de file, qui travaille sur ce cas, prépare un projet de décision, le soumet aux autres autorités concernées.
Une autorité ou plus n’est pas d’accord, à ce moment-là, il est possible de saisir le Comité.

Deuxième possibilité, la divergence sur la détermination de la chef de file.

Troisième cas, c’est l’article 65 dont on vient de parler, la non prise en compte d’un avis.

Dans ces cas-là, l’autorité saisit le Comité qui a un mois pour se prononcer, avec possibilité de prorogation d’un mois.

L’examen du cas se fait dans ces délais, et ensuite, le Comité adopte une décision à la majorité des deux tiers.

Par la suite, cette décision est notifiée aux autorités de contrôle et publiée.

Dernière chose à voir, l’article 66, qui est un cas où l’autorité nationale, parce qu’il y a des circonstances exceptionnelles et une urgence à protéger les droits, va prendre une décision temporaire qu’elle va notifier au Comité, aux autres autorités de contrôle et à la commission.

L’autorité nationale estime qu’il y a urgence et qu’il y a une situation exceptionnelle sur son territoire, elle va prendre des mesures provisoires sur un traitement de données, opéré sur son territoire.

Elle peut décider de suspendre un traitement ou un transfert. La durée de la validité de sa décision va être de trois mois maximum.

Ensuite, si jamais l’autorité qui est censée prendre une mesure ne la prend pas alors qu’il est urgent de réagir, ou s’il y a toujours ce climat de circonstances exceptionnelles et d’urgence, et que l’autorité qui a pris sa mesure provisoire considère qu’il faut maintenant passer en mesure définitive, donc, dans ces deux cas, l’autorité peut saisir le Comité qui aura deux semaines pour se prononcer et prendre une décision, un avis ou une décision, à la majorité simple, et qui notifiera cette décision aux autorités concernées et la publiera.

Il y a donc un système qui permet à l’autorité qui a pris une mesure provisoire sur son territoire, parce que peut-être que la chef de file n’a pas agi ou une autre autorité n’a pas agi comme il le faudrait, d’obtenir confirmation, au bout d’un délai de trois mois, que sa mesure provisoire doit être prise de manière définitive.

C’est un mécanisme donc, qui permet aux autorités nationales d’avoir un certain domaine d’action, dans l’hypothèse où c’est nécessaire, où il y a urgence de le faire.

Protection des données personnelles dans le monde

La protection des données dans le monde est un sujet relativement vaste et complexe.

Tout d’abord, il existe un outil disponible sur le site de la CNIL : une carte du monde qui regroupe les lois et les autorités existantes, aujourd’hui, dans le monde.

Il faut savoir qu’aujourd’hui, il y a 120 lois dans le monde et 30 qui sont en cours d’élaboration ou d’adoption.

C’est une étude qui a été réalisée en juillet 2017 par Graham Greenleaf, un professeur de droit reconnu au niveau mondial.

Pour donner quelques pistes sur cette carte et les légendes: 

• le bleu foncé, est pour les pays membres de l’Union et de l’espace économique européen ;
• le bleu clair, les pays qui ont été reconnus par la Commission européenne comme apportant un niveau de protection de données adéquat aux standards européens (attention, car il y a des adéquations sectorielles, comme avec le Privacy Shield aux États-Unis) ;
• le violet foncé, pour les pays qui ont une loi et une autorité de protection des données qui satisfont aux standards de la Conférence internationale des commissaires, donc une autorité considérée comme indépendante ;
• le violet clair, pour les pays qui ont une loi et une autorité, mais qui ne satisfont pas aux critères de la Conférence internationale ;
• Et puis, pour terminer, le gris pour les pays qui n’ont ni loi ni autorité de protection des données.

Ceci donne une idée de l’existant des lois et des autorités de protection des données dans le monde.

Pour ce qui est des principaux cadres juridiques régionaux, dans l’Union européenne, pour commencer, il y a eu, la directive de 95/46 qui représentait le socle pour tous les États membres et qui a été transposée dans les 28 États membres, le règlement européen et la directive Police-Justice; mais aussi quelque chose d’important à souligner, l’existence de la convention 108, développée par le Conseil de l’Europe.

Cette convention 108 a une importance particulière parce que c’est le seul texte contraignant, au niveau international, pour ses signataires.

C’est un texte qui a une valeur juridique de traité international, et donc, qui a une valeur juridique supérieure à la directive, au règlement européen, et à la directive Police-Justice.

C’est pour ça qu’il y a une très bonne interaction entre les États membres, qui font partie du Conseil de l’Europe et qui ont également négocié les textes de l’Union, et la Commission européenne, pour bien s’assurer de l’articulation entre ces deux textes, ces deux cadres juridiques, le cadre juridique régional du Conseil de l’Europe et le cadre juridique européen.

À noter qu’au Conseil de l’Europe, il y a 47 membres, dont, bien sûr, les 28, mais également la Russie, la Turquie, toute une série de pays européens.

À noter aussi qu’il y a de nombreux pays qui ne sont pas membres du Conseil de l’Europe, qui ont adhéré à la convention 108 existante, ou qui pensent y adhérer, et qui donnent une valeur de plus en plus importante à cette convention 108, comme un peu un traité international sur le sujet.

On est donc très vigilants sur l’articulation avec le cadre juridique de l’Union.

L’OCDE, 35 membres, les 28 de l’Union européenne, mais également les États-Unis, Israël, le Canada, le Chili, le Japon, toute une myriade de pays, en plus de l’Union européenne, avec lesquels il est très intéressant de discuter de vie privée, a adopté des lignes directrices en matière de protection des données, dans les années 1980, les a mises à jour en 2013.

Ce sont des lignes directrices, donc pas de caractère contraignant pour les signataires, les membres de l’OCDE, mais quand même, c’est intéressant, car ça permet de se mettre d’accord entre les États-Unis, l’Union, le Japon, sur des principes généraux qui sont, certes, non contraignants, mais dont le but est de les décliner au niveau national, donc, de créer une sorte de convergence.

L’APEC, qui est l’équivalent de l’OCDE, mais dans la zone Asie-Pacifique, a une vingtaine de membres dont la Chine, la Russie, les États-Unis, le Japon, le Vietnam, Hong-Kong, tous les pays qui bordent le Pacifique, également le Canada et des pays d’Amérique du Sud.

C’est donc un forum très important qui pèse très lourd, économiquement, un tiers du PIB mondial, et dans lesquels ils parlent vie privée.

Ils ont développé, en 2004, des lignes directrices qui s’inspirent beaucoup des lignes directrices de l’OCDE, et ils ont aussi développé les Cross-Border Privacy Rules, un système d’encadrement des transferts entre pays membres de l’APEC.

Un certain nombre de pays ont déjà mis en œuvre ce système d’encadrement des transferts de données personnelles.

Très rapidement, les principaux forums des autorités de protection des données, le G29, qui est le groupe des CNIL européennes, donc des 28 CNIL européennes, plus la commission et le superviseur européen des fichiers communautaires, ont pris des positions sur des sujets d’intérêt commun, en lien avec l’interprétation de la directive de 95.

Il s’est  transformé récemment en Comité européen, avec la mise en application, l’entrée en application du règlement.

La Conférence internationale des commissaires, 110 membres, aujourd’hui.

Les 110 CNIL mondiales qui ont une loi et une autorité de protection des données, selon les critères de la Conférence.

C’est un réseau, avant tout, qui se réunit une fois par an, qui prend des résolutions communes.

L’idée est de réfléchir, dans l’année qui vient, sur le futur de cette Conférence.

L’Association francophone des autorités, regroupant les autorités de protection des données de la zone francophone, et l’APPA, ce sont les autorités des pays membres de l’APEC qui est le réseau des autorités de ses membres, puisque l’APEC regroupe avant tout des gouvernements, pas des autorités. C’est le réseau des autorités.

À noter rapidement qu’il y a d’autres forums, mais qui sont des forums comme l’APEC, qui sont représentés par des gouvernements, donc là, ce sont les forums d’autorité de protection des données.

Pour finir, quelques exemples de modèles qui existent, aujourd’hui, et qui n’ont pas la même approche.

Les États-Unis, n’ont ni de loi transversale générale sur la protection des données, ni d’autorité avec un périmètre d’action large, couvrant fichiers privés, secteur privé, secteur public, mais une multitude de lois sectorielles, au niveau étatique et au niveau fédéral.

Par exemple, il y a une loi qui protège les enfants, la COPPA, au niveau fédéral, ou une loi sur la santé, qui s’appelle HIPAA, au niveau fédéral.

Pour ce qui est de l’Argentine, il y a une loi de protection des données, une seule loi générale avec des règles très proches de celles de l’Union européenne, collant beaucoup à la directive européenne, avec une autorité de protection des données et un périmètre d’action très large.

Pour le Japon, il y a une combinaison entre les deux, une combinaison d’une loi générale, de dispositions sectorielles et également de mécanismes d’autorégulation, dont un qu’il faut mentionner, qui est intéressant, de certification des traitements de données personnelles.

Pour résumer tout ça, il y a des modèles juridiques divergents, il y a aussi des forums et des cadres juridiques régionaux qui essaient de faire converger toutes ces règles, et on s’aperçoit qu’il y a vraiment une appétence, entre tous ces pays, de plus échanger, discuter entre eux, sur, à la fois les règles, et peut-être une meilleure convergence des règles; on s’aperçoit qu’on est confrontés aux mêmes problématiques.

Il y a donc bien évidemment une volonté aussi de rechercher des solutions qui peuvent être communes, et également des échanges, pas forcément sur les règles, mais sur leur mise en œuvre et sur, notamment, les outils et les bonnes pratiques que chaque autorité peut développer et qui peut intéresser le voisin, les autres.

On s’aperçoit donc qu’il est absolument nécessaire de plus communiquer, échanger entre les différents forums régionaux utilisant les différents cadres juridiques existants, mais également d’échanger et de bâtir des outils opérationnels communs entre tous.

Ce qui est important aussi, c’est qu’il commence à y avoir des initiatives d’investigations, d’enquêtes communes au niveau international.

Par exemple, il y a un « Sweep Day », avec plusieurs autorités de contrôle au niveau international, sur certains sujets, avec l’optique de mettre en place des enquêtes communes sur des sujets communs, au niveau international.

Il y a différents cadres juridiques, il y a différentes approches juridiques, différents forums d’autorités de protection des données, cependant, nous sommes tous confrontés aux mêmes problématiques dans un monde globalisé et sans frontières.

Il y a par conséquent, une réelle appétence, en ce moment, à plus échanger entre les différents forums, sur les différents cadres juridiques, pour aller vers plus de convergence, que ce soit des convergences de règles, mais également plus de convergence dans la façon dont on met en œuvre nos règles.

De l’Asie-Pacifique, de l’APPA, on s’aperçoit qu’eux aussi ont des délégués à la protection des données personnelles, ont des systèmes de notification de faille de sécurité, mettent en place des évaluations d’impact.

Ce qui est intéressant, c’est d’échanger sur ces outils, de voir quelles sont les meilleures pratiques, comment on peut s’inspirer des autres, comment ils peuvent s’inspirer de nous, une véritable volonté d’échanger, de travailler ensemble, de coopérer au niveau international.

La CNIL est très intéressée aussi par ce forum de la Conférence internationale des commissaires à la vie privée, qui regroupe ces 110 CNIL européennes.

Elle attend beaucoup de ce forum comme étant le lieu qui permet aussi de connecter les différents forums, les différents groupes de travail, sur la mise en œuvre, la mise en application de tous ces cadres juridiques, avec, encore une fois, la volonté de créer des ponts, des passerelles, entre les différentes initiatives, nationales ou régionales.

4.1.1 Sécurité du SI

La réglementation informatique et libertés, c’est des principes de nature juridique appliqués au traitement, et puis ce sont aussi des règles de nature technique.

Une des règles de base quand on se constitue un fichier informatique, c’est d’assurer la sécurité sur les données contenues dans ce fichier. Ce principe existe depuis l’origine de la loi informatique et libertés. 

L’article 32 du règlement européen dit que compte tenu des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte, ainsi que des finalités du traitement, et aussi des risques, dont le degré de probabilité ou de gravité varie en fonction des circonstances, le responsable de traitement et le sous-traitant doivent instaurer les mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque. 

Les conditions de stockage des données sont telles qu’elles seront suffisamment sécurisées, notamment contre des accès non autorisés, mais pas exclusivement.

Chiffrement de données, de procédures visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles…

Tout ça veut dire qu’il faut formaliser, que ce soit clair, une procédure en matière de sécurité des systèmes d’informations, et que cette procédure doit être régulièrement mise à l’épreuve.

4.1.2 Pseudonymisation

C’est une technique qui va permettre d’appauvrir le niveau nominatif d’un fichier.

On n’est pas dans une logique d’anonymisation, puisque l’anonymisation consiste à totalement vider le fichier de sa substance nominative. 

Quand un fichier est totalement anonymisé la loi ne s’applique plus. 

La CNIL va vérifier que le système d’anonymisation mis en œuvre est pertinent et suffisant pour garantir qu’il n’y aura pas de réidentification des informations.

La pseudonymisation, c’est comment on fait pour appauvrir le niveau nominatif des données personnelles, par exemple, en séparant le fichier en deux fichiers physiquement distincts, et  donc, pour avoir accès à ces données, on doit recouper les deux fichiers. 

Autrement dit, c’est rendre l’information plus difficilement accessible, mais c’est une logique de traitement de données à caractère personnel, et le règlement européen continue à s’appliquer.

4.1.3 Sécurité

1. On assure la sécurité du point de vue de l’intégrité des données, c’est-à-dire, on doit garantir que les données ne seront ni altérées, ni modifiées, ni détruites, de manière involontaire. 
2. On doit garantir la sécurité et la confidentialité, en ce sens qu’on doit garantir que seules les personnes strictement autorisées auront accès aux informations.
   On doit donc mettre en place des politiques de gestion des habilitations en interne, on doit veiller à ce que des personnes à l’extérieur de notre structure n’aient pas un accès non autorisé aux données.

C’est toute la problématique du hacking sur Internet.

Si les données circulent sur un site internet, sur des réseaux, on doit veiller à ce que cette circulation ne donne pas lieu à des accès non autorisés.

Il est donc nécessaire de mettre en œuvre des mesures de sécurité, physiques et logiques.

Les mesures de sécurité physiques consistent par exemple à placer des serrures aux portes des salles où sont les serveurs informatiques, à utiliser des broyeuses pour détruire les fichiers papiers, à installer des systèmes anti-incendie pour éviter que les serveurs ne soient détruits.

Quant aux mesures logiques, ça va être des mesures de protection, par exemple, de cryptage de données, lorsque ces données circulent sur des réseaux ouverts.

L’obligation de sécurité, c’est une obligation dite de moyens renforcés, c’est-à-dire que le professionnel est tenu de mettre en œuvre toutes les mesures de sécurité existantes, en fonction de ce qu’on appelle l’état de l’art.

Après, si on est capable de démontrer qu’on a mis en œuvre toutes les mesures de protection possibles, si malgré ces mesures de protection, il y a une faille de sécurité, notre responsabilité peut ne pas être engagée ou qu’elle le sera de manière limitée, si on est capable de démontrer qu’on a fait tout notre possible sur le plan technique.

Les techniques de fraude informatique évoluent en permanence, l’état de l’art évolue en permanence, ce qui veut dire qu’une politique de sécurité est forcément évolutive.

D’où l’intérêt de ce que recommandait le règlement européen, de faire un suivi régulier des politiques de sécurité pour vérifier si elles sont à niveau, au regard des risques environnants et au regard de l’évolution des techniques de fraude informatique.

