A l’issue de 4 années de débats intensifs, jalonnés d’amendements et de votes successifs, le Parlement européen a adopté, le jeudi 14 avril 2016, le Règlement général sur la protection des données. Il s’agit de l’aboutissement d’un processus complexe et qui a vu de nombreux groupes d’intérêts s’exprimer, au point que les patriciens avaient fini par parler « d’arlésienne » concernant ce Règlement.

imagesCe texte, d’application directe dans les États membres, mais qui n’entrera en application qu’en 2018, viendra ainsi remplacer l’actuelle Directive n°95/46/CE du 24 octobre 1995, ainsi qu’à terme notre législation de 1978, lesquelles ne pouvait anticiper la place cruciale qu’allaient occuper l’économie de la donnée au début du XXIe siècle, et la question centrale de la protection des données des citoyens.

L’idée directrice du texte est de permettre aux citoyens de l’Union européenne eux-mêmes de mieux contrôler l’usage de leurs données personnelles sur internet, tout en apportant davantage de certitudes aux entreprises grâce à une législation unique au sein de l’espace communautaire.

C’est un truisme que de dire que les débats sur la protection des données personnelles opposait les partisans de l’innovation technique et économique, qui comptent sur une large exploitabilité des données personnelles pour continuer à proposer des services toujours plus personnalisés à leurs clients et exploiter les gisements big data liés à leurs marchés… et les partisans de la protection optimale des droits de la personnalité, dont la vie privée et sa traduction numérique : les données personnelles.

Les rédacteurs du nouveau texte ont voulu proposer un compromis, et ont donc choisi de consacrer d’une part de nouveaux droits pour les citoyens européens, et d’autre part de nouvelles obligations pour les responsables de traitement et les sous-traitants de nature à leur assurer une pleine exploitabilité de certaines données. Enfin, comme à tout nouveau jeu il faut un arbitre, le texte confère de nouveaux pouvoirs de sanctions aux autorités de protection des données personnelles. Passage en revue des nouveautés et des interrogations suscitées par le texte.

1. De nouveaux droits accordés aux personnes physiques concernées par le traitement de données

Outre de nouvelles obligations d’informations (notamment les coordonnées du délégué à la protection des données ; la base juridique justifiant la légitimité du traitement ; la durée de rétention des données ; le droit à l’effacement et à la portabilité des données) qui viennent compléter celles déjà en vigueur, l’une des pierres angulaires de ce nouveau Règlement est la plus grande maitrise accordée aux citoyens eux-mêmes à l’égard de leurs données à caractère personnel.

En effet, jusqu’ici les droits des personnes physiques sont plutôt affirmées par des obligations corrélatives mises à la charge des entreprises qui collectent et stockent leurs données (droit d’accès, de rectification ou d’opposition). Le nouveau texte instaure deux concepts complémentaires :

  • Le droit à la portabilité des données

Cette nouvelle prérogative a pour objectif de permettre à chaque personne d’obtenir le transfert de ses données personnelles d’un prestataire de services vers un autre, afin que ces données soient ré-exploitées, à l’instar de la portabilité mise en place pour les numéros de téléphone sous la surveillance de l’ARCEP.

Le responsable du traitement aura dorénavant l’obligation de transférer à cette personne une copie des données faisant l’objet du traitement, dans un format structuré couramment utilisé et qui en permette la réexploitation via un service concurrent.

Ce droit à la portabilité des données, retenu également par le projet de loi « République Numérique », obligera ainsi les responsables de traitements et sous-traitants à déployer des mesures techniques permettant l’exercice effectif de ce droit.

A n’en pas douter, cette mesure va multiplier les problématiques de migration de données, de risques de pertes et de formats compatibles, et il est certain que les prestations de réversibilité vont connaître une nouvelle montée en gamme, afin d’industrialiser et de fiabiliser ce nouveau droit reconnu au bénéfice de personnes physiques qui resteront tributaires des prestations des professionnels pour en jouir pleinement. Cette mesure demeure toutefois un progrès dans l’indépendance numérique des personnes, un objectif essentiel.

