Stratégie de l'entreprise

Les obligations des entreprises en matière de protection des données personnelles à la lumière du RGPD

Posted onAuthorYohann TRIMOREAU

Le règlement général sur la protection des données personnelles (RGPD) du 27 avril 2016 est directement applicable depuis le 25 mai 2018, une loi du 20 juin 2018 adapte notre droit national à cette réglementation.

Cette réforme impacte notamment les entreprises qui traitent des données à caractère personnel en leur imposant des obligations nouvelles.

Le RGPD pose également le cadre de la relation entre les responsables du traitement des données et leurs sous-traitants, et crée des obligations particulières à l’égard de ces derniers, il crée aussi des droits à l’égard des personnes auxquelles se rapportent les données qui font l’objet du traitement, désignées sous le terme de « personnes concernées ». Cependant, l’objet de cet article étant l’étude les obligations applicables aux entreprises, ces questions ne seront pas examinées plus en détail.

L’enjeu stratégique de la conformité aux dispositions du règlement est majeur en terme d’image, le cas du scandale des fuites de données Facebook offre un exemple éloquent : la valeur des titres en bourse ayant chuté de 10%, ce qui représente une perte de plus de 8 milliards de dollars[1].

Au-delà de la perte de confiance de la part des investisseurs, ce sont les lourdes amendes prévues en cas de non-respect qui font de la conformité au RGPD un enjeu stratégique incontournable, celles-ci pouvant s’élever, dans les cas les plus graves jusqu’à 20 000 000 € ou 4% du chiffre d’affaire mondial, le montant le plus élevé étant retenu (cf. infra).

Après avoir rappelé le champ d’application du règlement et les grandes lignes des principes directeurs qu’il pose, il faudra se pencher sur la question des obligations spécifiques aux entreprises, et sur celle des sanctions en cas de non-respect.

  1. Champ d’application du RGPD

a) Les personnes visées

Les dispositions du RGPD concernent à la fois les responsables du traitement des données, définies comme les « personnes […] qui déterminent les finalités et les moyens du traitement », mais également les sous-traitants, à savoir « les personnes […] qui traitent des données à caractère personnel pour le compte du responsable du traitement, sous son autorité et sur ses instructions ».
Il peut s’agir, dans les deux cas, d’entreprises, d’associations ou d’organismes publics, peu importe leur taille ou le nombre de données traitées. Les activités exclusivement domestiques sont exclues du champ.

                b) Le champ d’application territorial

Le critère pour déterminer le champ d’application du règlement est celui du lieu d’établissement du responsable ou du sous-traitant : dès lors qu’ils sont établis sur le territoire de l’Union Européenne, le règlement leur est applicable, il l’est également lorsque ces derniers ne sont pas établis dans l’UE mais qu’ils proposent des biens ou des services sur le territoire de l’UE, ou encore lorsqu’ils suivent le comportement de personnes au sein de l’UE. Le fait que les données ne soient pas traitées sur le territoire de l’UE est sans incidence.

c) Les données et les opérations concernées

Toute information, même « pseudonymisée » permettant d’identifier directement ou indirectement une personne physiqueest considéré comme une donnée personnelle. En effet, le règlement définit la donnée personnelle comme « Toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, si l’identification directe est visée (photo, nom, prénom) l’identification indirecte l’est aussi, le règlement envisage expressément les numéros d’identification, les données de localisation ou encore les identifiants en ligne.

Le règlement énumère également les opérations considérées comme du traitement de données, il vise notamment : la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission ».

Le traitement de certaines données est par principe interdit, il s’agit des données qualifiées de sensibles, à savoir celles qui font apparaître les origines raciales ou ethniques, les opinions politiques, philosophies ou religieuses, l’appartenance syndicale des personnes, les données génétiques et biométriques, les données de santé, ainsi que les données relatives à la vie sexuelle et à l’orientation sexuelle.

  1. Principes directeurs

Le règlement impose un certain nombre de principes, à respecter pour les responsables de traitement.