On va sécuriser notre fichier à hauteur des risques, induits par ce fichier. On ne mettrait pas le même niveau de sécurité, selon que l’on est en face d’un fichier dont la volumétrie est faible ou dont la nature des informations collectées n’est pas très sensible.

À l’inverse, si on met en place un fichier avec une forte volumétrie ou avec des informations sensibles, comme des informations financières ou des données sensibles sur la santé des personnes, il est évident qu’on va devoir justifier d’un niveau de sécurité plus important.

Lorsque la CNIL va venir dans l’entreprise faire un contrôle, elle va regarder toute la documentation disponible, relative aux procédures, relative aux outils de sécurisation qui ont été mis en œuvre.

La CNIL fera cette analyse de savoir si les niveaux de sécurité mis en œuvre étaient bien suffisamment adaptés au regard du degré de sensibilité et de risque des données enregistrées dans le traitement.

4.1.4 Sous-traitant

Autre point important en matière de sécurité, c’est la problématique de la sous-traitance.

Quand en tant que responsable de traitement, on fait appel à des sous-traitants informatiques pour des prestations d’hébergement ou tout autre type de prestation, on a des précautions à prendre vis-à-vis de nos sous-traitants.

Ce que nous dit le règlement européen sur la protection des données, c’est que le responsable de traitement doit prendre des mesures, afin de garantir que toute personne physique, agissant sous son autorité ou celle du sous-traitant, ne les traite que sur instruction du responsable de traitement.

Le sous-traitant ne doit agir que sur instruction du responsable de traitement; il doit également présenter des garanties suffisantes, en matière de sécurité des données.

Quand on choisi un sous-traitant, il doit nous garantir qu’il mettra en œuvre les bonnes mesures de sécurisation de nos données.

Évidemment, ces garanties se font via des clauses contractuelles.

Le règlement prévoit que lorsqu’on communique de l’information personnelle à un sous-traitant, on doit prévoir contractuellement les conditions de cette communication.

Il y a donc un travail important de rédaction de clauses contractuelles, vis-à-vis du sous-traitant.

Le règlement donne des informations importantes, il explique que la sous-traitance en chaîne n’est pas possible sans l’autorisation écrite du responsable de traitement.

On confie des données à un sous-traitant, il ne pourra lui-même sous-traiter les données, ce qui est une hypothèse courante, qu’avec l’autorisation préalable du responsable de traitement.

Il y a aussi des règles qui s’appliquent, en matière de notification des failles de sécurité, pour les responsables de traitement et les sous-traitants, cette question de la notification des failles de sécurité fait l’objet d’une séquence distincte au sein du MOOC.

4.1.5 Tiers autorisé

Un tiers autorisé, c’est souvent une administration, une entité, qui, de par la loi, a l’autorisation d’accéder à une base de données.

Par exception, le tiers autorisé, c’est l’agent public, qui, de par une loi, a l’autorisation d’aller collecter de la donnée, à des fins de vérification.

C’est le cas de l’autorité judiciaire, de la police, de la gendarmerie, des personnes qui travaillent pour l’administration fiscale, pour l’administration des douanes. Il y a de nombreuses administrations qui ont un droit de communication.

Le point important à retenir, ici, c’est que si un jour une administration vous demande un accès à vos données, vous devrez lui demander sur la base de quel titre juridique elle vous demande de l’information pour vous sécuriser vous-même et être sûr que ce tiers, qui vous sollicite, est bien habilité à obtenir communication d’informations.

Obligation de notifier les failles de sécurité

A côté de l’obligation d’assurer la sécurité et la confidentialité des données collectées susmentionnée, il y a une seconde obligation, qui résulte, à titre principal, du règlement européen, et c’est plutôt une nouveauté.

Concernant la notification des failles de sécurité, finalement, on va exiger des responsables de traitement qu’ils aillent un cran plus loin dans la protection des données, sur le plan de la sécurité informatique.

Cette obligation n’existe pas que depuis le règlement européen.

Elle existait déjà sous l’empire de l’ancienne loi « Informatique et libertés », depuis 2011, mais elle se limitait à un champ très particulier, puisque cette obligation ne concernait, jusqu’à présent, que les opérateurs télécom, les opérateurs de communication électronique.

En effet, l’ancien article 34 de la loi « Informatique et libertés », prévoyait le cas de violation de données à caractère personnel, sachant que, par « violation », on entendait « violation de la sécurité entraînant accidentellement, ou de manière illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles ».

Finalement, ce qu’on appelle une violation de données, c’est le fait que soit, on va détruire ou altérer, involontairement, de la donnée, soit, plutôt, c’est souvent le cas, que cette donnée va être communiquée à un tiers non autorisé, par exemple, un hacker.

L’ancienne loi disait qu’en cas de violation de données, l’opérateur, le responsable de traitement, devait prévenir, sans délai, la CNIL, et devait prévenir, par ailleurs, la personne concernée.

Ce qu’on appelle donc la notification des failles de sécurité, c’est l’obligation d’informer le régulateur, la CNIL, et d’informer également, dans certains cas, la personne fichée, elle-même, lorsqu’il y a eu un problème de sécurité avec des données.

Sous l’ancien régime juridique, un décret était venu préciser, le 30 mars 2012, les conditions dans lesquelles les entreprises devaient notifier les failles de sécurité à la CNIL, et de même, il existe un règlement européen qui date du 24 juin 2013, et qui, lui aussi, était venu apporter des précisions sur les conditions dans lesquelles doivent se faire ces notifications.

Il faut savoir que la notification des failles de sécurité, n’est pas une option.

En effet, quand, en tant que responsable de traitement, on est dans les hypothèses prévues par la loi, où on doit informer la CNIL et/ou la personne fichée d’une faille de sécurité, on doit le faire, et si on ne le fais pas, on engage notre responsabilité pénale.

Actuellement, le droit pénal prévoit des peines d’emprisonnement allant jusqu’à 5 ans, ainsi que des peines d’amendes lourdes, si on ne s’exécute pas dans cette obligation.

Sur ce sujet, les juristes, les spécialistes, ont indiqué qu’on était dans une zone qu’on appelle l’auto-incrimination.

Finalement, la notification des failles de sécurité, c’est l’obligation qui est faite au responsable de traitement d’aller s’auto-dénoncer, d’aller dire à la CNIL, régulateur qui, par ailleurs, a des pouvoirs de sanction, pécuniaire, notamment, qu’on n’a pas fait ce qu’il fallait ou qu’il y a eu des problèmes de sécurité, et donc, finalement, s’auto-incriminer

Comme le manquement à l’obligation de sécurité est aussi une infraction pénale, finalement, la loi oblige l’entreprise à se mettre dans une position où elle va devoir s’auto-dénoncer, déclarer qu’elle a commis une infraction pénale.

La grande nouveauté, avec le règlement européen sur la protection des données, c’est que cette obligation de notifier les failles de sécurité, désormais, va être élargie à l’ensemble des responsables de traitement.

Entreprises, administrations, associations, tous les responsables de traitement qui, un jour, sont confrontés à cette problématique d’une faille de sécurité sont soumis à cette obligation.

Quelle est la définition de « violation de données » dans le règlement ?

Il faut d’abord noter que c’est le même terme que dans la loi « Informatique et libertés ».

Le règlement prévoit qu’une violation de données à caractère personnel, est une violation de sécurité qui entraîne, de manière accidentelle ou illicite, la destruction ou la perte, l’altération ou la divulgation non-autorisée, de données à caractère personnel, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Ce que l’on peut retenir, c’est que la définition d’une violation de données n’a pas beaucoup changé entre l’ancienne loi française et le nouveau règlement européen.

Ensuite, on a un raisonnement en deux étapes:
Si on est confronté à une violation de données, on doit le notifier d’abord à la CNIL, dans certains cas, et par la suite le notifier à la personne fichée, dans certains cas.

4.2.1 A la CNIL

Pour ce qui concerne la notification à la CNIL, ce que prévoit le règlement, est que le responsable de traitement doit notifier toute violation à l’autorité de contrôle, dans les meilleurs délais et, si possible, dans un délai de 72 heures.

Donc, là, on est quand même sur une obligation assez large de notifier toutes les violations qui sont intervenues, et on est dans l’obligation de le faire dans un délai extrêmement court.

Le règlement européen précise les points sur lesquels il faut donner des informations à la CNIL, par exemple, sur la nature de la violation, les catégories, le nombre approximatif de personnes qui sont concernées, et puis, évidemment, surtout, des mesures de correction qui ont été prises.

En effet, l’objectif et l’esprit de cette obligation à notifier les failles de sécurité, c’est finalement d’obliger les entreprises à anticiper les risques informatiques, en définissant des procédures de gestion des risques et en définissant des modes opératoires à mettre en œuvre, en cas de faille de sécurité.

L’idée, c’est d’obliger au maximum les responsables de traitement à anticiper ces questions de sécurité informatique, pour, dans le maximum des cas, éviter de se retrouver dans une situation de notification de faille de sécurité.

4.2.2 A la personne

Deuxième point, deuxième étape, notification, dans certains cas, à la personne fichée.

On n’a pas à notifier les failles de sécurité, dans tous les cas, à la personne fichée.

Plus précisément, le règlement prévoit que le responsable de traitement doit informer la personne concernée, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés, sous-entendu, lorsqu’il y a un vrai risque de réutilisation détournée des informations.

Du coup, le règlement prévoit un certain nombre de cas, où bien qu’il y ait eu une violation de données personnelles, on n’aurait pas besoin de prévenir les personnes fichées.

L’un des cas prévu par le règlement est lorsque les données qui ont été communiquées à un tiers autorisé ont été rendues accessibles par une technique de chiffrement.

C’est la situation où on a correctement sécurisé nos données, mais que, malgré cela, il y a une faille de sécurité, on n’a pas besoin de prévenir les personnes concernées, si on a la certitude, et qu’on est en capacité de démontrer cette certitude à la CNIL, que les données sont suffisamment sécurisées pour qu’elles ne puissent pas, en réalité, être exploitées.

Même dans les cas où on va pouvoir être dispensé de la notification à la personne fichée, sachez que, bien souvent, on va devoir, quand même, notifier la faille auprès du régulateur national.

Sur ce sujet, la CNIL a mis à disposition des professionnels, sur son site, un certain nombre de guides et de documentations qui donnent des précisions sur les règles à respecter en la matière et sur les procédures qu’on peut rédiger pour anticiper les risques en matière de failles de sécurité et pour déterminer la procédure à suivre en cas de problème.

L’obligation de notification des failles de sécurité est un point saillant du règlement, car elle est désormais généralisée à l’ensemble des responsables de traitement, et il est donc important de la connaître.

Politique de sécurité des systèmes d’information

La loi « Informatique et libertés » française prévoit, à l’article 34, qu’on doit prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité et empêcher que les données soient endommagées, déformées, et que des tiers non-autorisés y aient accès.

Cette obligation est reprise, dans le règlement européen, sous des termes un peu différents, mais il s’agit de la même obligation.

Penser « protection des données », dès l’origine d’un traitement, c’est très important, car il s’agit de garantir, par défaut, le plus haut niveau de protection des données personnelles, conformément aux dispositions légales et réglementaires. L’objectif est une minimisation des risques.

Définir des mesures appropriées, au regard des donnés et des traitements, pour les réduire, les maîtriser, contrôler les risques et éprouver les mesures qu’on met en œuvre, cela suppose la mise en œuvre de dispositifs appropriés, qui peuvent être du chiffrement, une gestion des habilitations, de l’hébergement sécurisé, l’anonymisation ou la pseudonymisation, etc.

On peut établir une politique de sécurité des systèmes d’information et la mettre en œuvre, qui est un bon moyen de procéder à la mise en œuvre et à la formalisation des mesures.

En quoi consiste une politique des systèmes d’information ?

Une politique doit d’abord être adaptée à la taille de l’entreprise, au contexte de l’entreprise.

Évidemment, il faut d’abord définir la personne qui va être responsable de la rédiger, de la faire évoluer et de la faire appliquer, et, en général, c’est le responsable « Sécurité et système d’information » de l’entreprise qui a cette charge.

En quoi consiste la politique ?

La politique va d’abord définir les exigences, et elle va les définir par rapport à ce qu’il faut couvrir.

On peut avoir des exigences, tout d’abord, en matière d’accessibilité aux locaux. En effet, les systèmes d’information de l’entreprise travaillent dans des locaux, et il faut s’assurer de la sécurité des biens et des personnes, c’est la première des choses.

On peut aussi s’assurer du respect de la stricte nécessité de l’accès à ces locaux. Seules les personnes autorisées peuvent y rentrer. L’accessibilité au système d’information, avec, notamment, la disponibilité de ce système d’information.

On peut également s’assurer du respect du besoin d’en connaître. Seules les personnes ayant besoin de connaître l’information doivent être habilitées à y accéder.

On peut s’assurer de l’intégrité des informations, puisqu’il faut prévenir l’altération de ces informations, et permettre leur restauration, en cas de problème.

S’assurer de la non-réfutabilité, ce qui consiste à permettre de tracer qui a fait quoi sur l’information, et reconstituer l’action, si nécessaire, et évidemment, la conformité aux lois et réglementations en vigueur.

Comment fait-on ?

La politique, on peut la constituer de plusieurs documents.

Le premier document va être de planter le décor, avec une politique générale qui va définir le périmètre d’application de la politique, les risques concernés et les acteurs.

Qui fait quoi, dans cette politique ?

Les missions de chacun, les instances de gouvernance, puisque, une fois qu’on l’a définie, il va falloir suivre son implémentation, et l’implémenter.

Les modalités de mise en œuvre, notamment la formation des acteurs, les modalités de reporting, de contrôle et d’audit.

Une fois qu’on a planté le décor, on peut compléter la politique générale par un ensemble de politiques spécifiques.

On peut aller de un à une dizaine, selon la couverture à assurer, le nombre et la taille des documents sont fonction de l’entreprise.

On peut ainsi établir des politiques spécifiques, la première politique va concerner la sécurité physique

Il va falloir définir des procédures et les mettre en œuvre pour empêcher tout accès physique non-autorisé, tout dommage ou intrusion dans les locaux hébergeant les SI, et donc, là, on va parler de vidéosurveillance, on va parler de portes, de badges, de clés, etc., et on va parler également, dans une seconde politique, de la gestion des habilitations.

On va sécuriser les locaux, mais derrière, on va donner des droits, des droits d’accès aux données de l’entreprise.

Qui peut en bénéficier ?
Qui peut demander l’habilitation ?
Qui va gérer l’attribution des droits ?
Comment on les attribue ?
Comment on identifie une personne par rapport à un code, par exemple ?

Et on va, dans cette politique, gérer, écrire la façon dont on va tracer et contrôler ces accès.

En complément de cette politique de gestion des habilitations, on peut écrire une politique sur les modalités de traitement de l’information.

Celle-là va définir la façon dont on va échanger les informations, dont on va les stocker, éventuellement les détruire, puisqu’on doit gérer des durées de conservation.

On va déterminer ces critères et cette façon de détruire en fonction du niveau de criticité des informations.

On va définir les mesures à mettre en œuvre.
Faut-il crypter des données ?
Faut-il crypter les flux de ces données ?
Faut-il stocker, dans des espaces dédiés, certaines données ?
Ou en limiter l’usage ?
Ou en interdire l’accès à certaines personnes ?

À ces trois politiques, on peut en rajouter d’autres.

La première consiste à faire une politique d’intégration de la sécurité dans les projets.

Les personnes qui vont concevoir un traitement, qui vont devoir le mettre en œuvre ou le tester, il est important de définir la façon dont ils vont devoir s’assurer de la sécurité de ce qu’ils font, puisqu’ils vont traiter des informations concernant des personnes.