  • Le droit à l’oubli numérique

Dans le sillage du mouvement initié par la Cour de justice de l’Union européenne (CJUE) avec l’arrêt « Google c/ Spain », le Règlement crée un régime du droit à l’oubli plus large et plus précis en permettant à toute personne de demander l’effacement de ses données personnelles par le responsable de traitement lorsque :

  • les données ne sont plus nécessaires au vu des finalités pour lesquelles elles ont été collectées ;
  • la personne concernée retire son consentement sur lequel était fondé le traitement ou lorsque le délai de conservation autorisé a expiré;
  • la personne concernée s’oppose au traitement des données à caractère personnel en raison de l’exercice de son droit à la portabilité des données ;
  • le traitement des données n’est pas conforme au droit applicable.

Le responsable du traitement pourra néanmoins s’opposer à l’effacement des données, notamment en raison de l’exercice de son droit à la liberté d’expression, pour des motifs d’intérêt général dans le domaine de la santé publique, ou encore à des fins de recherche historique, statistique et scientifique. Il est en effet vital que les nouveaux droits individuels reconnus aux personnes sur leurs données personnelles, ne puisse pas servir d’obstacle à d’autres principes impérieux tels que le droit à l’information, la révélation de crimes ou délits, l’enseignement ou encore la recherche scientifique.

2. De nouvelles obligations pour les responsables de traitement et les sous-traitants

  • Les démarches de « Privacy by design » et de « Security by default »

Le fameux principe de « Privacy by design » impose aux entreprises de prendre en compte les exigences relatives à la protection des données dès la conception des services, produits et systèmes exploitant des données à caractère personnel. Le Règlement s’est emparé de cette innovation du marché pour l’ériger en contrainte juridique.

Il s’agira donc, pour un responsable du traitement, de prendre des mesures non seulement organisationnelles, mais également des initiatives techniques, pour que non seulement ses procédures ne véhiculent pas le risque d’une fuite de données, mais aussi pour que ses produits soient, ad initio et par construction, insusceptibles de permettre de telles fuites.

En pratique, ce principe impose une coopération entre les services juridiques et informatiques au sein de l’entreprise, car le département R&D est concerné : les futurs services Cloud, les futures solutions logicielles devront être pensés, conçus avec ce souci d’anonymisation ou de protection complète des données identifiantes, outre la sensibilisation des salariés concernés aux prescriptions légales en matière de sécurité des données.

Le « Security by default » implique quant à lui que soit mis en œuvre des mécanismes garantissant que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement. Cela consiste là encore à inscrire dans le code des produits applicatifs des dispositions permettant de discriminer les données et de ne retenir que des données pertinentes.

S’il eut été souhaitable de préciser ce qu’il convient d’entendre par « mécanisme », le Règlement prévoit néanmoins que la Commission pourra définir des normes techniques pour les exigences requises en matière de « Security by default ».

Le Règlement pose donc là deux principes qui vont s’appliquer aux producteurs et éditeurs de solutions logicielles et de services de traitement de la donnée, mais laisse de très nombreuses questions en suspens, notamment sur les algorithmes ou autres dispositifs qui permettront de discriminer des données « en entrée de processus ».

Plus profondément, on voit pointer ici une mise en application du principe parfois discuté mais réel énoncé par le professeur Laurence Lessig dans son fameux essai « code is law » : de plus en plus, le respect des principes légaux sera assuré par la configuration technique des outils eux-mêmes. Ce qui ne va pas sans ouvrir de vertigineuses questions liées à la souveraineté collective, à la délibération démocratique et au contrôle de la technologie par les individus, mais ce qui est sans aucun doute incontournable à l’époque des objets connectés et des voitures sans chauffeur, pour ne citer que deux exemples.

  • L’analyse d’impact

Lorsque le traitement de données envisagé présente des risques particuliers au regard des droits et libertés des personnes concernées, « du fait de sa nature, de sa portée ou de ses finalités », le Règlement crée l’obligation pour tout responsable de traitement ou sous-traitant d’effectuer une étude d’impact du traitement envisagé avant sa mise en œuvre.