Le premier principe, dit de légitimité ou de licéité, implique que le recueil de donnée personnelle soit justifié, c’est-à-dire qu’il intervienne dans l’un des cas suivant :

– consentement de la personne fournissant des données, à condition qu’il soit libre et exprès,

– nécessité contractuelle,

– obligation légale,

– intérêt légitime du responsable du traitement.

De manière moins spécifique aux entreprises, le recueil peut aussi être fondé sur l’intérêt public, ou la nécessité de sauvegarde de la vie humaine.

Le second principe, de transparence, implique que la personne amenée à fournir les données ait accès à une information complète sur l’identité du responsable du traitement, ainsi que de la finalité desdits traitements.

Le troisième principe, de respect de la finalité, impose aux responsables du traitement des données de ne les traiter que de manière déterminée, explicite et légitime, c’est-à-dire qu’il ne doit pas utiliser les informations à d’autres fins que celles communiquées à la personne ayant fourni des données. Si d’autres fins sont envisagées, le recueil du consentement est à nouveau exigé.

Le quatrième principe, de proportionnalité suppose que les données recueillies soient pertinentes, adéquates et limitées, au regard de la finalité. Il impose également de fixer une durée de conservation des données correspondant au temps nécessaire, au regard de la finalité.

Le cinquième principe, de sécurité, impose de prendre toutes les mesures pour assurer la sécurité des traitements.

Le sixième principe, d’exactitude, suppose que les données collectées doivent être exactes et tenues à jour, si nécessaire. Cela implique aussi que la personne qui les a fournies ait un droit d’accès, de rectification et de suppression des données.

  1. Obligations des responsables de traitements

a) La protection des données

Les responsables de traitement doivent protéger les données à deux niveaux : d’une part, dès la conception des produits ou des services et tout au long du cycle de vie de ces produits ou services. Ils doivent aussi minimiser la quantité de données, leur durée de conservation ainsi que l’accessibilité de ces données.

b) La documentation

Ils doivent également documenter les mesures prises en vue de protéger les données, afin de pouvoir démontrer le respect des principes posés par le RGPD. Cette obligation concerne aussi les sous-traitants. Cette obligation de se ménager la preuve du respect des dispositions est une des grandes nouveautés de la réforme. Elle permet de pouvoir échapper à de lourdes sanctions.

c) Les analyses d’impact

Dans certaines circonstances, les responsables doivent élaborer des analyses d’impact avant de se livrer au traitement de données, c’est le cas lorsque lesdits traitements présentent un risque élevé pour les droits et libertés des personnes,(notamment du fait du recours à de nouvelles technologies).

La Commission Nationale Informatique et des Libertés (CNIL) précise les cas dans lesquels de telles analyses d’impact sont obligatoires, et notamment en cas de « surveillance systématique à grande échelle d’une zone accessible au public » ou le « traitement à grande échelle d’informations sensibles ».

L’analyse d’impact doit comporter une description détaillée du traitement mis en œuvre, une évaluation de la nécessité et de la proportionnalité d’un tel traitement, ainsi qu’une étude sur les risques pour les droits et libertés des personnes concernées, et les mesures envisagées pour faire face à ces risques. Si au terme de cette analyse, il s’avérait que des risques élevés ne peuvent être atténués par les mesures envisagées, le responsable a alors l’obligation de consulter préalablement l’autorité de contrôle (en France, la CNIL).

d) La tenue d’un registre des traitements

Les responsables doivent tenir un registre des traitements, le règlement détaille le contenu de ce registre : il doit notamment faire apparaître l’identité et coordonnées du responsable du traitement, les finalités du traitement, la description des catégories de personnes concernées, les destinataires des données, le délai prévu pour l’effacement des données ainsi qu’une description générales des mesures de sécurité techniques et organisationnelles…

La tenue d’un tel registre n’est pas obligatoirepour les entreprises comptant moins de 250 salariés, sauf si elles se situent dans un cas particulier, à savoir si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées, si le traitement porte sur des données sensibles ou sur des données relatives à des condamnations pénales et des infractions.

e) L’obligation de sécurité

Une obligation de sécurité pèse sur les responsables du traitement de donnée : ils ont l’obligation de garantir un niveau de sécurité adapté, afin d’empêcher que les données soient déformées, ou que des tiers non autorisés y aient accès. Cela qui peut par exemple passer par la pseudonymisation et le chiffrement des données.

f) Les obligations en cas de violation de données

En cas de violation de données, deux obligations pèsent sur les responsables du traitement des données.