On va définir, dans cette politique, éventuellement, les modalités de déroulement d’un projet.

Que fait-on, quand on va acquérir, par exemple, un logiciel ?

On va dire qu’il faut établir un contrat avec le sous-traitant ou le fournisseur, etc.

Dans quel environnement va-t-on pouvoir travailler ?

On va définir, par exemple, un environnement de développement, un environnement de recette, un environnement de préproduction, un environnement de production.

Comment on va passer de l’un à l’autre ?
Qui a le droit de travailler dans tel environnement et dans tel autre ?
Comment fait-on une analyse de risques ?
Quelles mesures doit-on définir pour sa mise en œuvre ?
Qu’est-ce qu’une PIA ?

La politique de sécurité relative aux tiers concerne les entreprises ou les sous-traitants qui vont intervenir, qui ne sont pas le responsable de traitement, mais qui vont travailler pour lui.

Il va s’agir ici de définir les directives de sécurité qu’ils vont devoir appliquer, notamment s’ils accèdent aux données dans les systèmes d’information.

On va donc définir si l’accès se fait à l’extérieur de l’entreprise, comment on le fait, par quels réseaux, comment on sécurise ces échanges, comment on contrôle les informations échangées, avec, toujours, une contractualisation et l’engagement de ces tiers en matière de respect de la sécurité.
Les architectures techniques qu’il faut mettre en place.

Que se passe-t-il, si on a des incidents ?
Comment les gère-t-on ?
Est-ce qu’on fait des tests d’intrusion ?
Etc.

La politique de sauvegarde et d’archivage est très importante, quelles que soient les autres politiques qu’on ait écrites ou pas, celle-ci est vitale, puisqu’il s’agit de sauvegarder les données, de définir la façon dont on va le faire. Tous les combien ? La façon dont on va les archiver. Au bout d’un moment, peut-être qu’on va les mettre dans un environnement spécifique, pour les garder plus longtemps.

Comment s’assure-t-on de l’intégrité des informations, de la disponibilité ?
Que se passe-t-il, si on a besoin de restaurer les informations ?
Combien de temps peut-on accepter qu’un système d’information ne fonctionne pas ?
Quel délai faut-il pour remettre en état le système ?
Etc.

Toutes ces stratégies seront écrites dans la politique de sauvegarde et d’archivage.

La politique d’exploitation de la sécurité, elle, va traiter de la mise en œuvre de la sécurisation du réseau interne de l’entreprise, c’est là qu’on va définir ces différents environnements susmentionnés.

On va définir des zones réseau cloisonnées, éventuellement, selon le niveau de criticité, selon le type de matériel, le type de logiciel, avec des zones spécifiques, pour les gens qui vont administrer le réseau, et comment on communique de l’un à l’autre.

Les traces. On a une obligation, au travers de notre règlementation, de tracer ce qui se passe sur les données, de garder en mémoire qui a fait quoi avec les données.

On peut parler de deux types de traces.

D’abord, on a les traces applicatives, en général appelées « pistes d’audit ».

Le traitement, en lui-même, va conserver cette trace de ceci : la personne qui est habilitée à faire telle chose, à créer la donnée, la modifier. On va savoir qui l’a fait, à quel moment, quel jour, quelle heure.

À ces traces applicatives, vont s’ajouter des traces techniques.

Ces traces techniques sont fournies en standard par les logiciels qu’on achète, ce sont les logs de connexion, qui donnent lieu à des journaux, qui vont être étudiés.

Ces traces sont parfois paramétrables, selon les besoins, par des techniciens, selon la nature de l’information et l’historique que l’on souhaite conserver.

L’analyse de ces traces va permettre de vérifier le bon usage des moyens informatiques de l’entreprise, de détecter des pannes, de faire une analyse des performances et de détecter des violations, de contrôler l’accès aux locaux, de savoir qui est entré, les traces, en termes de badges, etc.

Derrière cette gestion des traces, on aura donc, la politique d’accès aux traces.

N’importe qui ne pourra pas visualiser ces traces, bien évidemment. On va avoir un accès sécurisé limité aux traces.

Les personnes en charge de surveiller et de regarder ce qui se passe dans les outils vont être soumises à un engagement de confidentialité fort.

Elles vont pouvoir faire des analyses statistiques, par exemple, sur la performance des systèmes d’information, et, si besoin, des analyses ponctuelles individualisée, pour savoir qui a fait quoi.

Ça sera souvent des analyses sécuritaires, notamment tout ce qui est traces laissées par les antivirus, les pare-feu ou les sondes.

Ces traces devront donner lieu à une gestion des durées de conservation, car on ne peut pas les conserver ad vitam aeternam.

Qui dit traces, dit malheureusement, parfois, des incidents.

On peut avoir une gestion des incidents.

Une politique de gestion des incidents est très importante, car elle formalise le processus, la façon dont on va les gérer, la façon dont on va mettre en place des actions correctives et dont on va tracer ces actions, et analyser, évidemment, et traiter chaque incident.

Si nécessaire, cette politique de gestion des incidents va formaliser ce qui se passe en cas de violation de données à caractère personnel, avec l’obligation éventuelle de le notifier à la CNIL et aux personnes concernées, qui est une obligation prévue au règlement européen.

On a parlé des différentes composantes qu’on peut mettre dans une politique de système d’information, on peut ajouter d’autres documents, qui sont des chartes, et ces chartes peuvent porter sur plusieurs sujets.

Une charte qui est assez répandue, dans les entreprises françaises, c’est la charte pour les utilisateurs des systèmes d’information.

Cette charte va dire aux collaborateurs quels sont leurs droits et leurs devoirs, quand on met à disposition des systèmes d’information, à l’intérieur de l’entreprise ou à l’extérieur de l’entreprise. Peuvent-ils utiliser les réseaux sociaux pour parler de l’entreprise ? Etc.

Si on annexe cette charte au règlement intérieur, elle sera opposable, en cas de problème.

On peut aussi avoir une charte de mobilité, pour les personnes qui vont emmener un ordinateur portable, qui vont avoir un téléphone portable, et qui vont utiliser des données de l’entreprise ou des outils de l’entreprise, il est important de leur donner les règles à respecter.

À ces chartes, on pourra rajouter des procédures opérationnelles qui vont décrire les moyens et la façon dont on applique les politiques, et donc, là, ça va être très opérationnel.

On peut, par exemple, écrire une procédure pour dire comment on va attribuer un badge d’accès aux locaux.

On va, dans cette procédure, donner le formulaire à remplir, le circuit de validation. N’importe qui ne peut pas demander d’accéder à un local. Qui va recevoir la demande ? Lorsque la personne s’en va, la façon dont elle va rendre son badge.
Tout ça va être décrit dans la procédure.

On peut aussi faire une procédure de demande d’habilitation à un applicatif informatique.

La personne qui vient d’arriver, qui va devoir utiliser tel ou tel outil informatique, devra être habilitée en fonction d’un profil, et cette procédure, de la même façon, pourra définir le circuit. Est-ce que ça passe par le responsable, la direction des ressources humaines, la direction informatique ? Comment ça fonctionne ? Tout le monde travaillera ainsi, pour gérer une demande d’habilitation et un applicatif.

On peut aussi faire une procédure sur la façon dont on envoie, vers l’extérieur, un fichier sécurisé comportant des données personnelles.

Enfin, on peut définir une procédure de notification des violations des données personnelles, à la CNIL ou aux personnes.

Voilà tout un ensemble, qui constitue et qui peut compléter la politique de sécurité des systèmes d’information.

‘Privacy impact assessment’

On les appelle aussi les DPIA, parce que, dans le règlement, on parle de « Data Protection Impact Assessment », et non plus de « Privacy Impact Assessment ».

Il faut réaliser un “privacy impact assessment”, ou DPIA, pour les données présentant un risque élevé pour les personnes physiques.

Selon l’article 35 cette étude d’impact est préconisée lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. 

Le PIA est un processus qui assure que tout nouveau traitement de données ou toute modification d’un traitement de données a été réalisé en prenant en compte les obligations relatives au cycle de vie d’une donnée, c’est-à-dire de sa collecte à sa maintenance, sa conservation et sa suppression.

Ce traitement doit avoir été évalué au regard des risques, en matière de vie privée, et, une fois ces risques évalués, ce traitement ne peut être mis en place qu’en prenant en considération toutes les mesures nécessaires, afin de réduire ou de supprimer ces risques découverts.

L’analyse de risques, en matière de vie privée, est formalisée par un écrit qui permettra de documenter la conformité.

En bref, il s’agit d’imaginer le loup dans la bergerie. Comment pourrait-il rentrer ? Que se passerait-il ? Comment l’éviter ?

La première utilité, c’est d’intégrer la protection des données, dès la conception d’un projet, ce qu’on appelle « privacy by design ».

La deuxième utilité, c’est de démontrer la conformité au règlement, ce qu’on appelle le principe d' »accountability » qui est le principe où on sollicite les organismes en leur demandant de se responsabiliser pour bénéficier d’un allègement de formalités, et donc en contrepartie, ils doivent documenter leur conformité.

4.4.1 Critères

Le règlement impose la réalisation de ces PIA pour les traitements présentant un risque élevé. Comment détermine-t-on ce risque élevé ? 

On va se référer à trois éléments.

1. Le premier, le règlement lui-même, dans son article 35, donne plusieurs exemples.
2. Le deuxième, ce sont les listes des autorités, la CNIL et ses homologues ont la possibilité d’imposer que certains traitements soient soumis à PIA, ou, à l’inverse, d’exempter certains traitements.
3. Et puis, troisième référence, l’avis du G29, ce groupe d’autorité européenne, qui, dans son avis WP248, propose neuf critères.

Petite précision : ces neuf critères ne sont pas cumulatifs.
Vous pouvez, par exemple, en avoir deux ou trois. Le G29 prévoit qu’à partir de deux critères, vous avez probablement besoin d’un PIA; mais dans certains cas, vu le contexte du traitement, un seul critère, peut amener à réaliser un PIA.

Quels sont ces neuf critères ? 

1. Il s’agit des traitements d’évaluation ou de notation ;
2. des traitements qui se fondent sur des décisions automatisées avec effet juridique.
3. Il s’agit aussi de la surveillance systématique des personnes ; 
4. des données sensibles ou hautement personnelles ; 
5. des données personnelles traitées à grande échelle. 
6. Si on a un croisement d’ensemble de données.
7. Mais aussi si les données concernent des personnes vulnérables.
8. Si le traitement utilise des nouvelles solutions technologiques. 
9. Si le traitement exclut du bénéfice d’un droit, d’un service ou d’un contrat, les personnes.

Quelques exemples de traitements soumis à PIA:

1. La cybersurveillance des employés.

Là, ce sera soumis à PIA pour deux raisons et deux critères : d’abord, la surveillance systématique, et puis, également parce qu’il s’agit de personnes vulnérables, c’est-à-dire d’employés.

2. Le traitement, réalisé par un hôpital, de données génétiques et de santé de ses patients.

Trois critères : les données sensibles, les données de santé, les personnes vulnérables, les patients, et puis, ici, la grande échelle, l’échelle de l’hôpital.

Contre-exemples, le plus connu étant dans le considérant 91 du règlement, et c’est le traitement de données de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel.

4.4.2 Que va contenir le PIA?

1. D’abord, une description des traitements. 
2. Ensuite, on va faire une évaluation de ce traitement par rapport à la nécessité et la proportionnalité. 
3. Troisième étape, on va évaluer les risques internes et externes.
4. Et on va finir par les mesures envisagées pour faire face aux risques. Par exemple, on va chiffrer le traitement, chiffrer les données, ou on va mettre en place une procédure d’habilitation particulière pour les accès des personnes…, donc, on a plein de mesures techniques, juridiques, organisationnelles.

4.4.3 Responsables du PIA

1. D’abord, qui est responsable du PIA ? Le responsable du traitement. En pratique, ce sera le chef du projet, celui qui veut mettre en place ce traitement. Il va être chargé de l’élaboration du PIA.
2. Qui va être consulté ? Les sous-traitants. Par exemple, vous avez un traitement dans lequel il va y avoir un stockage externalisé. Dans ce cas, vous allez solliciter le sous-traitant pour qu’il vous donne des indications sur les mesures de sécurité, par exemple, pour pouvoir remplir votre PIA. Le cas échéant, vous allez aussi consulter les personnes concernées ou leurs représentants. Là, ce sera dans des cas assez particuliers. On peut penser, par exemple, à des réseaux sociaux ou à des municipalités qui voudraient mettre en place des traitements dans des lieux publics.
3. Le DPO lui, il va avoir un rôle de conseil, c’est le règlement qui le prévoit, et ce rôle de conseil va être assez vaste. Ça va être tant sur l’opportunité, la méthodologie… « Comment on va faire, dans mon organisme, pour réaliser ce PIA ? » « Quelles sont les mesures prises ? » « Les mesures que le chef de projet me propose sont-elles bonnes ou pas ? » Et, pour tirer une conclusion : la bonne réalisation ou non du PIA.

4.4.4 Faut-il transmettre son PIA à la CNIL?

Trois cas de figure.

1. Premier cas de figure : je fais mon PIA et je remarque qu’il demeure un risque résiduel élevé, pourtant, j’ai pris des mesures, mais malgré cela, mon traitement est encore assez risqué. Dans ce cas-là, je dois transmettre mon PIA à la CNIL, pour consultation.
2. Il peut aussi y avoir une obligation légale qui fait que ce PIA doit être transmis à la CNIL.
3. Le dernier cas de figure, c’est le cas du contrôle de la CNIL.

4.4.5 Est-ce que je dois transmettre mon PIA au grand public?

Est-ce que je dois le publier ? Il n’y a pas d’obligation, dans le règlement.

Cela peut peut-être s’expliquer, dans les cas où j’aurais demandé l’avis des personnes concernées ou de leur représentant. Ça peut avoir un sens de leur transmettre le PIA. Peut-être pas la totalité, peut-être un simple résumé ou les conclusions du PIA.

Quand faut-il faire un PIA ou refaire un PIA ?

On doit d’abord le faire préalablement à la mise en place du projet, comme les formalités préalables qui existaient avant le règlement en France.

Il faut également revoir le PIA, s’il y a des changements substantiels dans le traitement, et à ce sujet, le G29 indique qu’il serait utile de revoir, tous les 3 ans, les PIA, pour vérifier s’ils sont à jour.

Evolution des méthodes de la CNIL

Le RGPD est-il un niveau de contrainte supplémentaire, pour les professionnels, ou apporte-t-il de la souplesse par rapport au cadre réglementaire existant?

Il y a de la souplesse, puisqu’il y a une quasi-disparition des formalités préalables auprès de la CNIL et il y aussi une approche par les risques, promue par le règlement, ce qui permet d’adapter l’application du règlement à la réalité des traitements.

En même temps, il y a, sans doute, une exigence supplémentaire, puisque le règlement propose d’adopter une méthodologie particulière, et que, souvent, aujourd’hui, les responsables de traitement ne prennent pas le temps d’organiser la conformité, comme cela est prévu par le règlement.

« En cas de contrôle de la CNIL ou de procédure de sanction, qu’elle est la démarche à suivre de la part de l’organisme mis en cause ? »

En cas de contrôle de la CNIL, il faut être préparé :  savoir quels sont ses pouvoirs, savoir qui va recevoir la délégation de la CNIL et savoir comment il faut se comporter.

La loi impose une coopération avec les agents de la CNIL qui procèdent à la mission de contrôle. Il faut montrer qu’il n’y a pas d’entrave à l’action de la CNIL.

