Faut-il souhaiter un bon anniversaire au RGPD ?

Publié le 20/05/2019 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, du 20 mai 2019 pour CIO Online.

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Le bilan des douze premiers mois de son application est plus que contrasté. Certains vices originels du texte se sont amplifiés à la faveur de beaucoup d’incompréhension sur ses concepts. La plupart des entreprises peine à comprendre ce qui est attendu d’elles par ce règlement alors que le montant des sanctions qu’il édicte est plutôt alarmant. Après 12 mois d’application, il est temps que les autorités de contrôle fixent des règles d’interprétation claires et raisonnables.

Les archaïsmes du texte : un droit de la donnée personnelle là où il faudrait un droit de l’algorithme.

Les données personnelles sont partout dans le système d’information des entreprises : sur les postes utilisateurs, dans les tableaux Excel, dans les messageries, dans les ERP, dans les applicatifs métiers, sur les serveurs de fichiers, dans les GED, etc. etc. Elles s’accumulent même involontairement avec tous les logs que chacun de ces systèmes génère.

La première tâche qui incombe au responsable de traitement est d’en dresser l’inventaire pour établir le registre des activités de traitement rendu obligatoire par l’article 30 du RGPD. Tâche difficile qui devient impossible lorsque l’entreprise dépasse une certaine taille et, qui plus est, le registre est déjà périmé une fois achevé tant l’entreprise transforme en permanence ses traitements.

Certes, on peut convenir que cette opération a, au moins, le mérite de permettre à l’entreprise de faire un état des lieux des données présentes dans ses systèmes. Mais pour la plupart de ces données, il n’y aura ni surprise ni matière à s’en inquiéter : l’entreprise édite la paie de ses salariés, entretien des relations avec ses clients, prospects, fournisseurs, reçoit des candidatures à l’embauche, etc. etc. Le registre des traitements est d’abord une litanie de traitements usuels pour le fonctionnement de l’entreprise qui ne présentent aucun danger réel pour les droits et libertés des personnes. Voilà beaucoup d’efforts déployés par le responsable du traitement pour finalement peu de chose : établir à grand peine un tableau Excel ou un document Word qui recense les traitements. C’est un formalisme qu’on croirait d’un autre âge.

Où sont vraiment les risques ? Selon nous sur deux terrains : la durée de conservation des données et les logiques automatiques appliquées sur les données.

S’agissant de la durée de conservation, il est urgent que les autorités de contrôle édictent des durées de conservation standards pour les traitements usuels. En 2019, la détermination de la durée de conservation des données personnelles ne devrait plus être un sujet d’interrogation pour les entreprises.

S’agissant des algorithmes appliqués sur les données, c’est ici qu’est le véritable enjeu innovant en termes de régulation. L’article 22 du RGPD pose uniquement le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. Remettre une question aussi fondamentale que celle-ci entre les mains des intéressés c’est en réalité un abandon par le législateur de sa mission régulatrice.

Car les traitements algorithmiques sur les données personnelles recèlent de nombreux travers :

  • la pauvreté ou mauvaise qualité des données de base ;
  • le manque de pertinence des données par rapport aux résultats à prédire ;
  • l’absence de transparence sur la logique implémentée ;
  • l’absence de mise à jour de la logique implémentée au regard des résultats produits ;
  • l’excès de confiance par rapport aux résultats produits ;
  • Les préjugés des concepteurs des algorithmes volontairement ou involontairement reproduits dans ceux-ci ;

Voici les enjeux d’aujourd’hui que le RGPD ignore largement.

Des incompréhensions qui ajoutent aux contraintes formelles

Les notions de responsable du traitement et de sous-traitant existent dans le droit depuis la loi du 6 janvier 1978. Elles semblent avoir été découvertes par les entreprises le 25 mai 2018. Depuis cette découverte, une véritable frénésie contractuelle s’est emparée d’elles. Selon les rapports de force, chacun tentera d’imposer à l’autre son « DPA » (data processing agreement), faisant de l’autre partie contractante, selon son intérêt, soit le sous-traitant soit le responsable de traitement, bien souvent en dépit de tout bon sens.

Il faut réaffirmer ici certains principes qui tendent à être ignorés, rendant l’application du RGPD encore plus compliquée.

Toute communication de données personnelles d’une entreprise A vers une entreprise B ne fait pas de l’entreprise B la sous-traitante de A au regard du RGDP. Il est en effet tout à fait possible d’avoir une communication de données personnelles d’un responsable de traitement vers un responsable de traitement. Il s’agit pour le second d’une collecte indirecte prévue par l’article 14 du RGPD. Il en résulte que tous les prestataires de services ne sont pas des sous-traitants de données personnelles même si des données, notamment de salariés, leurs sont transmises pour qu’ils rendent leurs services. Envisagerait-on de considérer que les organismes sociaux, les banques, les assureurs-complémentaires, etc. sont des sous-traitants uniquement parce que les entreprises leur transmettent des informations relatives à leurs salariés ?

Il faut dire que le RGPD n’aide pas à la raison. Un incroyable vice de conception est présent à l’article 4.2 du RGPD dans la définition de traitement. Le RGPD considère en effet que la « consultation » de données personnelles est un traitement ! Cette incongruité rédactionnelle fait-elle de toute société dont un salarié visionne les données personnelles présentes dans le système d’information d’une autre le sous-traitant de cette dernière ? Il faut souhaiter que la CNIL affirme rapidement le contraire. Il n’est pas sérieux de considérer que l’entreprise dont les salariés assurent des missions chez des entreprises clientes comme l’accueil ou la hot-line sont des sous-traitants de données personnelles de leurs clients. Une clause de confidentialité dans le contrat de prestation de service suffit à régler la question.

Autre légende urbaine qui s’est créée avec l’entrée en vigueur du RGPD : le consentement des intéressés au traitement de leurs données n’est pas obligatoirement nécessaire. L’article 6 du RGPD fournit d’autres fondements juridiques au traitement des données personnelles, dont l’exécution d’un contrat et l’intérêt légitime du responsable du traitement.

Des sanctions focalisées sur la sécurité des données

Dans son rapport annuel pour 2018, récemment publié, la CNIL indique que sur 10 sanctions prononcées par la CNIL en 2018, 7 concernaient la sécurité des traitements.

Il faudra reconnaître au RGPD ce mérite : les entreprises doivent maintenant se préoccuper de la sécurité des données personnelles présentes dans leur système d’information. Corrélativement, elles doivent investir dans des solutions applicatives qui permettent à leurs salariés de traiter ces données dans un environnement sûr, conçu pour la protection des données (« Privacy by design ») : des applicatifs avec gestion des habilitations, traçage des accès, suppression automatique des données obsolètes, etc. Les messageries et Excel ne sont plus les endroits où stocker les données personnelles.

*

Étrange texte que ce RGPD, à la fois trop vieux, en ce qu’il met à la charge des entreprises des contraintes archaïques, trop jeune, en ce qu’il peine à pleinement réguler les enjeux du temps, trop gros en tout cas, car aucun texte qui se veut normatif ne devrait atteindre 99 articles !

Autres publications