Concrètement, l’analyse, menée par le responsable du traitement, devra comporter a minima une description des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les mécanismes visant à assurer la protection des données à caractère personnel, ainsi que la « preuve » que le Règlement sur la protection est bien respecté.

Bien que le Règlement ne s’étende pas en explications sur les tenants et aboutissants de cette analyse d’impact, on peut imaginer qu’il s’agira, avant de mettre en œuvre un service, d’effectuer sa description technique sous l’angle de la « dataprotection », et d’assurer que le traitement envisagé (i) ne comporte pas de risque ou, si c’est le cas, (ii) s’accompagne de mesures spécifiques de sécurisation efficaces…

  • L’obligation de documentation ou « accountability »

Autre gage de conformité proposé dans le Règlement, cette obligation impose à tout responsable de traitement ou sous-traitant de conserver une trace documentaire de tous les traitements effectués sous leur responsabilité.

En cas de litige, la charge de la preuve incombera donc au responsable du traitement ou au sous-traitant qui, grâce à la tenue d’une telle documentation, sera censé pouvoir démontrer qu’il a rempli ses obligations en matière de protection des données.

C’est une application intéressante de l’obligation de résultat : il est confirmé qu’il incombe au prestataire technique professionnel de faire la preuve qu’il n’a pas commis de faute dans la protection des données ; mais une faute s’apprécie par rapport à une obligation, et ici, obligation lui est faite de documenter le comportement du service pendant toute sa « vie ». On peut se demander si cela va jusqu’à conserver la trace des manquements effectivement constatés par le prestataire lui-même, même si le client n’en a pas eu vent, mais il semble bien s’agir d’une obligation de conserver un historique objectif.

  • Le nouveau Délégué à la protection des données (DPD) ou « Data Protection Officer »

Au Correspondant informatique et libertés (CIL) se substitue désormais le Délégué à la protection des données (DPD). Ainsi, tout responsable de traitement ou sous-traitant pourra désigner en son sein un DPD. En revanche, cette désignation est obligatoire lorsque :

  • Le traitement est effectué par une autorité ou un organisme public ;
  • Le traitement est effectué par une entreprise employant 250 personnes ou plus ;
  • Les traitements, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

On reste ici sur des principes très proches de ceux qui régissent le CIL, et sur ce point la transition des entreprises vers le nouveau régime devrait être facilitée. En outre le DPD, qui a pour fonction d’assurer de manière indépendante le respect interne de la législation applicable en matière de données à caractère personnel, pourra être externalisé quelle que soit la taille de l’entreprise, ou encore, mutualisé au sein d’un groupe de sociétés.

En revanche, il faudra entrer dans le détail des obligations du DPD et des conditions dans lesquelles sa présence au sein d’une entreprise permet à celle-ci de justifier plus facilement d’une conformité totale aux règles applicables.

  • Une plus grande responsabilité des sous-traitants

Face au développement exponentiel des services externalisés (les services de Relation Client, les services Cloud, le développement de l’offshoring et des plateformes collaboratives, etc.), le législateur européen a souhaité renforcer la responsabilité des sous-traitants eux-mêmes.

En effet, jusqu’à présent, seule existait l’obligation pour le responsable de traitement (au sens de la législation, c’est-à-dire l’entité qui prend la responsabilité de créer un traitement et de collecter des données à cet effet) de s’assurer que ses sous-traitants (les prestataires auprès desquels l’entreprise peut externaliser ses traitements, et donc ses données) apportent des garanties suffisantes en termes de mesures de sécurité technique et d’organisation, et de prévoir contractuellement le respect de ces dispositions.

Désormais, le responsable de traitement devra non seulement prendre les mesures pour s’assurer que les données seront traitées conformément à la législation de dataprotection, mais aussi être toujours capable de démontrer que cela est le cas et procéder régulièrement à une révision de ces mesures.

A cette fin, les sous-traitants pourront adhérer à des codes de conduites approuvés par les autorités nationales de protection de données, et/ou être certifiés par des organismes agréés afin de démontrer qu’ils présentent les garanties nécessaires. Leurs DPO auront une fonction capitale de maintien de la conformité des services ; on bascule peu à peu dans un système où l’entreprise est contrôlée en permanence et en temps réel dès lors qu’elle manipule des données personnelles.

Par ailleurs, les sous-traitants seront également soumis à l’obligation de documentation susmentionnée, laquelle devra retracer tous les traitements effectués par le sous-traitant pour le compte de chaque responsable de traitement avec lequel il est en contrat.

Enfin, les sous-traitants qui emploient plus de 250 salariés ne pourront pas eux-mêmes sous-traiter tout ou partie des prestations à un tiers (le « sous-traitant ultérieur » déjà connu sous l’ancienne législation) sans l’accord écrit spécifique du responsable du traitement. Il va sans dire que ce sous-traitant secondaire est à son tour soumis aux mêmes obligations s’agissant de la protection des données personnelles.

  • Les transferts internationaux de données personnelles

Épineuse question, qui se pose depuis des années à tous les groupes européens, et plus généralement à toutes les entreprises qui recourent à des prestataires ou des services cloud dont les serveurs sont situés à l’étranger, hors Union Européenne.

Le Règlement prévoit que les données à caractère personnel pourront faire l’objet de transferts vers des pays tiers lorsque la Commission aura constaté que ce pays assure « un niveau de protection adéquat ». Jusqu’ici, rien de nouveau, il est toujours question que les autorités centrales européennes décrètent ceux des pays étrangers qui fournissent ou pas un niveau de protection comparable.

Cependant, afin d’apprécier le « niveau de protection adéquat », la Commission prendra désormais en considération :

  • L’ensemble de la législation du pays ;
  • L’existence d’une ou plusieurs autorités de contrôle indépendantes chargées d’assurer le respect des règles en matière de protection de données ;
  • Les engagements internationaux souscrits par le pays tiers.

Enfin, la décision d’équivalence devra être revue au minimum tous les quatre ans, au vu de l’évolution de la législation de l’État tiers et faire l’objet d’un rapport de la Commission au Parlement au moins tous les quatre ans.

Par ailleurs, si les clauses contractuelles types adoptées par la Commission ou les binding corporates rules pourront toujours faire office de preuve d’ « un niveau de protection adéquat », il est permis de supputer que les codes de conduite ou encore les certifications pourront également constituer des alternatives intéressantes.

3.  Des pouvoirs de contrôle renforcés pour les autorités de protection des données personnelles

Innovation majeure du nouveau Règlement, les autorités de contrôle, dont la CNIL en France, pourront imposer des amendes dont les montants sont enfin significatifs ! On a beaucoup glosé sur le caractère pour le moins « dérisoire » des sanctions maximales prononcées par la CNIL lorsqu’elles s’appliquent à des titans du web, de nationalité anglo-saxonne. A titre d’exemple, condamner Google à 150.000 € pour non-respect de la loi européenne avait finalement assez peu d’impact et de sens, et il était urgent, pour ériger la protection des données personnelles en véritable préoccupation des grandes firmes, de décider de sanctions qui soient réellement des sanctions :

  • Amende d’un montant maximal de 10.000.000 € ou, dans le cas d’une entreprise, jusqu’à 2% de son chiffre d’affaires total annuel mondial dans le cas de violation des obligations relatives notamment au consentement des enfants, au traitement de données anonymisées, à la coopération entre responsable et sous-traitant, à la sécurité des traitements, à la notification des manquements, à la mise en œuvre de l’évaluation de l’impact Informatique et libertés des traitements ou encore aux obligations de certification ;
  • Amende d’un montant de 20.000.000 € et, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires total annuel mondial, dans le cas de violation des obligations relatives au consentement, aux droits des personnes concernées, aux transferts de données hors de l’UE ou à la violation de certaines injonctions d’une autorité de protection des données personnelles.

Le Règlement entend ainsi doter les autorités de protection des données personnelles d’un véritable pouvoir de sanctions auxquelles les acteurs internationaux de l’économie numérique ne devraient pas rester insensibles.