Ensuite, bien évidemment, c’est de comprendre l’objet du contrôle, les éléments qui, peut-être, posent problème, parce que, dès l’instant du contrôle, il faut déjà préparer les suites du contrôle, c’est-à-dire les justifications qu’il y aurait à produire, la mise en œuvre éventuelle d’une procédure de sanction, et donc, côté organismes contrôlés, la mise en place d’un plan de mise en conformité qui pourrait être pris en compte par la CNIL, dans le cadre d’une procédure de sanction.

« Les CIL actuellement désignés auprès de la CNIL ont-ils vocation à devenir DPD de manière prioritaire et automatique ? »

Il faut s’avoir qu’il n’y a pas de transformation automatique de correspondants « Informatique et libertés » en délégués à la protection des données, puisque c’est un métier qui va évoluer, avec des missions qui sont nouvelles, dans certains cas.

Il a donc semblé important à la CNIL de demander aux organismes de manifester clairement le choix de la personne qu’ils désigneront comme délégué à la protection des données.

Le RGPD exige du DPD qu’il dispose des qualifications requises, quelles sont les qualifications exigées par la CNIL ?

Plus largement, la CNIL réalise-t-elle parfois des contrôles sur place, afin de vérifier les conditions d’exercice du DPD ?

Les qualifications que le législateur européen, et pas spécialement la CNIL, d’ailleurs, exige, et qui reposent sur le délégué, sont des qualifications en matière de connaissances, en particulier.

C’est de la détention de connaissances, qu’elles soient techniques, juridiques, il faut que, a minima, cette personne comprenne l’environnement technique et juridique dans lequel elle se trouve.

Après, il y a d’autres qualités que cette personne doit posséder, telles qu’une certaine appétence à la communication, savoir convaincre, trouver des arguments qui, à la fois, convainquent des gens qui sont des opérationnels, mais aussi savoir s’adresser au top management. Ce sont là des qualités importantes à avoir.

Ensuite, quant à la question de savoir si la CNIL va procéder à des contrôles de ces qualifications, ce n’est peut-être pas la priorité des contrôles, demain, mais on en a déjà réalisé auprès des correspondants « Informatique et libertés », dans les années 2010-2011, et il est certain que s’il y a une difficulté rencontrée à l’occasion d’un contrôle autour des qualifications requises par le règlement sur un délégué à la protection des données, alors, il y aura peut-être matière à procéder à plus de contrôles.

Qu’est-ce que l’AFCDP ?
Comment l’AFCDP aide-t-elle ses adhérents à se préparer au RGPD ?

L’AFCDP est une association qui a été créée en 2004, au moment de la création du CIL, elle représente les professionnels de la protection des données, qu’ils soient débutants ou expérimentés, et en particulier, les délégués à la protection des données, ou DPO.

Elle compte actuellement 2 500 membres et elle assure essentiellement la promotion du métier de délégué, dans les entreprises et en dehors des entreprises.

Comment est-elle en mesure d’aider les délégués à se préparer au règlement européen?

Cela se fait essentiellement par la mise à disposition de ressources.
L’AFCDP est un lieu d’échange et d’entraide entre les membres, qui se matérialise, en particulier, par un réseau social privé, qui permet d’échanger des recommandations, des bonnes pratiques et des réponses à des questions.

L’AFCDP organise également de nombreuses réunions de travail, à Paris et en région, et elle s’assure de faire entendre la voix des professionnels de la protection des données, au niveau national, mais aussi au niveau international, par le biais d’une confédération, qui s’appelle CEDPO, à laquelle elle participe.

L’AFCDP produit également un grand nombre de documents, et en particulier, dans le cadre du règlement, l’AFCDP a réalisé un règlement européen annoté et indexé, qui est un outil de travail très apprécié.

Elle a également participé récemment à un ouvrage des éditions législatives, qui porte sur la préparation au règlement européen.

Est-ce que les CIL actuellement désignés sont les mieux placés pour être désignés DPD?

L’AFCDP considère que, effectivement, les CIL actuellement en poste ont vocation à devenir les futurs délégués à la protection des données.

C’est également la position de la CNIL qui estime que le CIL en poste a déjà une bonne pratique de la protection des données, de la connaissance des textes et de l’environnement juridique.

C’est donc assez naturellement que le CIL en poste devrait devenir délégué, en particulier s’il en a le souhait et si l’organisation estime qu’il en a la capacité, dans la mesure où l’évolution des charges du délégué est assez naturelle.

Aussi, il est tout à fait possible, pour un correspondant « Informatique et libertés », déjà en place, d’assurer cette nouvelle fonction dans l’entreprise.

Statut

Le délégué à la protection des données est le chef d’orchestre de la mise en conformité « Informatique et libertés » au sein d’une entreprise, d’une association, au sein d’une administration.

Sa désignation devient obligatoire, dans un certain nombre de cas, et, par ailleurs, il bénéficie, dans la loi, d’un statut spécifique.

1. Le premier cas concerne tout le secteur public, puisque ce que prévoit le règlement européen, est que toutes les structures du secteur public doivent, désormais, désigner un délégué à la protection des données.
2. Deuxième cas, dans le secteur privé, le règlement prévoit que toutes les entreprises mettant en œuvre des traitements dont la finalité est le suivi régulier et systématique, à grande échelle, de personnes, doivent aussi désigner un délégué à la protection des données.
   Cette notion de suivi régulier et systématique à grande échelle, des personnes, est une notion un peu compliquée. Si on devait la traduire plus simplement, aujourd’hui, cela concerne toutes les entreprises mettant en œuvre des traitements de profiling, de segmentation comportementale, d’analyse fine de la navigation d’un internaute…
   On peut prendre l’exemple également des traitements de lutte contre la fraude, des traitements de marketing ciblé, etc., dans toutes ces hypothèses où on fait du profiling et de la segmentation, on est tenu de désigner un délégué à la protection des données.

Cela dépasse de loin les questions liées à l’Internet, puisqu’une entreprise commerciale lambda, qui a un fichier clients, dans lequel il y a des techniques de segmentation et d’analyse comportementale qui sont impliquées, relève de cette disposition.

De la même manière, le traitement de gestion des ressources humaines, dans lequel il existe des systèmes d’analyse comportementale fine des salariés, relève d’une désignation obligatoire du délégué à la protection des données.

Dernier cas, c’est l’hypothèse où dans ses traitements, on collecte des données sensibles ou des données d’infraction.

Le règlement prévoit que l’on peut désigner un délégué à la protection des données mutualisé, au sein d’un groupe d’entreprises ou entre plusieurs collectivités locales. 

Il y a aussi la possibilité, pour des associations professionnelles et des représentants de responsables de traitement, de désigner des délégués à la protection des données.

Enfin, il faudra vérifier ce que dit, la nouvelle loi française « Informatique et libertés », car le règlement européen laisse la possibilité au droit national d’ajouter des hypothèses dans lesquelles il sera nécessaire de désigner un délégué à la protection des données.

Le délégué à la protection des données a un statut particulier, un statut précis, fixé par les textes. Il peut être interne ou externe, c’est-à-dire qu’il peut être salarié de la structure qui l’emploie, il peut aussi être consultant externe. Aujourd’hui, on peut désigner, dans tous les cas, un délégué externe, ce qui n’était pas le cas avant.

Le délégué à la protection des données a un statut public, c’est-à-dire que sa désignation doit être réalisée officiellement, auprès de la CNIL, via une procédure particulière, de même que les personnes fichées doivent être officiellement et formellement informées de l’existence du délégué, ce qui peut passer par une information sur le site internet de l’entreprise.

Le délégué doit disposer des compétences requises pour exercer ses fonctions.

Le règlement européen, exige que ce délégué à la protection des données connaisse son métier, qu’il connaisse la réglementation « Informatique et libertés », et qu’il soit conscient des enjeux et des risques pour le responsable du traitement. Tout ça passe par des exigences en termes de formation et d’expérience professionnelle.

Autre élément, en termes de statut, le délégué à la protection des données doit exercer ses fonctions en étant à l’abri de tout risque de conflit d’intérêt. On ne peut être directeur informatique et délégué à la protection des données à la fois. 

On ne peut pas être délégué à la protection des données, si on n’a pas une connaissance de base de la réglementation « Informatique et libertés ». 

Plus votre traitement est sensible, plus il est complexe, plus l’encadrement sera complexe et nécessitera, de la part de ceux qui vont travailler sur cet encadrement, une connaissance fine de la réglementation.

Aujourd’hui, en France, près de 15 000 structures ont déjà désigné des correspondants « Informatique et libertés », et beaucoup de ces correspondants « Informatique et libertés » ne sont pas des juristes, ce sont des informaticiens ou ce sont des professionnels issus d’autres secteurs d’activité, qui peuvent être issus du marketing, des RH, de la gestion de la conformité. Il faut retenir que la dimension juridique est essentielle, mais qu’un non-juriste peut s’en emparer, s’il fait l’effort de se former à cette réglementation. 

Pour que le délégué à la protection des données soit capable d’accomplir correctement ses missions, d’évaluer les risques « Informatique et libertés », de conseiller correctement le responsable du traitement, il faut qu’il ait la connaissance des projets informatiques de l’entreprise, il faut qu’il sache ce qui se passe au sein de sa structure, et ça, ça va nécessiter de travailler avec tous les services support, la direction juridique, la direction informatique, et avec tous les services métier, le service des RH, le marketing, la gestion du risque, etc.

Il y a d’abord une certification qui est proposée par la CNIL elle-même, et au-delà, il y a, aujourd’hui, des certifications qui existent sur le plan universitaire, dont une qui est proposée par le Cnam.

Missions

Ce délégué doit d’abord informer et conseiller l’organisme qui l’a désigné, et aussi les employés et les personnes qui vont mettre en œuvre ces opérations de conformité.

Ces deux missions d’information et de contrôle du respect du règlement sont les deux aspects principaux des missions.

5.2.1 Analyse d’impact

Ensuite, il y a des missions qui sont plus précises, qui sont liées à des activités particulières.

La première mission particulière est liée à un nouvel outil de conformité prévu par le règlement européen, qu’on appelle l’analyse d’impact. Cette analyse d’impact est un nouvel outil qu’il va falloir mettre en œuvre et qui va aider l’organisme à mesurer l’impact de son traitement de données sur les personnes concernées.

Est-ce que ça va impliquer un risque élevé, pour les personnes, en matière de vie privée?

Le règlement européen prévoit que le délégué soit consulté, que ce soit sur l’opportunité de mettre en place cette analyse d’impact, est-ce qu’on doit faire cette analyse ou pas ? Comment est-ce qu’on va la faire ? Qui doit être autour de la table pour réaliser cette analyse d’impact ?

Pour cela, il faudra faire appel aux conseils du délégué à la protection des données, qui, lui-même, pourra s’appuyer sur d’autres ressources en interne, mais si on ne fait pas appel au délégué à la protection des données, il va falloir l’expliquer, car c’est prévu par le règlement.

​5.2.2​ Liaison CNIL

L’autorité de contrôle, en France, est la commission nationale « Informatique et libertés », qui est à même de discuter avec l’organisme sur certains projets.

​5.2.3​ Liaison personnes

Le délégué peut aussi être le point de contact pour les personnes concernées par les traitements de données, et ces personnes concernées, bien sûr, ça peut être des personnes en interne, le personnel d’une entreprise, les étudiants d’une université, les patients d’un hôpital.

Il va y avoir toute une organisation de la communication qui va devoir être prévue, au niveau de l’organisme, en relation avec le délégué, qui devra être en capacité de recevoir ces demandes d’information, pour éventuellement les dispatcher aux personnes compétentes pour y répondre.

​5.2.4​ Documentation

Un des premiers outils de cette documentation, c’est le registre des activités de traitement, qui peut décider  de déléguer au DPO.

De façon générale, le délégué à la protection des données va s’assurer de la bonne tenue de la documentation, et pourquoi pas, plus précisément, aura en charge la bonne tenue de ce registre des activités de traitement.

​5.2.5​ Moyens

Le règlement européen prévoit que le délégué à la protection des données doit avoir des moyens et des ressources nécessaires à l’exécution de ses missions. 

Concrètement, ça va passer par, tout d’abord, avoir du temps disponible pour se former, pour informer, du temps disponible pour participer aux réunions auxquelles il doit être associé. 

C’est également veiller à ce qu’il puisse reporter, au niveau le plus élevé de l’organisme. 

De la même façon, s’il n’a pas accès aux espaces, aux comités où sont prises les décisions qui impactent les traitements de données à caractère personnel dans l’organisme qui l’a désigné, c’est un obstacle concret, très simple à identifier, qu’il devra donc, documenter et faire remonter pour qu’une solution soit trouvée.

Il faut qu’il soit indépendant, libre dans la façon d’organiser ses missions, mais surtout libre de pouvoir donner un conseil qui n’est peut-être pas celui qu’on a envie d’entendre.

​5.2.6​ Sanction

Il ne peut pas y avoir de sanction pour l’exercice de ses missions. Le refus d’une promotion, le fait de ne pas avoir une augmentation de salaire…

Organisation de l’activité

Au niveau de l’article 38, la fonction est décrite, et les missions sont listées dans l’article 39.

Tout d’abord, pour bien organiser son activité, le délégué va d’abord évaluer la situation dans laquelle l’entreprise se situe. Il va regarder comment se situe l’entreprise par rapport aux obligations à respecter, à l’organisation en place et aux moyens dont il va disposer ou dont il dispose déjà, c’est très important, à l’existence ou non, déjà, d’une gouvernance de la protection des données personnelles.

À partir de toute cette analyse, il va établir une liste des écarts et il va déterminer les activités qu’il convient qu’il mette en œuvre, ce que ça représente, donc évaluer en temps, en charge, en moyens éventuellement financiers, et les prioriser.

Une fois qu’il a fait ce travail, il va pouvoir exercer son activité.

​5.3.1​ Communication du DPO

La première des choses, et elle est très importante, c’est que ce DPO soit connu par tous dans l’entreprise. 

Comment fait-on ? On va d’abord, et régulièrement, mener des actions de communication.

La première action va être lors de sa nomination.
Il faut qu’il se fasse connaître. Donc, on va communiquer sur : « Je suis Monsieur ou Madame et je suis le responsable de la protection des données personnelles dans votre entreprise. »

Ensuite, il va s’occuper de l’organisation de la gouvernance. Ça peut passer par la rédaction d’une politique de gouvernance des données personnelles, ça peut passer par la mise en place, par exemple, d’un réseau de correspondants relais qui pourront l’aider, etc.
Le personnel de l’entreprise qui participe aux opérations de traitement doit être informé et sensibilisé. C’est une des obligations du règlement européen.

Mais la première des choses, c’est que le DPO, lui, va devoir prendre le temps de se former et d’actualiser ses compétences, comme déjà mentionné. 

Bien évidemment, il va se former sur la réglementation de la protection des données personnelles, mais pas que ça. Il faut également qu’il se forme sur les évolutions technologiques, il faut qu’il soit au fait du digital, de tout ce qui se passe dans l’environnement de l’entreprise. Il faut également qu’il soit au fait des métiers exercés par son entreprise, puisque son métier va dépendre de ce qui est fait, des traitements mis en œuvre, donc il faut qu’il comprenne ce que font les collaborateurs de l’entreprises. Et ça dépendra également, s’il en existe, des règles internes à son entreprise.

Pour faire tout ça, il est important qu’il mette en place des moyens de communication au sein de son entreprise. Ça peut être par exemple un espace dédié sur un serveur ou sur un intranet, internet, etc., une communication, un outil de e-learning qu’il va proposer à l’ensemble des collaborateurs. Il faut qu’il communique. Ça, c’est la première des choses.

​5.3.2​ Relais en interne

Si l’entreprise est assez importante ou si elle est localisée dans plusieurs sites de plusieurs endroits en France, par exemple, le délégué peut décider et demander à ce que des personnes relais soient désignées pour qu’il puissse s’appuyer sur ces personnes.

