Une protection des données personnelles enfin adaptée à l’ère des nouvelles technologies
En effet, l’adaptation des entreprises aux nouvelles normes européennes[1] qui entreront en vigueur le 25 mai 2018 ne pourra pas se faire dans la précipitation mais supposera une analyse préalable des politiques de sécurité actuelles et de leur pertinence au regard des besoins et des enjeux ; elle ne pourra pas non plus être reportée car toute inaction exposera la société au paiement d’une amende qui, selon l’ampleur et la gravité des non-conformités relevées, pourra représenter jusqu’à 20 millions d’euros ou jusqu’à 4 % de son chiffre d’affaires mondial.
Ce constat opéré, saisissons le sujet !
Dans son principe, l’évolution de la réglementation pour la protection des données personnelles apparaît heureuse ; jusqu’ici, les seules dispositions applicables aux 28 pays de l’Union Européenne résultaient en effet d’une Directive européenne de 1995[2], conçue à une époque où le traitement de données personnelles était résiduel, en l’absence d’Internet, de Smartphones et de médias sociaux.
La mise en œuvre de ces dispositions nouvelles ne s’annonce toutefois pas simple.
D’une part, le champ d’application du nouveau règlement européen est particulièrement large. Il impose en effet à tout acteur[3] européen collectant, gérant ou stockant des données personnelles de définir une politique claire et effective de sécurisation de ces informations. Il s’applique également à toute société basée hors d’Europe mettant en œuvre de tels traitements pour proposer des biens ou des services sur le territoire européen. Il souligne enfin que constitue une donnée personnelle toute information permettant d’identifier une personne quelle qu’elle soit (salarié, fournisseur, client, prospect, etc.), de manière directe ou indirecte, peu important le support sur lequel elle se trouve (ordinateurs, terminaux mobile, serveurs, courriels, etc.).
Autant dire que tous les acteurs économiques et sociaux sont concernés, quelle que soit leur taille et quels que soient leurs moyens, financiers ou techniques !
D’autre part, les obligations qui découlent du nouveau règlement européen sont nombreuses puisque - sous réserve d’obligations complémentaires qui seraient consacrées en droit français - elles imposent aux entreprises de pouvoir justifier en permanence auprès de la CNIL de ce que :
1. Le traitement de données personnelles qu’elle opère est légitime ; à ce titre, l’entreprise devra en principe prouver le consentement des personnes concernées à l’usage de leurs données.
2.Ce traitement est proportionné au but recherché, le recensement de données personnelles devant être le plus limité possible.
3.Les personnes dont les données sont traitées disposent d’une information claire, intelligible et facilement accessible leur rappelant l’usage qui est fait de leurs données personnelles, la durée pendant laquelle leurs informations seront conservées, leur droit d’en demander la rectification, de s’opposer à tout moment à leur traitement ou la possibilité d’en solliciter la portabilité auprès d’un tiers.
4. Ces informations sont sécurisées ; ceci supposera de justifier d’un contrôle très précis des opérations de traitement et de la mise en place de mesures techniques et opérationnelles permettant une protection effective des données personnelles.
5 .Toute destruction, perte, altération ou divulgation de données personnelles est notifiée à l’intéressé dans les 72 heures (sauf motif légitime ou absence de risque de détournement), en lui précisant la défaillance relevée, le nombre de personnes concernés, les conséquences probables de cet incident et les mesures prises ou envisagées pour y mettre un terme.
6. Ces données ne seront pas conservées plus longtemps que nécessaire.
7. L’envoi de ces données en dehors de l’Europe est interdit, sauf à justifier d’un motif légitime et à disposer d’un système de transfert fiable garantissant un niveau de protection suffisant.
Au-delà, les entreprises dont l’activité implique un contrôle systématique de données personnelles (profilage par exemple) ou le traitement à grande échelle de données sensibles (données révélant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle ou encore les données génétiques ou biométriques) devront plus spécifiquement justifier :
1. De la réalisation d’une étude d’impact complète faisant apparaître les caractéristiques du traitement et les mesures adoptées, lesquelles doivent être adaptées au regard du risque accru de violation auquel sont exposées ces données.
2. De la désignation d’un Délégué à la protection des données (DPO) qui devra être indépendant et qui rappellera à l’entreprise ses obligations légales, contrôlera la conformité de sa situation par rapport aux normes européennes et fera le lien entre l’entreprise et la CNIL.
On l’aura compris, le facteur clé de succès dans cette démarche consistera pour l’entreprise à cartographier les données personnelles qu’elles traitent (nature, nombre, motifs) pour définir, au regard des systèmes d’information dont elle dispose, les moyens techniques nécessaires et réalistes qui lui permettront d’être cyber-résiliente !
Alix BAILLEUL et Romain THIESSET, Capstan Avocats
[1] Règlement européen sur la protection des données personnel n°2016/679 du 27 avril 2016, visé sous l’acronyme GDPR
[2] Directive 95/46/CE du 24 octobre 1995
[3] Sont ici concernés tous les organismes publics et privés, qu’il s’agisse d’entreprises, d’associations, d’administrations, de collectivités locales, de syndicats d’entreprise, etc.