1978, 1995, 2004 et 2012 resteront des dates fortes dans la protection des données. La réforme en cours simplifiera peut-être la tâche quotidienne des DSI mais ils seront davantage responsables, avec plus d’obligations, et devront tenir compte d’une sorte de mutualisation européenne.
La réglementation en matière de traitement de données personnel va connaître prochainement une évolution majeure. La France a été le premier pays à se doter d’une législation en la matière, par la loi du 6 janvier 1978, Informatique et Libertés. Cette loi fut profondément modifiée en 2004 pour intégrer dans notre droit, la première réglementation européenne en la matière : la directive du 24 octobre 1995. Cette directive, qui avait pour objectif d’harmoniser le droit des Etats membres de l’Union européenne, a finalement abouti à une grande disparité dans les législations nationales.
La Commission européenne en a fait le constat. Elle a donc décidé d’adopter un nouveau cadre juridique par la voie, non plus d’une directive, mais d’un règlement. Le règlement est d’application immédiate dans tous les Etats membres, sans qu’il soit nécessaire d’adopter une loi nationale de transposition. Il est donc sans risque de disparité législative entre les Etats membres.
La Commission a divulgué récemment son projet de règlement. Le règlement définitif ne sera pas adopté avant de nombreux mois mais les entreprises doivent d’ores et déjà se préparer à l’arrivée de ce nouveau cadre juridique. Un certain nombre de dispositions concerne directement les directions informatiques des entreprises.
Les principes fondamentaux conservés
Sur le plan des règles fondamentales en matière de traitement des données personnelles, le projet de règlement consolide des principes maintenant bien connus : le traitement doit répondre à un certain nombre de caractéristiques et les personnes disposent de droits à l’encontre du responsable du traitement.
Ainsi, les données personnelles doivent être collectées de manière licite, loyale et transparente pour des finalités déterminées, explicites et légitimes. Les données collectées doivent également être adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont collectées. Le projet de règlement insiste également sur la nécessité de tenir à jour les données et de prendre toutes les mesures « raisonnables » pour que les données inexactes soient effacées ou rectifiées sans délai.
Sauf exception, les personnes concernées doivent consentir au traitement de leurs données, étant précisé qu’il appartiendra au responsable du traitement de conserver la preuve de ce consentement. Les intéressés conservent leurs droits d’accès, d’opposition, de rectification et de suppression des données les concernant.
L’article 17 du projet de règlement consacre un nouveau droit à l’oubli numérique. Toute personne qui aura rendu publiques des données personnelles d’un tiers, notamment sur internet, devra les supprimer à la demande de l’intéressé. Elle devra également informer toute autre personne ayant publié ces données de la demande de la personne concernée d’effacer tout lien vers ces données.
Quelques simplifications pour les entreprises
Les formalités préalables à la mise en oeuvre d’un traitement de données à caractère personnel, devant être réalisées auprès de la Cnil, sont un peu la partie émergée de l’iceberg « protection des données personnelles ». Le projet de règlement réduit drastiquement ces formalités déclaratives, dont l’utilité n’était d’ailleurs pas démontrée.
Cependant, la consultation de l’autorité de contrôle, préalable à la mise en oeuvre d’un traitement, n’est pas totalement supprimée. Certains traitements resteront soumis à un contrôle préalable de la Cnil. Resteront notamment soumis à autorisation :
– les transferts de données hors de l’Union européenne lorsque le responsable du traitement et le destinataire des données ne sont pas liés par des clauses contractuelles types conformes à celles adoptées par la Commission européenne ;
– les transferts de données hors de l’Union européenne vers des pays n’offrant pas un niveau de protection adéquat selon la Commission européenne ;
– et les traitements de données « sensibles » : c’est-à-dire les traitements comportant analyse comportementale, du profilage ou du « scoring » des personnes et les traitements contenant des données relatives à la vie sexuelle, à la santé, à l’origine raciale et ethnique. A noter que la collecte de données relative à des enfants sera considérée comme un traitement « sensible », soumis à autorisation.
Le projet de règlement apporte une simplification importante pour les groupes opérant dans plusieurs Etats membres : l’autorité de contrôle compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Autrement dit, les traitements mis en oeuvre en France par une société dont la maison mère est située au Royaume-Uni seront soumis au contrôle de la « Cnil » britannique. Bien sûr, la notion d’établissement principal n’est pas sans imprécision. Le projet de règlement la définit comme le lieu « où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel ». Lorsqu’une filiale est autonome pour la mise en oeuvre de ses traitements, le fait qu’elle soit contrôlée par une société étrangère n’emportera pas nécessairement soumission de ses traitements au contrôle de l’autorité étrangère. Mais cette disposition offre de grandes possibilités de simplification pour les groupes intégrés, opérant dans plusieurs pays européens. Ainsi, une autorisation obtenue dans un Etat-membre pour la mise en oeuvre de traitements sensibles vaudra pour tous les autres pays.
On peut imaginer une sorte de « forum shopping » pour les entreprises, et une forme de concurrence entre les « Cnil » européennes : les entreprises pourront soumettre leur traitement à l’autorité de contrôle la moins contraignante ou la plus rapide dans la délivrance de ses autorisations.
Mais une responsabilité renforcée
Si les formalités préalables à la mise en oeuvre d’un traitement disparaissent en grande partie, elles sont en quelques sortent reportées sur l’entreprise. Ainsi, les entreprises devront tenir à jour une documentation sur chacun des traitements mis en oeuvre, laquelle comprend bon nombre des informations qui figurent actuellement dans les formulaires de déclaration à la Cnil.
La logique de la législation est fondamentalement modifiée par ce projet de règlement. L’objectif du règlement est de responsabiliser les entreprises sur la question du traitement des données personnelles : celle-ci devront être en capacité de démontrer à tout moment qu’elles ont intégré dans leurs processus la problématique de la protection des données personnelles et qu’elles mettent en oeuvre les moyens pour assurer cette protection.
Les DSI seront directement impactés par cette « responsabilisation ».
Premier temps de la démarche à mettre en place : l’étude d’impact. Les traitements les plus sensibles devront être précédés de la réalisation d’une « étude d’impact ». Cette étude d’impact devra contenir, a minima, une description générale du traitement envisagé, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données.
Deuxième temps, les problématiques de protection des données personnelles devront être prises en compte dès le stade de la conception des systèmes. C’est ce qu’on appelle le « privacy by design ». Le responsable du traitement devra ainsi prendre en compte, au regard des techniques les plus récentes et des coûts liés à leur mise en oeuvre, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement garantisse la protection des droits de la personne concernée. Particulièrement, des mécanismes devront garantir que :
– seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement ;
– ces données ne sont pas conservées au-delà du minimum nécessaire à ces finalités ;
– les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.
Troisième temps, les obligations liées à la sécurité des données sont renforcées. Le responsable du traitement doit procéder à une évaluation des risques d’atteinte à la sécurité des données, ce qui est une problématique majeure à l’heure du développement du cloud computing. Le responsable du traitement devra mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.
Enfin, toute atteinte à la sécurité des données devra être notifiée à la Cnil dès que le responsable du traitement en aura eu connaissance. Cette obligation, qui existe déjà en droit français mais uniquement pour les opérateurs de communications électroniques (voire notre précédente chronique), sera donc étendue à toutes les entreprises.
Le projet de règlement rentre maintenant dans un processus d’adoption par le Parlement européen et le Conseil qui va durer plusieurs mois. Une chose est d’ores et déjà certaine, les obligations pesant sur les entreprises en matière de protection des données personnelles ne vont pas aller en diminuant.