À ce moment-là, il va devoir les former, puisque ces personnes vont devoir être, comme lui, des spécialistes, et veiller à ce que leurs connaissances soient régulièrement actualisées, évidemment. 

Il va également formaliser les missions qu’il souhaite leur confier, les missions qu’il va leur déléguer; et donc, faire en sorte que ces missions soient intégrées dans leur fiche de poste pour qu’ils aient du temps qui leur soit attribué pour les exercer. 

Il faut également qu’il soit capable, lui-même, de leur apporter le soutien, car ces personnes ne vont pas être expertes du jour au lendemain. Il va falloir qu’il anime ce réseau, il est important que ces personnes se connaissent, qu’elles puissent échanger, par exemple, au travers de réunions périodiques, au travers de communications, d’échanges. Puis, puisqu’elles vont faire du travail “pour son compte”, il va devoir être informé des travaux qu’ils réalisent. Il va donc mettre en place un reporting périodique auprès de lui-même.

​5.3.3​ Conseil

Le délégué à la protection des données doit conseiller le responsable de traitement ou le sous-traitant, sur l’environnement dans lequel il travaille, sur les obligations du règlement et sur toutes les dispositions qui s’appliquent en matière de protection des données personnelles. 

Pour ce faire, il peut élaborer des outils pratiques sur certains sujets et les diffuser, ou alors il peut aussi utiliser des outils qui sont mis à disposition, par exemple par la CNIL: des fiches pratiques, des guides.

Il doit demander à être informé de tout ce qui se passe dans l’entreprise, tous les traitements mis en œuvre, tous les nouveaux projets.

Dans cette perspective, il peut proposer au responsable de traitement, puisque ça devra être fait, une méthode pour faire une analyse d’impact, une analyse de risques, par exemple.

Il peut aussi mettre en place une procédure afin d’être saisi systématiquement, quand cela va être nécessaire, en matière d’analyse d’impact, et il va, dans cette procédure, prévoir son rôle vis-à-vis de la CNIL, puisque, si c’est nécessaire, la demande de consultation de la CNIL devra passer par le DPO. Il convient donc, que le responsable de traitement connaisse la façon de procéder.

​5.3.4​ Traçabilité

Dans tous les cas, tous les conseils qu’il va apporter, puisqu’il va être sollicité, comme il va être connu par tout le monde, il va en garder une trace pour documenter ce qu’il fait, et puis également pour voir et noter les décisions qui sont prises par le responsable de traitement ou le sous-traitant, s’il lui apporte un conseil et qu’eux décident de faire autrement.

​5.3.5​ Tenue du registre des traitements

Une autre obligation du règlement consiste à tenir un registre des traitements.

Le délégué peut se doter d’un outil, puisque le registre, en général, c’est plusieurs traitements, voire beaucoup de traitements, il convient donc de les répertorier, d’enregistrer toutes les informations nécessaires qui décrivent ce traitement.

Cet outil va pouvoir être mis à disposition du responsable de traitement ou du sous-traitant, puisque c’est eux qui ont cette responsabilité.

Il peut également décider de le partager avec le réseau de correspondants relais, puisqu’ils sont là pour l’aider dans ses missions.

En matière de traitements, il est important qu’il ait une vision de la cartographie des traitements mis en œuvre dans l’entreprise : quels outils servent à quoi ? Pour quoi faire ? Qui y a accès ? Comment les outils communiquent les uns avec les autres ?

On peut avoir dans les entreprises, le responsable de traitement ou le sous-traitant qui décident de déléguer au DPO la tenue du registre, dans ce cas, il ne va pas pouvoir inventer les traitements lui-même, donc il sera important qu’il mette en place une procédure pour que ce responsable de traitement lui décrit les traitements de façon formelle, qu’il lui décrit les risques associés aux traitements et les mesures qu’il envisage de prendre.

Si ce n’est pas lui qui tient le registre, alors, dans tous les cas, il devra être nécessaire qu’il puisse accéder au registre.

Dans tous les cas, il est important que la documentation associée à chaque traitement soit bien organisée, éventuellement, et c’est important, centralisée, que l’analyse de risque, les descriptions des données et des destinataires, tout se trouve au même endroit, toute la documentation, qu’on puisse y accéder et que le DPO puisse y accéder facilement, et surtout, qu’elle soit actualisée.

A côté de l’obligation de tenir un registre des traitements, il y a le droit conféré par le règlement aux personnes dont on traite les données, le droit de demander et saisir le DPO, et il est important qu’ils aient un moyen ou qu’ils sachent comment le faire.

Le DPO doit donc, mettre en place un moyen qui permette aux personnes de le contacter. Ça peut être une adresse e-mail, ça peut être une messagerie, une adresse postale, un numéro de téléphone…, et les personnes vont pouvoir le saisir, lui poser des questions.

Le délégué va proposer au responsable de traitement ou au sous-traitant également des mentions informatives, puisque, pour informer les personnes, on va leur dire, on va leur écrire. En général, c’est plutôt écrit.

On peut donc, proposer des mentions dans lesquelles sont précisés qui est le DPO et comment le contacter.

Le délégué va également établir une procédure pour répondre aux demandes, celles qu’il va recevoir lui-même, mais également, si le responsable de traitement ou le sous-traitant reçoivent des demandes, il faut qu’ils sachent comment y répondre.

Le DPO doit être également en mesure de vérifier que les droits sont respectés, donc il va falloir qu’il sache qui a demandé quoi et la réponse qui a été apportée.

En matière de sécurité, le DPO doit s’assurer que la sécurité des données est bien prise en compte, et souvent, le responsable de la sécurité des systèmes d’information, la direction informatique, est en charge de toutes ces mesures de sécurité, de la logistique, etc.. Il est donc, très important que le DPO travaille en étroite collaboration avec le RSSI de l’entreprise. 

Si elle n’existe pas, il peut proposer au RSSI d’établir une politique de sécurité des systèmes d’information et le DPO peut y contribuer, et ce sera une bonne base de travail pour eux.

Le DPO doit connaître l’organisation des systèmes d’information.
On a parlé de la cartographie des traitements dans le cadre de la tenue du registre, et le DPO doit également savoir où sont localisés les traitements, où sont localisées les données, comment se passe l’organisation pour la mise en œuvre de ces traitements, qui fait quoi, qui gère les habilitations, qui gère l’exploitation, l’hébergement, est-ce qu’il y a de la sous-traitance ou non.

En effet, la sécurité est un sujet, une activité, qui peut aussi être importante dans le cadre des activités du DPO.

Pour bien travailler, et travailler efficacement, un bon moyen est de procédurer.

Si le DPO établit et diffuse des procédures pour traiter, par exemple, les demandes de droits d’accès, il aura une assurance que ces demandes seront traitées toujours de la même façon dans tels délais, puisque des délais sont imposés, en l’occurrence un mois.

Il pourra également prévoir des procédures en cas de contrôle de l’autorité de contrôle, pour qu’il n’y ait pas d’imprévu.
Le jour où une autorité de contrôle, la CNIL, arrive dans l’entreprise, les personnes sauront qui doit être contacté, ce qu’il faut faire vis-à-vis de cette autorité de contrôle, comment ça va se dérouler.

Il peut également établir une procédure en cas de nécessité de saisir l’autorité de contrôle, par exemple, dans le cadre de la mise en place de BCR ou dans le cadre d’une analyse, une PIA, qui nécessite une consultation.

Il peut également établir une procédure en cas de violation de données à caractère personnel, et cette procédure sera très importante parce qu’il faudra réagir vite, il y a un délai important, et il faudra notifier à la CNIL, éventuellement notifier aux personnes, prendre des mesures pour sécuriser les données, donc, une procédure est très importante, puisqu’il ne s’agit pas d’improviser lorsque le problème survient.

On peut aussi envisager de formaliser une procédure d’alerte en interne, puisque le DPO va s’assurer de la conformité des traitements, et donc, il peut mettre en place une procédure pour pouvoir saisir le responsable de traitement.

Tout ça passe par de la documentation, et il convient d’établir une cartographie pour savoir où se trouve tel ou tel document, disposer de la liste des sous-traitants qui travaillent pour l’entreprise, organiser cette gestion documentaire, effectivement, organiser la conservation de l’exercice des droits, par exemple.
Le DPO doit contrôler.
Il doit contrôler le respect du règlement et également des réglementations nationales, des règles internes en matière de protection des données personnelles.
Il peut le faire de deux façons.
Il peut le faire a priori.
Le « a priori », c’est au moment où on va mettre en œuvre un traitement, dès la conception d’un produit.
Ou a posteriori.
« A posteriori », c’est, par exemple, il va vérifier quelles sont les formations qui ont été réalisées.
Est-ce que la responsabilité des parties et les engagements sont bien formalisés dans les contrats ?
Est-ce que les profils d’habilitation existent ?
Est-ce que ce sont les bonnes personnes qui en bénéficient, par rapport aux missions qu’elles remplissent ?
Est-ce qu’il y a des contrôles systématiques et périodiques qui peuvent être mis en place et formalisation de ces contrôles ?
Et en cas de contrôle et de problème, est-ce qu’il y a des actions correctrices qui sont éventuellement mises en œuvre pour corriger cette non-conformité ?
Enfin, il peut mener des audits, et c’est également une obligation, le DPO doit pouvoir s’assurer qu’il y a des audits, de la vérification formelle de la conformité des traitements.
Il peut le faire tout seul ou il peut le faire avec l’appui d’experts, internes ou externes.
L’audit, il peut le faire sur le périmètre complet de l’entreprise, tous les traitements, mais il peut aussi le faire sur un périmètre partiel, un périmètre fonctionnel, par exemple, tous les traitements de gestion des ressources humaines, par exemple, la sécurité des systèmes d’information ou un traitement donné.
L’audit, peut être fait sur place, sur pièce, par voie de questionnaire, mais le responsable de traitement peut aussi décider de faire des audits indépendamment du DPO.
Dans ce cas, il conviendra que le DPO demande à être destinataire du rapport d’audit, puisque, dans tous les cas, il faudra qu’il y ait un rapport d’audit avec un plan d’actions et un suivi des actions.
Le DPO, enfin, pour faire toute son activité, il peut regarder ce qui se passe en dehors de l’entreprise.
Il peut demander à ce que son entreprise adhère à des associations, il en existe un certain nombre, qui sont spécialisées sur la protection des données personnelles, et ça va lui permettre de partager son expérience avec d’autres, de participer à des conférences, de participer à des travaux de réflexion, et ça ne peut qu’enrichir son activité.

Recensement des traitements

Pourquoi recenser les traitements par le délégué à la protection des données? 

1. Tout d’abord, pour savoir quels sont les traitements et vérifier ainsi leur conformité. 
2. Également, le recensement va vous servir à documenter la conformité, ce qui est un principe essentiel du nouveau règlement.
3. Par ailleurs, le recensement a aussi cet avantage, qui n’est pas précisé dans le règlement mais qui découle de la pratique, qui est de vous faciliter les demandes des personnes fichées. En effet, si vous avez, par exemple, une demande d’accès d’une personne, le fait de savoir où sont les différents traitements et ce qu’ils comportent, ça va vous permettre d’y répondre plus facilement.

Qu’est-ce que le recensement et quelle est la différence avec le registre ?
Le recensement des traitements permet au délégué à la protection des données d’avoir une vue d’ensemble des traitements en cartographiant ces traitements. On veut simplement parler du cycle de vie du traitement. 

La formalisation de cet exercice se retrouve dans ce que l’on appelle le registre des traitements.  Et ce registre des traitements, dans le règlement, on le retrouve dans l’article 30, le règlement nous disant que ce registre peut se faire sous forme écrite, y compris sous la forme électronique.

Le registre doit donc être vu comme un index. Quelles sont les nouveautés du règlement sur le registre ?

L’article 30 dispose : le registre est un outil de l' »accountability ». C’est le principe de responsabilisation des entreprises et des organismes. 

Donc, on va alléger les formalités. En contrepartie, les entreprises se doivent de documenter la conformité.

Les sous-traitants, en effet, doivent eux-mêmes tenir des registres dans le cadre de leur activité de sous-traitance, et pas seulement dans leurs activités de responsables de traitement.

Par exemple, un sous-traitant va être responsable du traitement de ses employés, mais il va aussi être sous-traitant dans son activité, par exemple, d’hébergement.

Troisième nouveauté : le registre n’est pas lié à la désignation d’un délégué, c’est deux choses différentes, alors que dans la loi de 78 modifiée en 2004, je vous parlais du CIL tout à l’heure, du correspondant, le registre était intimement lié au correspondant.

Le registre des traitements est-il obligatoire ? En pratique, le registre est indispensable.
Pour avoir un programme de protection des données qui fonctionne, vous avez absolument besoin d’un registre.

Quel est le contenu du registre du responsable du traitement ?
Alors, a minima, et ça, c’est ce qui figure dans le règlement, donc on peut mettre d’autres choses, mais, a minima, vous allez mettre les finalités, les catégories de personnes concernées et de données, les catégories de destinataires, les transferts et, dans la mesure du possible, le délai d’effacement, ce qu’on appelle la durée de conservation, ainsi que la description des mesures de sécurité.

Là, peut-être, on aurait nous-même fait le lien avec le contenu de l’obligation d’information de l’article 17 du règlement.

Ces informations qu’on a dans le registre, en effet, on les avait également dans les mentions d’information; et donc, tous ces exercices sont intimement liés.

​5.4.1​ Sous-traitant

Comme il a été indiqué ci-avant, le sous-traitant peut avoir deux registres : un pour ses activités de responsable du traitement, typiquement, avec ses employés, et un autre dans ses activités de sous-traitance.

À ce moment-là, dans ce deuxième registre, il aura les catégories de traitements effectués pour le compte de chaque responsable du traitement, le cas échéant, les transferts de données et, dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

​5.4.2​ Responsable du registre

La responsabilité de la tenue du registre incombe au responsable du traitement.

Toutefois, en pratique, dans la réalité, le délégué sera souvent en charge de la constitution et de la mise à jour du registre, mais il ne sera pas seul dans cette tâche. 

En effet, les personnes responsables en interne des traitements vont l’aider.
C’est eux qui savent ce qu’ils font des traitements, c’est eux qui savent ce qu’il y a dans ces traitements, donc ils vont aider le délégué à remplir ce registre.

​5.4.3​ Qui a accès au registre ?

1. La CNIL, tout d’abord. Le registre doit être tenu à sa disposition.
2. Et est-ce que le grand public doit également avoir accès à ce registre ? 

Le règlement ne dit rien, donc il n’y a pas d’obligation. Toutefois, cela est possible si, dans certaines entreprises, par exemple, il peut y avoir une volonté de transparence, que l’on connaît déjà, et qui pourra se poursuivre après, avec le règlement.

​5.4.4​ Registre et PIA

Les PIA sont ces fameuses analyses d’impact sur les traitements présentant un risque élevé, donc, les analyses d’impact sont limitées à un certain nombre de traitements, alors que le registre concerne tous les traitements.

En pratique, tous les traitements qui sont soumis à une analyse d’impact se retrouveront dans le registre.

Organiser une mission d’audit informatique et libertés

Il s’agit d’un audit qui permet de vérifier la conformité des traitements à la loi « informatique et libertés » et, dorénavant, au règlement.

On trouve une définition dans le label Audit des traitements de la CNIL, qui reprenait d’ailleurs la norme française ISO 19011 et qui stipule que l’audit est un processus systématique, indépendant, documenté en vue d’obtenir des preuves et de les évaluer de manière objective, ce qui est très important, pour déterminer dans quelle mesure des critères prédéterminés sont satisfaits.