  • L’obligation de notification à la CNIL

Les responsables doivent notifier à la CNIL les violations de données susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques dans les meilleurs délais et, si possible 72 heures au plus tard après en avoir pris connaissance. Ils doivent également tenir un registre des failles de sécuritécontenant les faits de violation, ses effets ainsi que les mesures prises pour y remédier.

Le sous-traitant, quant à lui, doit notifier au responsable toute violation de données dans les meilleurs délais après en avoir pris connaissance.

  • L’obligation de communication aux personnes concernées

En cas de violations de données susceptibles d’engendrer un risque élevé pour leurs droits et libertés, le responsable de traitement a l’obligation d’informer directement la personne concernée dans les meilleurs délais. La communication doit contenir une description claire et simple de la nature de la violation de données, le nom et les coordonnées du délégué à la protection des données, les conséquences probables de la violation de données ainsi que la description des mesures prises ou proposées pour remédier à la violation de données et, le cas échéant, les mesures pour en atténuer les conséquences négatives.

g) L’obligation de désigner un délégué à la protection des données

Dans certains cas spécifiques, le règlement impose aux responsables et aux sous-traitants de désignerun délégué à la protection des données (DPO), par exemple lorsque lestraitements, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque le traitement à grande échelle des données sensibles, ou relatives à des condamnations pénales et à des infractions. Ce DPO informe et conseille le responsable ou le sous-traitant, il est également l’interlocuteur de la CNIL.

  1. Pouvoirs de la CNIL et sanctions

L’ensemble de ces mécanismes serait dépourvu d’efficacité s’il n’était assorti de sanctions, et en l’espèce, l’enjeu de la conformité au règlement est immense, de lourdes amendes administratives étant applicables aux contrevenants.

En effet, si les données ne sont pas protégées (par défaut et dès la conception), ou si les registres des activités de traitement, ou les analyses d’impact ne sont pas tenus, ou que les violations de données ne sont pas notifiées à la CNIL, l’amende peut s’élever jusqu’ à 10 000 000 € ou 2% du chiffre d’affaire mondial, le montant le plus élevé étant retenu.

En cas de non-respect des principes posés par le règlement (transparence, proportionnalité, légitimité, consentement…) ou de méconnaissance de certaines dispositions spécifiques (interdiction du transfert des données hors UE, ou atteinte à un des droits garantis à une personne concernée), l’amende peut  cette fois s’élever jusqu’à 20 000 000 € ou 4% du chiffre d’affaire mondial, le montant le plus élevé étant retenu.

Parallèlement au risque de sanction administrative, le contrevenant engage également sa responsabilité pénale lorsqu’il ne protège pas les données de manière adéquate, ou lorsqu’il omet de notifier une violation à la CNIL[2].

A la lumière de ces éléments, on comprend que la conformité aux dispositions du RGPD constitue un enjeu stratégique majeur pour toute entreprise, plus particulièrement lorsque celles-ci sont impliquées dans l’univers du numérique.

[1] https://www.challenges.fr/finance-et-marche/marches-financiers/ces-milliards-que-zuckerberg-perd-en-bourse-avec-le-scandale-cambridge-analytica_580105

[2] Art. 226-17 et 226-17-1 code pénal.

2 Replies to “Les obligations des entreprises en matière de protection des données personnelles à la lumière du RGPD

  1. Ping : Les données personnelles issues des objets connectés, un enjeu d’avenir ? – Youpacoe
  2. Ping : L’optimisation de la gestion des données par les entreprises – Youpacoe

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *