La banque, la CNIL et le RGPD : des affinités électives

Le 25 mai 2018 entrait en vigueur le Règlement général sur la protection des données (RGPD), en remplacement de la directive sur la protection des données personnelles adoptée en 1995. L'événement coïncidait avec l’anniversaire des 40 ans de la création de la Commission nationale de l'informatique et des libertés (CNIL), à qui la nouvelle loi confiait un pouvoir de contrôle et de sanction accru en matière de protection des données.

Dans le bilan établi six mois plus tard par la CNIL, 66 % des Français se disaient plus sensibles qu’avant à la question de la protection de leurs données. La commission avait reçu 9 700 plaintes individuelles ou collectives, soit 34 % de plus qu’en 2017 sur la même période. À cette même date, 32 000 organismes avaient désigné un délégué à la protection des données (DPO), personnes physiques ou morales. Quant au logiciel open source de la CNIL destiné à guider la réalisation des « analyses d'impact relatives à la protection des données » (AIPD), il a été téléchargé plus de 130 000 fois en cette fin d'année. Ce règlement de l'Union européenne a suscité une prise de conscience et un intérêt inédits de la part de l'ensemble de la société.

La CNIL, qui compte 200 collaborateurs, au lieu de 650 chez son homologue allemand et 700 chez l'anglais, et qui jusqu'alors se contentait de délivrer des autorisations, s'est lancée dans des opérations ambitieuses d'accompagnement des organisations. À destination des professionnels, elle a publié, le 11 octobre 2018, la liste des traitements devant faire l’objet d’une « analyse d’impact ». Un règlement-type « biométrie sur le lieu de travail » devrait être adopté prochainement… Le secteur financier « a été depuis le début très gourmand en données et il a donc assez vite accueilli l’innovation méthodologique de la CNIL », confiait Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, dans Banque et Droit [1] . « L’idée, mise en œuvre dès les années 1980 pour le secteur financier, de faire des cadres de référence sectoriels, sous forme de packs de conformité, a ensuite été largement développée. Nous essayons d’encapsuler dans une sorte d’abri de compliance des usages présents et futurs d’un secteur. » La CNIL a ainsi mis au point sept packs de conformité, pour la banque, l’assurance ou les compteurs communicants.

Géraldine Dauvergne

 

 

Ils ont dit

L’Europe a un savoir-faire particulier sur les questions éthiques

"L’IA est un peu la quintessence du numérique : à la fois une puissance de feu remarquable, avec des bénéfices fabuleux, dans les secteurs de la santé ou du transport par exemple, mais aussi un côté « boîte noire » qui rend ces outils difficilement contrôlables, des risques de discrimination liés à des biais cachés, ou encore la crainte que ces technologies soient opérées par un nombre limité d’acteurs dans le monde et que nous en devenions excessivement dépendants. Le message que nous avons fait passer grâce au RGPD est que l’Europe a un savoir-faire particulier sur ces questions éthiques et sur la combinaison que l’on peut faire entre l’éthique et l’innovation. Nous avons la capacité à mettre cette carte sur la table pour participer à la conversation mondiale, car la question de l’ancrage éthique de l’IA se pose dans tous les pays, même en Chine, contrairement à ce que l’on croit."

Isabelle Falque-Pierrotin, présidente de la CNIL, présidente du G29, Banque & Droit n° hors-série 2-2018 , La donnée dans tous ses états, pp. 4-7.

RGPD : le profilage dans le droit et la pratique

"Dans la pratique, on assiste à un renforcement positif de l’opt-in. Ce procédé consiste à permettre à un individu de donner son consentement préalable avant de pouvoir être la cible d’une quelconque prospection. L’opt-in suppose par conséquent l’information et le recueil du consentement libre, spécifique et éclairé de la personne visée. Néanmoins, le régime juridique et la licéité de bon nombre de pratiques demeurent encore incertains. Tel est le cas des cookies, pratique essentielle pour appliquer les règles du consentement au profilage sur l’Internet."

Éric Caprioli, Avocat à la Cour de Paris, Docteur en droit, membre de la délégation française aux Nations unies, Caprioli & Associés, Banque & Droit n° hors-série 2-2018, La donnée dans tous ses états, pp. 29-34.

Cumul de missions du DPO : gare aux éventuels conflits d'intérêts !

"Toute entité qui doit ou souhaite désigner un DPO (délégué à la protection des données) peut internaliser la fonction, l’externaliser ou la mutualiser. En d’autres termes, à chaque responsable du traitement et à chaque sous-traitant d’évaluer ses besoins et ses moyens, et d’opter pour le type de DPO qui s’adaptera le mieux à son organisme.
Quel que soit le type de DPO retenu, sa désignation doit être entourée de plusieurs garanties visant à s’assurer qu’il sera en mesure d’exercer sa fonction. […] Selon la maturité de l’entité sur ce sujet, sa taille, sa stratégie et les arbitrages arrêtés, le délégué à la protection des données interne peut être confronté à des difficultés quant au temps consacré à cette fonction et aux moyens dont il dispose. En effet, bien que la définition de l’organisation et des moyens matériels et humains mis à sa disposition soit libre, toute entité doit être en mesure de justifier que son délégué à la protection des données peut effectivement exercer ses missions. Lorsque le délégué à la protection des données exerce d’autres fonctions dans l’entité, une garantie supplémentaire implique de prendre en compte d’éventuels conflits d’intérêts. C’est la raison pour laquelle les autorités de contrôle européennes ont pu être amenées à identifier des fonctions source de conflits d’intérêts avec celles de délégué à la protection des données."

Garance Mathias, Avocat à la Cour, fondatrice de Mathias Avocats, et Aline Alfer, Avocat à la Cour, Mathias Avocats, Revue Banque n° 824, octobre 2018, pp. 82-84.

Évaluer les risques d'un traitement de données personnelles

"Pour déterminer si un traitement est susceptible ou non d’engendrer un risque élevé pour les personnes, et donc pour identifier s’il est ou non sujet à la réalisation d’une AIPD (analyses d’impact relatives à la protection des données), le RGPD invite à s’intéresser au caractère novateur de la technologie utilisée, à la nature du traitement en question, à sa portée, à son contexte ou encore à ses finalités. Selon la logique du texte, plus la technologie est novatrice et plus le contexte du traitement sensible, plus la nécessité de réaliser une AIPD devient grande. L’utilisation des termes « en particulier » par le règlement rend toutefois cette énumération indicative, ce qui a entraîné un besoin de clarification rapidement exprimé par les acteurs du marché. Pour répondre aux attentes des responsables de traitement, les CNIL européennes réunies à Bruxelles sous l’égide du groupe de travail dit « de l’article 29 » (G29 ou Article 29 working party) ont adopté des lignes directrices, après une phase de consultation ayant permis de préciser la première version du texte, qui présentent neuf critères permettant d’identifier des cas dans lesquels un risque doit être considéré comme élevé."
Valérie Pozzo Di Borgo, directrice, associée, EY, Revue Banque n° 820, pp. 52-55.