​5.5.1​ Objectifs

Quels sont les objectifs d’un audit « informatique et libertés »? Sachant que, dans le règlement, il n’y a pas d’obligation d’organiser des audits. 

1. D’abord, il faut voir où on se situe en matière de protection des données, pour vérifier la conformité des pratiques. Par exemple, on va pouvoir auditer des traitements où seront concernés les mentions d’information, la gestion des demandes des personnes : est-ce qu’on gère correctement les demandes d’accès, par exemple, ou de rectification, les contrats avec les sous-traitants : est-ce qu’on a des clauses correctes dans les contrats, et aussi les procédures de retrait de consentement.
   Grâce à cette vérification, on va améliorer les pratiques par des actions correctives.
   Par exemple, un processus de gestion des demandes : on s’est rendu compte que les demandes d’accès étaient trop longues à être traitées, on va rédiger une procédure pour préciser cela.
   On va réaliser des formations, ou on va peut-être même proposer un guide de négociation des contrats.
2. Un autre objectif de ces audits, ça peut être de se conformer à ses engagements.
   En effet, dans les groupes qui ont des BCR, les binding corporate rules, ce sont les règles d’entreprise contraignantes qui sont des codes de conduite approuvés, les entreprises se doivent de réaliser des audits, elles se sont obligées à cela.

​5.5.2​ Que va-t-on auditer ?

On va auditer les traitements réalisés en interne, par exemple.
Alors, parfois, on ne va faire que certains traitements, certains départements, parce qu’on considère, par exemple, qu’il y a un risque sur les ressources humaines ou le marketing.

Parfois, on va réaliser tous les traitements.
Et puis, on fait l’interne, mais on peut aussi faire en externe, c’est-à-dire auditer ses sous-traitants : un hébergeur de cloud, une centrale d’appel…

Tout cela, ce que vous allez auditer ou pas, vous allez le décider en fonction de vos ressources, mais également des risques que ces traitements font courir à l’entreprise.

En tout état de cause, le prérequis pour réaliser un audit, c’est de définir un périmètre délimité en termes de lieux.

Par exemple, si vous êtes une chaîne de distribution, est-ce que vous allez auditer certains magasins, sur quels critères, dans certains lieux plutôt que d’autres ?
Donc, il va falloir déterminer cela.
Idem pour des filiales.

Il faudra aussi délimiter en termes d’unités organisationnelles, d’activités, de processus, de période de temps couverte.

En effet, est-ce que ce sera des audits d’une journée ?
De plusieurs jours ?
De plusieurs semaines ?
Est-ce que vous allez le coupler avec d’autres audits internes ?
Et puis, évidemment, comme il a été précisé juste avant, du type de traitements.

Tout cela, encore une fois, dépendra des ressources de l’entreprise et des risques des traitements qu’il y a dans cette entreprise ou cet organisme.

​5.5.3​ Qui va auditer ?

Deux types d’auditeurs : les auditeurs internes et les auditeurs externes. 

Les auditeurs internes ont l’avantage de bien connaître l’entreprise, mais pas forcément la loi.

À l’inverse, les auditeurs externes, eux vont, en principe, si vous les choisissez bien, bien connaître la loi, mais ils auront peut-être moins de connaissances de votre secteur d’activité, et peut-être encore moins de votre entreprise.

Par ailleurs, d’un point de vue du référentiel, si vous utilisez des auditeurs internes, vous allez pouvoir créer le référentiel selon vos besoins, mais ça va vous prendre du temps, alors que l’auditeur externe, lui, va vous proposer une solution déjà prête, avec peut-être un petit peu de personnalisation, mais ce ne sera pas forcément exactement ce que vous souhaitez.

Par conséquent, vous allez prendre en considération, pour décider si vous souhaitez les auditeurs internes ou externes, le temps de préparation, le coût et, également, la maturité de votre entreprise.

En pratique, on remarque que c’est les auditeurs internes qui sont souvent préférés dans les groupes structurés, qui ont déjà des systèmes d’audit interne sur un certain nombre de sujets, typiquement financiers, alors que les auditeurs externes vont plutôt être utilisés pour amorcer un programme, ou, à un certain moment, pour voir où on en est du programme et de la maturité de ce programme de protection des données.

Définir un référentiel interne d’audit, c’est fondamental quand on veut auditer ses traitements.

Pour ce faire, il va vous falloir délimiter le champ de l’audit, les questions à poser, les niveaux de risque, la durée des audits, etc.

Afin de clarifier la méthode quelques questions sont à poser: est-ce que vous allez fonctionner par échantillonnage ? Par exemple, demander des mentions d’information de telle date à telle date ? Des contrats ? Des questionnaires à remplir ? Ou est-ce que vous allez plutôt être sur des entretiens physiques ?

Ensuite, vous allez devoir préciser les objectifs à atteindre, les compétences requises pour les auditeurs : est-ce que vous souhaitez des auditeurs plutôt juridiques ? Plutôt techniques ? Plutôt sectoriels ? Etc.

Pour tout cela, utilisez les référentiels de la CNIL sur les audits, le référentiel sur le label Audit, en particulier, vous sera très utile, mais également tous les guides de la CNIL sur l’évaluation des risques.

Ces guides ont été rédigés pour les PIA, les privacy impact assessments, les analyses de risque en matière de vie privée, mais ils peuvent vous être très utiles pour définir vos risques en termes de traitement interne et donc vos priorités quand vous réalisez un audit.

​5.5.4​ Déroulement

J’aimerais vous dire que c’est, assez classiquement, le champ de l’audit.

C’est-à-dire d’abord planification-préparation, réalisation de l’audit, où on va découvrir ou non des manquements, rapport d’audit : dans ce rapport d’audit, vous allez avoir les manquements, les causes du manquement, si elles ont été trouvées ou envisagées, et puis, les actions correctives, et on finira par le suivi de l’audit et sa clôture.

L’audit doit être considéré comme un outil d’amélioration.
Ce n’est pas un contrôle de la CNIL, l’audit.

L’audit, ça vous permet d’apprendre de vos erreurs.
C’est ce qui va vous permettre de vous dire : « Nos délais de réponse sont trop longs », par exemple.
« Le personnel n’est pas assez vigilant en matière de protection des données. »

Et vous allez pouvoir, derrière, mettre en place les actions qu’il faut, mettre en place des procédures, mettre en place des actions de sensibilisation.
Donc, c’est un formidable outil d’amélioration.

Pour que ce soit vraiment utile, partagez les résultats, d’un département à l’autre, mais aussi d’une filiale à l’autre.
Comme ça, vous permettez d’engranger une certaine vigilance globale.
Même si l’autre filiale n’a pas été auditée, elle saura que c’est un point sensible.

Et puis, dernier point, l’audit permet de découvrir de nouveaux risques.
En effet, parfois, sur le terrain, les opérationnels ne se rendent pas compte qu’ils ont mis en place un nouveau traitement, que ce nouveau traitement est très différent des autres, et que donc, il crée un nouveau risque.
Et le délégué à la protection des données ne peut pas tout savoir.

Donc, grâce à l’audit, on peut découvrir des traitements risqués qui étaient passés sous le radar.

En tout état de cause, les manquements constatés ne doivent pas être vécus comme une sanction, c’est vraiment important.
C’est une opportunité d’amélioration.

​6.1.1​ Définition

Le marketing ciblé sur Internet, ce sont toutes les techniques, et il y en a beaucoup, d’exploitation des traces de navigation que va laisser l’internaute, quand il surfe sur Internet.

L’objectif de ces techniques est de permettre d’afficher sur l’écran du navigateur Internet, notamment, des publicités qui sont adaptées aux goûts de l’internaute, en fonction de son profil. Ce profil aura été analysé, construit, en fonction de l’historique de navigation.

Vous allez sur des sites de commerce électronique, des sites culturels, etc., les systèmes de traceurs vont en tirer des conclusions sur votre profil, ils vont vous segmenter.
C’est de la segmentation comportementale adaptée à l’environnement de l’Internet.

Sur le plan technique, ces systèmes d’analyse de navigation sont possibles via des petits mouchards qu’on appelle « des cookies », mais il y a aujourd’hui des techniques plus évoluées que les cookies, pour effectuer la même chose.

Notamment en utilisant des identifiants uniques qui figurent dans votre ordinateur, par exemple, dans votre navigateur.
Cela permet de vous identifier de manière certaine et, notamment, de chaîner vos différentes navigations.

Le lundi, vous vous baladez sur des sites, le mercredi, vous vous baladez à nouveau…
Via ces identifiants uniques, ce chaînage est possible.
Ça permet d’affiner le profil de l’internaute.

Ces petits mouchards, qui sont mis sur les postes informatiques, sont positionnés par l’éditeur du site internet lui-même et, souvent aussi, par des prestataires de services, de régies publicitaires, de tiers.

Et si vous vous amusez à aller sur le site de la CNIL, vous y trouverez des outils vous permettant de vérifier quels sont les cookies ou dispositifs qui figurent sur votre poste informatique.

Vous constaterez qu’il y a beaucoup de systèmes de surveillance qui figurent sur votre navigateur, si vous ne faites pas du nettoyage.

Un exemple, vous êtes, comme moi, un fan d’aviation, vous aimez aller sur des blogs, des sites sur lesquels vous avez des actualités sur le monde de l’aviation…
Ce site, qui s’appelle « FlyerTalk », est un site de forums sur l’aviation.
Quand je vais sur ce site, une publicité pour une compagnie aérienne française s’affiche.
C’est un site qui est consulté dans le monde entier, mais le système de traçabilité et d’analyse de mon profil a détecté que j’étais français, donc, on va m’afficher une publicité susceptible de m’intéresser, avec une compagnie aérienne qui est proche de moi.
C’est ça, le marketing ciblé.

​6.1.2​ Règles

Sur le plan juridique, les règles qui s’appliquent en la matière, quelles sont-elles ?

Il faut rappeler deux concepts de base.

En matière de prospection commerciale, les droits des personnes sont de deux ordres.

En premier lieu, l’opt-out, c’est-à-dire le droit d’opposition.

Quand je suis dans cette situation, si je reçois de la publicité, la réception de la publicité est légale tant que je n’ai pas dit stop.

Ce principe de l’opt-out, par exemple, s’applique à la prospection par voie téléphonique.

Quand, depuis un centre d’appels, un agent vous téléphone pour vous vendre des cuisines, des fenêtres ou que sais-je, cet employé a le droit de vous téléphoner tant que vous n’avez pas dit stop, tant que vous ne vous êtes pas opposé.

En matière de prospection téléphonique, il y a, depuis une période récente, un système d’opposition national qui s’appelle « Bloctel ».
Si vous ne voulez plus recevoir de publicité par téléphone, inscrivez-vous gratuitement sur ce fichier national, Bloctel, vous pouvez chercher ça sur Internet, et les entreprises respectueuses de vos droits, a priori, ne vous téléphoneront plus.

Le deuxième principe, ou deuxième niveau de protection qui peut s’appliquer sur d’autres canaux de prospection, est l’opt-in.

L’opt-in, est un niveau de protection renforcé, puisque c’est le consentement préalable.

Tant qu’on a pas accordé notre accord pour recevoir de la prospection commerciale, le professionnel ne peut pas nous en envoyer.

Ce principe s’applique, par exemple, en matière d’e-mailing.
Une entreprise qui veut envoyer des e-mails de prospection commerciale doit, par principe, respecter l’opt-in : tant qu’on a pas formulé de consentement, on n’est pas censé recevoir ce type de prospection.

Des exceptions s’appliquent en la matière, notamment quand un professionnel qui a une relation commerciale habituelle avec un client, mais le principe, c’est qu’un accord doit être formulé.

En matière de marketing ciblé, le régime de protection qui s’applique, c’est un entre-deux, puisque la notion qui est prévue par les textes, ce n’est ni la notion de droit d’opposition ni la notion de consentement, c’est une notion particulière dite « d’accord ».

Plus précisément, c’est l’article 32-II de la loi « Informatique et libertés » qui, jusqu’à présent, prévoyait la règle applicable.

Cette règle prévoyait que, pour qu’on puisse mettre en œuvre des systèmes de suivi de la navigation sur Internet, il faut d’une part réaliser une information préalable de la personne.

La personne doit comprendre très clairement que des systèmes de surveillance sont mis en œuvre, à quoi ils servent, quelles sont les finalités de ces dispositifs, ainsi que les moyens techniques dont elle dispose pour s’y opposer.
Ça, c’est l’étape numéro un.

Deuxième étape, dans la réglementation française, c’est cette question de l’accord.
Ce que prévoit la loi, c’est que l’inscription de petits mouchards ne peut avoir lieu qu’à condition que l’abonné, on va dire « l’internaute » pour simplifier, ait exprimé, après avoir reçu cette information, son accord.

Toute la question, au cours des années précédentes, a été de savoir comment l’internaute pouvait donner son accord.

Plus vous avez des exigences fortes sur les conditions de recueil de cet accord, plus la capacité pour les sites internet à mettre en place ces dispositifs est limitée; et l’enjeu est important, car le modèle économique de nombreux sites sur Internet, c’est la publicité.

C’est grâce à la publicité ciblée que ces sites se financent et permettent d’ailleurs aux internautes de bénéficier de services gratuits.

Par conséquent, si la réglementation complexifie les conditions dans lesquelles ces entreprises peuvent faire de la publicité, cela vient mettre en danger le modèle économique de ces sites.

Il y a donc eu une discussion qui a donné lieu à une recommandation de la CNIL, en décembre 2013, dans laquelle la CNIL formule une recommandation en trois étapes, pour permettre aux sites internet de respecter les règles applicables.

Premièrement, une mention d’information doit être mise en oeuvre sur la page d’accueil ou sur la page d’atterrissage du site web. Ce bandeau va dire : « Je mets en œuvre des cookies », par exemple, « Voilà ce à quoi ils servent. »

Deuxième étape, la CNIL demande que, depuis ce bandeau, on puisse cliquer sur un lien qui renvoie vers une page beaucoup plus détaillée d’informations sur ce qu’on fait avec les cookies, qui les implémente et quelles sont les possibilités dont je dispose pour m’y opposer.

C’est d’ailleurs un point important d’expliquer à l’internaute comment on peut faire cesser la mise en œuvre de cette surveillance.

Troisième point, la recommandation rappelle que, dans certains cas, on n’est plus dans cette logique de l’accord préalable, mais on revient au principe du simple droit d’opposition.

C’est le cas, notamment, pour les cookies qui sont utilisés à des fins de sécurité informatique, aux fins de mise en œuvre d’un panier d’achat ou, dans certains cas, les cookies de mesure d’audience.

Ce qu’on doit retenir, c’est que les recommandations de la CNIL s’impliquent à titre principal, aux cookies et, plus largement, à tous les dispositifs de surveillance et d’analyse de navigation qui servent pour le marketing ciblé, c’est-à-dire pour permettre d’afficher des publicités ciblées à l’internaute.

Par exemple sur la page d’accueil du site de Pages jaunes, il y a un bandeau, un peu petit qui dispose : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour mesurer notre audience. » On peut cliquer dessus pour en savoir plus ou gérer les cookies.

Ce que prévoit la recommandation de la CNIL, est que si on continue notre navigation malgré l’existence de ce bandeau, notre accord est présumé.

Voilà comment se traduit la notion d’accord, alors que, souvent, la notion de consentement, est l’obligation de cocher une case, la manifestation d’une volonté explicite.

En matière de marketing ciblé, la CNIL a des exigences moins importantes : le fait de continuer sa navigation malgré l’existence de ce bandeau atteste de l’existence d’un accord.

Si on va plus loin dans le site de Pages jaunes, on clique pour aller sur une page qui explique à quoi servent les cookies, quelles sont leurs finalités, etc.

Enfin, troisième étape, Pages jaunes nous donne la possibilité de nous opposer à cette opération de marketing ciblé en cochant une petite case qu’on appelle « un cookie d’opt-out ».

En effet, pour ne plus faire l’objet d’une surveillance par les cookies, on met en place un cookie spécifique qu’on appelle « un cookie d’opt-out ».

Pour terminer rappelons que, sur ce sujet, les règles ne sont pas encore stabilisées sur le plan juridique, car, au-delà du règlement européen, le RGPD, il y a un nouveau règlement, « e-privacy », qui est en cours d’adoption, qui sera adopté en 2018 ou 2019.

Il faudra surveiller ce point, car c’est ce règlement qui apportera peut-être des précisions sur les règles applicables en matière de prospection commerciale et de marketing ciblé sur Internet.

Conséquences du RGPD pour les PME/PMI

Le règlement européen n’est pas une révolution, c’est une évolution du contexte juridique.

Le règlement apporte un grand nombre d’évolutions et, en particulier, des sanctions qui peuvent être très lourdes.

Pour commencer, il est souhaitable de trouver un pilote, pour s’assurer de la mise en œuvre de ce règlement.

S’il existe un correspondant informatique et libertés qui pourra être le futur délégué à la protection des données, c’est ce correspondant informatique et libertés qui sera, de préférence, le pilote.

S’il n’existe pas, il faudra trouver un pilote qui pourra devenir ce délégué à la protection des données, et c’est lui qui va piloter la démarche de responsabilité de l’entreprise.

Cette démarche va consister à mener un certain nombre d’actions, à s’assurer que toutes ces actions sont conduites dans le respect du règlement et à assurer une documentation qui devra être conservée pendant toute la durée de vie des traitements.

​6.2.1​ Inventaire des traitements

La première des opérations, c’est de faire l’inventaire des traitements.

S’il n’est pas déjà fait, si l’on n’a pas déjà un CIL qui a tenu un registre, il est nécessaire de commencer à faire l’inventaire, pour constituer le registre qui est rendu obligatoire par le règlement européen.

Ce registre doit contenir l’ensemble des traitements qui sont mis en œuvre par l’organisation, à commencer par les traitements internes, les traitements qui sont mis en œuvre directement par l’organisation.

Il faudra aussi faire l’inventaire des traitements qui sont externalisés, c’est-à-dire tous ces traitements qui sont réalisés en mode SaaS, dans le « cloud », le nuage, et qui font l’objet de ce qu’on appelle de la « sous-traitance », c’est-à-dire qui sont mis en œuvre par une organisation externe, pour le compte du responsable de traitement.

​6.2.2​ Actions prioritaires

Parmi les actions prioritaires, il faudra s’assurer, quel que soit le type de traitement, que les droits des personnes font bien l’objet d’une attention particulière.

Ça suppose en particulier de s’assurer qu’on a mis en œuvre des mentions légales dans les formulaires, dans les pages web de collecte de données, et que ces mentions légales comportent toutes les mentions qui sont rendues obligatoires par le règlement.

Il faut également s’assurer de la collecte du consentement, dans certains cas, des personnes concernées.

De plus, il faut se préoccuper des procédures qui permettront de réaliser le droit d’accès, le droit de suppression qui est accordé aux personnes.

Si une personne souhaite accéder à ces données, il faut qu’une procédure existe dans l’entreprise, de façon à pouvoir répondre dans des délais très courts aux personnes qui en font la demande.

​6.2.3​ Sous-traitants

Dans le cas des traitements qui font l’objet de sous-traitance, il est souhaitable de revoir les contrats avec ces sous-traitants, car le règlement impose des clauses qui vont définir les responsabilités entre le responsable de traitement et le sous-traitant.

Un certain nombre de clauses sont rendues obligatoires et doivent être intégrées dans l’ensemble des contrats, qui doivent donc être revus pour tous les traitements sous-traités.

Un certain nombre de données sont des données sensibles.
Il s’agit des données qui, selon le texte du règlement, sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Lorsque l’on a, dans un traitement, des données sensibles, il faut effectuer une analyse d’impact sur la protection des données.

Par conséquent, il faut faire l’inventaire de ces données sensibles et, pour chaque traitement qui porte sur des données sensibles, effectuer une analyse d’impact.
C’est le cas lorsque l’on met en œuvre un nouveau traitement, c’est aussi le cas quand un traitement fait l’objet d’une modification, il faudra effectuer une analyse d’impact.
Cette analyse d’impact devra faire l’objet d’une documentation et cette documentation devra être conservée pendant toute la durée de vie du traitement.

Il faut également se préoccuper de la sécurité.

La sécurité du traitement, c’est un ensemble de préoccupations.
Il faudra, en particulier, s’assurer que la gestion des accès aux données est bien l’objet d’une attention particulière, que l’on a des procédures de contrôle des droits d’accès aux données.

Il faudra aussi se préoccuper de la protection du réseau, s’assurer que le réseau est bien sécurisé, qu’il est bien protégé contre les accès non autorisés.
Cette sécurité est nécessaire parce que, lorsque des violations de données se déroulent, lorsque des personnes non autorisées ont accès à des données personnelles, il devient nécessaire, avec les clauses du règlement, d’effectuer une notification auprès de l’autorité de contrôle, la CNIL.

Cette notification doit faire l’objet d’une procédure pour être en mesure de répondre dans les délais impartis.
Les délais sont courts, il est nécessaire de notifier les failles de sécurité dans les 72 heures.

En conséquence, il est conseillé d’avoir une procédure en place pour effectuer cette notification.

Il faut également être capable de détecter les failles de sécurité qui peuvent conduire à une violation de données.

Dans tous les cas, quand une violation intervient, il faut alerter la CNIL et informer, dans certains cas, si la CNIL estime que c’est nécessaire, être en mesure d’informer les personnes dont les données ont fait l’objet de cette violation.

Dans ce domaine, il est souhaitable d’éviter de céder à certains marketings de la peur que certaines entreprises peuvent être tentées de mener.

Des entreprises vendent des solutions pour améliorer la sécurité, mais dans un grand nombre de cas, il n’est pas nécessaire de faire recours à ces solutions, c’est surtout l’organisation et la posture qui sont prioritaires, avant de mettre en œuvre des solutions que les vendeurs peuvent essayer de vendre en faisant usage de ce marketing de la peur.

Pour l’application de ce règlement, il est aussi souhaitable de ne pas rester seul.
Le règlement est un texte complexe, il est difficile à lire, difficile à comprendre, dans certains cas, et cela, pour tout le monde.

Il ne faut pas se sentir seul et ne pas rester seul devant ce texte compliqué.
Il est souhaitable de se faire accompagner, si on en éprouve le besoin.

Pour cela, faire appel à un service juridique interne, s’il existe dans l’organisation, et, pourquoi pas, faire appel à des prestataires spécialisés.

Il existe des cabinets d’avocats, des cabinets de consultants spécialisés dans la mise en œuvre de ces textes de protection des données qui peuvent apporter de l’aide ponctuellement.

Il est également possible d’échanger avec d’autres organisations, d’autres responsables de protection des données, dans le cadre d’associations professionnelles.

Droit de la consommation et e-commerce

Ici, nous allons nous intéresser à la protection dont les consommateurs bénéficient dans le cadre de la conclusion des transactions en ligne.

Le droit de la consommation a souvent été considéré comme le droit des faibles par rapport au droit des affaires, le droit de ceux qui font des affaires et en assument les risques.

La nécessaire protection du consommateur s’explique parce qu’il ne se trouve pas forcément sur le même pied d’égalité avec les informations dont disposent les professionnels.

Toutefois, la spécificité des réseaux numériques fait que la réglementation des pouvoirs publics est insuffisante pour garantir une protection efficace au consommateur, et que les organisations professionnelles sont intervenues avec des codes de déontologie, pour garantir une protection plus importante au cyberconsommateur.

Notre présentation sera organisée autour de trois points.

Nous nous intéresserons d’abord au cadre légal des contrats conclus à distance.
Puis nous nous attarderons sur la protection du consommateur avant la conclusion du contrat.

Enfin, nous examinerons la protection une fois le contrat conclu.

Le contexte juridique dans lequel évoluent ces contrats conclus par Internet, c’est une forme particulière du contrat conclu à distance, le contrat électronique.

La législation applicable est prévue dans le Code de la consommation, également dans la loi pour la confiance dans l’économie numérique du 21 juin 2004 et une ordonnance de 2005, qui a complété ce dispositif légal.

La définition du contrat à distance, nous la retrouvons pour tous les contrats, qu’ils soient conclus par Internet ou autrement à distance, dans le Code de la consommation.
Et une définition du contrat électronique, celui qui nous intéresse aujourd’hui, dans la loi de juin 2004, que nous venons de citer, à l’article 14.

Une fois ce contexte juridique exposé, nous allons nous intéresser à la protection du consommateur avant la conclusion du contrat.

Cette protection est organisée autour de l’obligation d’information due par les professionnels au cyberconsommateur ou au consommateur de manière générale.
Elle est organisée, dans notre cas, à trois niveaux.

Une obligation générale d’information, à partir du moment où un contrat est conclu entre un professionnel et un consommateur.

Un deuxième degré de protection, avec une obligation renforcée dans le cadre des contrats à distance, prévu par le Code de la consommation et encore une protection renforcée dans un autre contexte, celui du contrat électronique, toujours avec la loi pour la confiance dans l’économie numérique.

Le non-respect de l’obligation d’information de la part du professionnel aura comme conséquence que le consommateur ne sera pas tenu des obligations qu’il aurait pu contracter dans le cadre de cette transaction électronique.

La protection du consommateur va également être étendue dans le cadre de la conclusion du contrat.

Un contrat conclu par Internet n’est autre chose qu’un contrat conclu valablement, à partir du moment où on a la rencontre de l’offre faite par le professionnel et l’acceptation par le consommateur. Ce contrat va être modifié uniquement…

La modification ne peut être opposable au consommateur que lorsque le courrier électronique qui lui a été adressé lui permet de comprendre la portée de cette modification.

Enfin, juste citer que la loi applicable à ce contrat conclu par voie électronique est celle de l’État membre dans lequel le professionnel est installé.
Occupons-nous de la protection accordée au consommateur une fois que le contrat a été conclu.

Elle est organisée notamment autour du droit de rétractation dont dispose le cyberconsommateur, de revenir sur son engagement contractuel.

Il dispose d’un délai de 14 jours prévu par le Code de la consommation, qui va pouvoir être reporté à un délai plus important de 12 mois, lorsque le professionnel n’a pas communiqué les informations obligatoires que nous venons de citer au consommateur.
L’exercice du droit de rétractation est simple, le Code de la consommation a prévu un formulaire.

Toutefois, dans le cadre du contrat en ligne, le cyberconsommateur va remplir un formulaire sur le site internet du professionnel, qui devra à son tour lui envoyer un accusé de réception de ce délai, de cet exercice du droit de rétractation.

L’exercice du droit de rétractation permettra donc au consommateur de se faire rembourser, dans un délai de 30 jours, des sommes qu’il a versées au professionnel.

Trois types de sanctions sont prévues, en cas de non-respect de ce droit de rétractation dont bénéficie le consommateur.

Une sanction civile : la clause par laquelle le consommateur renonce à son droit de rétractation est nulle.

Administrative : des amendes sont prévues, dont le montant varie entre 15.000 et 75.000 euros.

Et une sanction pénale, avec une contravention de cinquième classe.

La protection est également prévue dans le cadre de l’exécution du contrat, notamment quand le professionnel ne respecte pas les obligations qu’il a contractées avec le cyberconsommateur.

Le Code de la consommation prévoit simplement la responsabilité de plein droit du professionnel, vis-à-vis de l’exécution de ses obligations, qu’il le fasse lui-même ou qu’il passe par un prestataire de services.

Lorsque le professionnel ne respecte pas ses obligations, le consommateur pourra résilier le contrat. Il se verra donc remboursé des sommes qu’il a versées.

Toutefois, dans le cas où les biens ou les services seraient indisponibles, le professionnel pourra proposer un bien ou un service de qualité et de prestation équivalentes, seulement si le consommateur en a été informé.

Il nous reste à nous intéresser, dans le cadre de l’exécution du contrat, aux obligations, cette fois-ci, de la part du consommateur, puisque dans le cadre de l’exécution de ses obligations, il est encore protégé par le législateur.

On sait bien que le cyber consommateur peut payer le prix de la commande à la commande, mais dans ce cas-là, il est possible qu’il ne reçoive jamais la prestation qu’il attend, notamment en cas de liquidation judiciaire du professionnel, puisque ce dernier peut se retrouver dans le cadre d’une liquidation, et le consommateur occupera le rang de créancier.

Il peut également payer à la réception de la marchandise, c’est la deuxième possibilité.
Et on sera dans le cadre d’un contrat conclu sous condition de livraison de la marchandise.

Un point qui nous paraît très important et sur lequel nous attirons l’attention du cyberconsommateur, c’est le paiement par Carte Bleue.

La Carte Bleue est le moyen de paiement privilégié dans le cadre d’un contrat conclu par voie électronique. Et le paiement va pouvoir être contesté, d’abord, si ce débit est frauduleux. 

C’est prévu dans les dispositions du Code monétaire et financier, lorsque le paiement n’a pas été autorisé par le consommateur, l’établissement bancaire devra immédiatement le rembourser des sommes qui ont été prélevées de manière indue, puisqu’il n’a pas consenti.

Il aura donc un délai de 13 mois pour contester ses paiements, quand la transaction a lieu au sein de l’Espace économique européen.

Ce délai pouvant être porté à 70 ou 120 jours, s’il y a une clause contractuelle, lorsque la transaction est hors espace économique européen.

Enfin, un point très important aussi, c’est que ce débit va pouvoir être contesté même s’il n’est pas frauduleux, c’est-à-dire que le cyberconsommateur a pourtant donné son accord au prélèvement de la somme.

Il aura un délai de 8 semaines pour le faire, uniquement s’il n’a pas connu à l’avance le montant des sommes sur lesquelles il s’engageait et que ces sommes à payer sont beaucoup trop importantes par rapport à ce qui aurait été attendu.

Cybersurveillance des salariés

Par exemple, se connecter 41 heures dans le mois sur Internet ou alors faire plus de 10 000 connexions mensuelles. C’est de l’abus qui peut être sanctionné.

Isabelle a amené sa clé USB personnelle à son travail. Elle se connecte en branchant sa clé sur son ordinateur et utilise des documents personnels qu’elle a sur cette clé USB.

Quelle ne fut pas sa surprise, quelque temps après, d’être contactée par son employeur, qui lui demande de venir dans son bureau et lui demande pourquoi elle a passé autant de temps à préparer des CV à destination de concurrents et pourquoi elle a préparé autant d’informations particulières, spécifiques à la concurrence. Isabelle est éberluée.

Tous ces documents figuraient sur sa clé USB personnelle. L’employeur avait-il le droit de consulter ces documents ? Y avait-il, ici, atteinte à sa vie privée ?

Comment « cyber surveiller » les salariés ? Il y a toute une série de moyens, des logiciels de surveillance… 

Ça peut-être des écoutes téléphoniques, c’est rare mais ça peut être le cas. Ça peut être la surveillance des courriers électroniques, le contrôle des SMS, etc., il peut y avoir d’autres moyens mis en œuvre dans les entreprises pour « cybersurveiller » les salariés.

Quels sont les enjeux ?
C’est surtout là, le point important de cette délicate question de la « cybersurveillance » des salariés. L’enjeu, c’est évidemment le bon fonctionnement de l’organisation et de l’entreprise, autrement dit, la protection de l’entreprise et de ses données stratégiques et la sécurité de l’entreprise. Face à cela, il y a à respecter la vie professionnelle et la vie privée sur le lieu de travail, et donc, la délicate frontière qu’il doit y avoir entre cet objectif de l’entreprise et le respect de la vie privée des salariés sur leur lieu de travail.

Ce qui peut être sanctionné par l’employeur, je l’ai évoqué, ce sont les abus que les salariés vont faire de l’utilisation de ces outils professionnels, notamment les connexions à Internet. La jurisprudence est claire par rapport à ça.

Une salariée qui se connecte pendant 41 heures dans le mois pendant son temps de travail, sur des sites, pour faire ses courses, évidemment, est abusive.
Ou alors, un autre salarié qui va se connecter 10 000 fois par mois sur Internet, est également abusif, par rapport à cet usage toléré, admis dans des entreprises.

Contrôle

L’employeur a le droit de consulter les fichiers et e-mails des salariés, donc, les fichiers et la messagerie des salariés qui ne sont pas identifiés comme personnels.
Mais si les fichiers ne sont pas identifiés comme personnels, l’employeur peut les contrôler. 

Également, cela peut concerner les connexions Internet et la durée des connexions.
Également, l’employeur a un droit de regard sur l’historique de la navigation des sites et il peut également consulter les SMS qui ne sont pas identifiés comme étant personnels.

L’employeur a le droit de contrôler l’utilisation que font les salariés de ces outils mis à disposition, dès lors que trois principes sont respectés et dès lors, bien sûr, que l’employeur respecte la règle fondamentale du respect des libertés dans l’entreprise:

1. la finalité du contrôle, c’est-à-dire la protection de l’entreprise et de ses données stratégiques, par exemple.
2. La proportionnalité. Les moyens utilisés par l’employeur doivent être raisonnables par rapport au but recherché.
3. Et la transparence. Le salarié doit être au courant qu’il va y avoir un contrôle sur les opérations qu’il peut faire sur Internet, l’utilisation de la messagerie, etc. 

Informer au préalable les salariés, informer et consulter les institutions représentatives du personnel et faire une déclaration préalable à la CNIL.

Et là, je reprends un article du Code du travail, qui est l’article L.1222-4, qui nous dit précisément qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

Donc, l’employeur doit prévenir le salarié qu’un contrôle, quel que soit le contrôle, va être fait, sur l’utilisation des outils mis à sa disposition.

Comment ça se passe, cette information du salarié ?
Il doit être informé des finalités poursuivies, des destinataires des données collectées par l’employeur, de son droit d’opposition, pour motif légitime, à ce contrôle, et de ses droits d’accès et de rectification des données.

La déclaration à la CNIL, autre obligation de l’employeur, vous reviendrez sur cette obligation à l’occasion d’autres séquences de ce MOOC…

L’employeur doit faire une déclaration simplifiée de conformité à la norme, une déclaration numéro 46, dès lors qu’il met à disposition des outils informatiques sans contrôle de l’activité des salariés.

À l’inverse, s’il y a un contrôle individualisé de l’activité des salariés, comme, par exemple, l’analyse des relevés de connexion poste par poste, le calcul du temps passé sur Internet, dans ce cas, l’employeur devra faire une déclaration normale auprès de la CNIL.

Toute la question est dans l’équilibre, le bon équilibre entre la protection de l’entreprise nécessaire à la sécurité des systèmes informatiques, et le respect de la vie privée des salariés dans l’entreprise.

Et toujours ce principe de proportionnalité; car, pour le salarié, pour vous tous qui êtes salariés, la cybersurveillance est souvent perçue comme abusive et comme portant atteinte au principe de liberté.
Quels sont les principes fondamentaux que l’employeur doit avoir en tête, lorsqu’il souhaite mettre en place un contrôle ?
C’est tout d’abord cet article 9 du Code civil qui porte sur le secret des correspondances.

Chacun a droit au respect de sa vie privée, y compris sur son lieu de travail.

« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » L’article L.1121-1 du Code du travail.

L’employeur doit consulter au préalable le comité d’entreprise, dès lors qu’il met en œuvre des moyens ou des techniques qui permettent le contrôle de l’activité des salariés.

Et le règlement intérieur ou des chartes informatiques peuvent préciser des particularités liées à la protection de la vie privée dans l’entreprise. Donc, on doit s’y référer.

Attention, pour finir, à ces différentes prescriptions par rapport au contrôle des salariés.

Premièrement, pas de consultation des employeurs des mails personnels ou des SMS personnels sans accord des salariés, sauf enquête judiciaire ou décision du juge.
Ça suppose qu’on ait fait appel au juge et qu’on ait une injonction spécifique de la part du juge.

Pour reprendre l’histoire d’Isabelle que j’évoquais en guise de préambule…
Isabelle rentre une clé USB perso sur son ordinateur professionnel et utilise des documents qu’il y a sur cette clé perso.

Concrètement, quelle utilisation l’employeur peut-il faire d’une clé USB personnelle ?

La jurisprudence dit que c’est la même que celle qu’il peut faire par rapport aux documents qui sont sur l’ordi du salarié, dès lors qu’ils ne sont pas identifiés comme étant personnels.

Donc, si Isabelle apporte sa clé perso et n’indique pas précisément, par rapport aux documents de sa clé, que ces documents sont personnels, on suivra le même régime que les autres documents de son ordinateur.

Concrètement, elle a sa clé, sa clé s’affiche sur son ordinateur, l’employeur pourra consulter les documents qui sont à l’intérieur, s’ils n’ont pas été identifiés comme étant personnels.

C’est une jurisprudence de la Cour de cassation qui l’affirme.

Au salarié d’identifier ses documents perso, s’il ne veut pas que l’employeur ait un droit de regard dessus.

Pas de consultation des fichiers personnels du salarié en dehors de la présence de celui-ci ou après l’avoir invité à être présent.

Pas de copie automatique de tous les messages écrits ou reçus par les salariés et pas de conservation des logs de connexion au-delà de 6 mois », nous dit la CNIL.

Enfin, attention aux keyloggers. Ce sont des dispositifs de cybersurveillance qui se lancent automatiquement à chaque démarrage de la session du salarié, donc, de l’utilisateur, à son insu.

Ce type d’outil, pour la CNIL, ne peut pas être utilisé dans un contexte professionnel, à l’exception d’impératifs forts de sécurité et d’une information spécifique des personnes concernées.

Bien évidemment, le juge veille, et c’est le juge qui donne, au fur et à mesure des contentieux, la marche à suivre par rapport à ces questions délicates.

Si vous voulez aller plus loin, je vous renvoie à deux arrêts très intéressants et récents.

Le premier, un arrêt de la Cour de cassation du 1er juin 2017 que vous pouvez chercher sur Légifrance.
Le second, un arrêt de la Cour européenne des droits de l’homme, tout aussi intéressant, du 5 septembre 2017.

E-commerce et détection de la fraude

Qu’est-ce que cette fraude au paiement et comment elle intervient dans le cadre du secteur du e-commerce ?

La fraude à la carte de paiement, c’est avant tout l’utilisation illégitime des moyens de paiement et des données qui figurent sur la carte bancaire et qui y sont attachées.

C’est grave, parce que ça peut avoir des conséquences très préjudiciables pour le site marchand, outre les risques d’usurpation d’identité qui sont souvent à l’origine de ces fraudes.

 

Sur quels systèmes reposent ces traitements de détection de la fraude au paiement ?

En général, c’est des systèmes complexes qui vont calculer une probabilité de survenance du risque.

On va se baser à la fois sur des éléments statistiques tirés du comportement d’autres acteurs sur Internet, qui ont peut-être le même âge, qui achètent au même moment ou qui sont clients du même « store ».

On parle alors de « score prédictif », puisque ce n’est pas issu de la relation avec le consommateur, mais on va penser que ce consommateur risque d’avoir le même comportement que d’autres consommateurs.

Ou alors, on va analyser les éléments du bon de commande, et ça, c’est le plus fréquent, on va regarder le lieu de livraison, l’adresse mail qui est communiquée, le type de bien acheté, et on va rechercher dans l’historique des relations avec cette personne, pour voir s’il y a déjà eu des difficultés, soit à cette adresse physique de livraison…

Par exemple, il y a déjà eu plusieurs fraudes qui correspondaient à cette adresse de livraison.

Ça va être également la détection d’adresses IP, les adresses des ordinateurs qui se connectent aux sites web, pour repérer qu’il y a déjà eu des fraudes attachées à une adresse IP. Dans ce cadre-là, on va parler de « score de comportement ».

Il y a d’autres dispositifs mis en œuvre notamment par les réseaux de cartes bancaires comme Visa et MasterCard ou le système 3-D Secure de Visa, qui invite à taper un code confidentiel pour sécuriser, authentifier le paiement. Quel est l’encadrement de ces dispositifs ?

Parce que ces dispositifs créent des risques pour les individus, ils sont très strictement encadrés par la réglementation en matière de protection des données personnelles.

Ils sont considérés comme sensibles parce qu’il va y avoir des conséquences graves pour les individus.

Ils vont par exemple, être exclus du paiement en ligne ou alors, c’est leur réputation qui va être entachée, que ce soit auprès du commerçant ou auprès de tiers avec lesquels, peut-être, les données sont partagées.

Et ces exclusions, cette stigmatisation vont intervenir alors qu’aucune loi n’a prévu une telle exclusion.

Conséquence : la législation a prévu l’obligation d’effectuer un contrôle a priori, préalablement à la mise en œuvre de ces traitements.

Dans la loi « Informatique et libertés » qui est en vigueur, il faut l’autorisation préalable de la CNIL, c’est l’article 25 de la loi qui le prévoit.

Avec le règlement général, en principe, ces formalités disparaissent.

Ça ne veut pas dire qu’il n’y a rien à faire. On se place dans la démarche de conformité et, dans cette démarche de conformité visant à démontrer la conformité du traitement, il faudra réaliser une étude d’impact sur la vie privée et, lorsque la conclusion de l’étude d’impact révèle des risques importants, aller consulter la CNIL, pour qu’elle valide la démarche.

Il y a en réalité six principes à respecter pour la mise en œuvre de ces outils de détection de la fraude:

1. L’obligation de la transparence est une obligation capitale du règlement général à la protection des données à caractère personnel, qui existait déjà dans la loi « Informatique et libertés ». Ici, il s’agit d’informer les individus sur l’existence du traitement, de leur donner des détails sur la façon dont ça fonctionne… Si on utilise un score, il faudra dire qu’il y a un score, qu’il est prédictif et qu’il va influer sur l’acceptation ou non du paiement. Le règlement apporte une obligation de transparence renforcée, en exigeant de la clarté dans cette information, de l’accessibilité et de l’intelligibilité. Ça va nécessiter la présence de mentions particulières dans les conditions générales de vente, sur les formulaires de collecte des données et, sans doute, on attend la parution, une iconographie particulière, c’est-à-dire des logos sur le site internet, des tampons qui vont signaler l’existence de dispositifs de détection de la fraude.
2. Deuxième élément, c’est la minimisation.
   Ce principe aussi était déjà présent dans la loi « Informatique et libertés ».
   Il est indiqué que les données doivent être pertinentes, adéquates et strictement nécessaires au regard de la finalité du traitement. Premièrement, c’est qu’on doit avoir identifié préalablement les critères qui vont devoir être pris en compte pour l’analyse. Il est important de les identifier au préalable, d’abord, pour garantir leur caractère objectif. Ça ne peut pas porter sur des données telles que la race, la religion, ça doit porter sur des données comportementales. « Il paie », « Il ne paie pas », « Il conteste » ou « Le moyen de paiement avait été perdu ou volé ».
   L’autre élément, c’est un contrôle d’efficacité qui est requis, pour assurer cette pertinence des données. Le traitement de l’information, sa conservation, sa comparaison doit être utile pour assurer la détection de la fraude et, surtout, doit garantir l’absence de ce qu’on appelle les « faux positifs » : des approximations qui vont conduire à refuser des personnes, alors que ce ne sont pas elles qui sont à l’origine de la fraude ou, en tout cas, que l’on visait.
3. Autre principe, présent aussi dans la réglementation en matière de protection des données personnelles, c’est pas de décision automatisée.
   On est là au cœur de l’application de la loi « Informatique et libertés ».
   À l’article 1 de cette loi, ce n’est pas la machine qui commande, ce n’est pas l’homme au service de l’informatique, mais l’inverse.
   Donc, ce n’est pas l’informatique qui va prendre des décisions produisant des effets sur les individus.
   Deux conséquences, par rapport à des traitements de détection de la fraude.
   C’est la nécessité de permettre une analyse manuelle et approfondie, lorsqu’une fraude est détectée, c’est-à-dire de la confirmer.
   On ne peut pas se cantonner à l’alerte de la machine.
   Et également, pour que la personne puisse contrôler, se justifier, se disculper, c’est la notification à l’individu concerné par l’alerte de l’existence d’une alerte, des conséquences, de la raison de l’annulation du paiement, par exemple, et de sa possibilité d’intervenir, pour présenter ses observations et, par exemple, démontrer qu’elle n’est pas à l’origine de la fraude ou que le paiement est tout à fait régulier.
4. Élément également important, c’est « pas de mise au pilori électronique ».
   C’est-à-dire que ces alertes n’ont pas vocation à être diffusées sur Internet.
   Elles doivent rester dans un domaine restreint.
   Là-dessus, la CNIL a défini de longue date un principe de sectorisation qui, appliqué au secteur du e-commerce, veut dire que les données sur la fraude pourront peut-être être partagées, mais uniquement entre commerçants en ligne.
   Il n’est pas question d’aller exclure une personne, par exemple, du bénéfice d’un contrat de location immobilière, parce qu’il y a eu un défaut ou une suspicion de fraude pour un paiement de 10 euros sur Internet.
   Pour arriver à ce résultat-là, c’est une obligation de confidentialité à laquelle vont devoir être soumises les personnes qui accèdent au système, voient les alertes ou les traitent.
   Avec le règlement sur la protection des données à caractère personnel, un renforcement des garanties est prévu et il faudra sans aucun doute obtenir un consentement exprès de la personne concernée, si on envisage de partager les données, par exemple, avec d’autres commerçants. Il faudra suivre, là-dessus, les développements de la CNIL.
5. Comme pour d’autres traitements, un autre principe important à respecter, c’est le droit à l’oubli : on ne peut pas garder trace des alertes de manière indéfinie et, même en présence d’une fraude avérée, des délais de conservation doivent être précisés.
   Des exemples sont régulièrement donnés par la CNIL lorsqu’elle a à traiter des formalités préalables.
   Elle indique, par exemple, que l’inscription sur une liste noire, en général, c’est 3 ans, voire 5 ans, selon la gravité de la fraude, et que, par contre, pour les données qui ont été utilisées, moulinées, on est plutôt sur une durée de 6 mois parce qu’elles n’ont pas de pertinence, elles n’ont pas vocation à être gardées trop longtemps.
   Elle donne d’autres exemples, comme les données du bon de commande.
   La CNIL considère qu’une durée de 3 ans ne doit pas être dépassée.
   Ce sont des données courtes que les responsables de traitement doivent s’attacher à respecter.
6. Dernier point, c’est la sécurité du traitement.
   La sécurité rejoint la confidentialité du traitement.
   Outre la définition des personnels autorisés et formés à accéder au traitement, c’est la sécurisation de l’accès au traitement par des mots de passe, la traçabilité des actions et l’exploitation des journaux de connexion, les conditions sécurisées de la conservation et une vérification régulière de l’intégrité des données, de leur qualité, et toute une panoplie de mesures de sécurité pour assurer la confidentialité, qui est un élément très important dans la conformité de ces dispositifs.