Nouveaux concepts du RGPD : quels enjeux juridiques ?

Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 sera applicable dans moins d’un an, le 25 mai 2018. Ce texte est considéré comme un véritable « changement de culture » [1] par rapport à la législation aujourd’hui appliquée par les entreprises, dont les banques. Le temps est désormais compté pour les responsables de traitement et les sous-traitants qui doivent d’ores et déjà modifier leurs pratiques, le RGPD ayant des conséquences importantes sur la gestion des données [2] tant sur le plan technique qu’organisationnel.

Le règlement inscrit la mise en conformité des traitements de données dans un processus nécessairement dynamique, et, c’est dans ce contexte qu’il introduit un nouveau principe de responsabilité ou « accountability ». Le RGPD favorise une approche par les risques de la protection des données personnelles où la bonne gouvernance repose sur la coopération du Délégué à la protection des données (DPD) avec le Responsable de la sécurité des systèmes d’information (RSSI) [3] . La nouvelle logique de responsabilisation du RGPD est une innovation majeure du texte à laquelle sont associées des obligations diverses et, plus concrètement un ensemble d’outils à adapter à la banque.

L’accountability ou la nouvelle logique de responsabilisation du RGPD

L'accountability est une innovation majeure du RGPD et il irradie le texte (article 24 et articles 25 à 35). Ce nouveau principe caractérise le basculement du mécanisme des formalités préalables relatives aux traitements de données vers un mécanisme d’autocontrôle [4] . Changement de paradigme [5] en effet puisque le contrôle a priori de la conformité des traitements est désormais à la charge du responsable de traitement et non plus de l’autorité de contrôle. Concrètement, l’entreprise peut s’autoévaluer en élaborant par exemple une « piste d’audit que le régulateur pourra consulter » [6] .

Selon l’article 24, l’accountability impose de respecter une double contrainte :

• d’une part, il s’agit de garantir la conformité légale des traitements mis en œuvre. Le responsable de traitement doit veiller au respect de l’ensemble des obligations prescrites quant à son organisation (désignation d’un délégué, mécanisme du guichet unique), mais également vis-à-vis des personnes concernées (droits des personnes dont l’information), vis-à-vis de ses partenaires (aménagement contractuel de la sous-traitance, coresponsabilité) et enfin à l’égard de l’autorité de contrôle (concertation, collaboration, notification des violations de données) ;
• d’autre part, il faut pouvoir apporter la preuve de cette conformité légale. La mise en conformité des traitements impose d’adopter des mesures tenant compte de la nature, de la portée du contexte, des finalités et des risques propres au traitement et elles doivent être mises à jour quand cela est nécessaire. La documentation des processus doit être prévue à chacune des étapes des traitements des données personnelles, en phase de projet, avant leur mise en œuvre effective et pendant tout le cycle de vie des données. La documentation, dont on gage qu’elle ne peut être que fournie, est le sésame de la « compliance ». Le rapprochement avec les directions ou services en charge de la sécurité (RSSI) prend ici tout son sens car de nombreux documents y ont certainement été réalisés (PSSI, PCA, PRA [7] , documents sur la gestion des mots de passe, sur la gestion des habilitations, …) et pourront servir de référence. La documentation est au cœur du dispositif et elle a vocation à démontrer la réalité des mesures prises. Elle doit impérativement être tenue à la disposition de l’autorité de contrôle [8] .

Si le responsable de traitement est toujours directement concerné, la logique de responsabilisation vise de facto tous les acteurs car les sous-traitants sont tenus d’aider le responsable à être conforme au RGPD et ils peuvent même être sanctionnés en cas de manquements à leurs obligations. Les contrats de prestations externalisées devront être aménagés en ce sens.

Les outils de l’accountability

L’accountability est par définition plurielle. De fait, ce principe renvoie à d’autres obligations qui sont visées par le règlement au titre desquelles le recours au « privacy by design / privacy by default », la réalisation d’une analyse d’impact relative à la protection des données pour certains traitements risqués, l’adéquation des mesures de sécurité aux risques identifiés et la notification de la violation de données personnelles.

Le privacy by design impose de rechercher la protection des données dès la conception du traitement, selon l’article 25, « tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même ». Cette règle s’applique donc ex ante, dès le projet de traitement. Elle passe par la mise en œuvre de « mesures techniques et organisationnelles appropriées » telles que la purge des fichiers à l’expiration de la durée de conservation autorisée, la limitation des données à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation) [9] ou la pseudonymisation, technique définie à l’article 4-5 et dont l’objectif est de garantir « que les DCP [10] ne soient pas attribuées à une personne physique identifiée ou identifiable ».

Le privacy by default impose au responsable de traitement de garantir le plus haut niveau possible de protection par défaut. Les mesures doivent garantir « que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée ».

L’Analyse d’impact sur la vie privée (article 35) relève d’une approche par les risques de la protection des données personnelles et doit être réalisée lorsque le traitement envisagé « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Attention, ici aussi changement de logique car il ne s’agit plus de protéger le système d’information de la banque, mais bien de garantir la protection de tiers, soit toute personne concernée par un traitement (client ou employé de la banque). L’analyse est obligatoire pour tout traitement permettant l’« évaluation systématique et approfondie des personnes entraînant des décisions ayant des effets juridiques ou affectant significativement la personne », ou portant sur des données sensibles ou pénales traitées à grande échelle ou encore la « surveillance à grande échelle de zones accessibles au public ». Cette liste n’est pas exhaustive comme en attestent les lignes directrices du G29 [11] qui ont introduits de nouveaux cas dont la réalisation d’évaluation/scoring, la combinaison/interconnexion de fichiers de données, le traitement des données concernant des personnes vulnérables (salariés), etc. L’analyse d’impact est requise dès que le traitement présente au moins deux critères de la liste du G29 [12] . Différentes parties sont impliquées dans sa réalisation (Délégué à la protection des données, RSSI, etc.) et le RGPD en fixe le contenu dont la description du traitement et de ses finalités, l’évaluation de la nécessité et de la proportionnalité du traitement, l’appréciation des risques sur les droits et libertés des personnes concernées et les mesures envisagées pour traiter ces risques. La portée de l’analyse est importante en ce qu’elle doit permettre de déterminer les mesures de sécurité à adopter mais elle n’est pas exclusive du contrôle de la CNIL. En effet, en cas de risque résiduel élevé révélé par l’analyse d’impact, le responsable de traitement doit consulter l’autorité de contrôle qui pourra décider in fine de la mise en œuvre du traitement concerné.

La notification des violations des données à caractère personnel (articles 33 et 34) concerne tous les acteurs, responsable de traitement et sous-traitant. La notion de « violation de données à caractère personnel » reçoit une définition très large dans le RGPD, au point d’intégrer les actes involontaires ou réalisés de « manière accidentelle ». Seules les violations qui présentent un risque pour les droits et libertés des personnes sont concernées. Le détail de la notification est clairement formulé, le RGPD prévoyant deux étapes.

Dans un premier temps, la notification de la violation (destruction, perte, altération de données) doit être faite à la CNIL dans la limite de 72 heures après en avoir eu connaissance. Dans un deuxième temps, la notification de la violation devra être faite à la personne concernée sans délai, dès lors que l’autorité de contrôle n’aurait pas validé les mesures prises ou proposées pour y remédier (par exemple, toute mesure permettant de rendre les données à caractère personnel illisibles comme le chiffrement).

Le RGPD impose de documenter toutes les violations de données chez le responsable de traitement, et du sous-traitant également obligé de notifier au responsable les violations de données à caractère personnel le concernant dès qu’il en a connaissance. Le contenu de la notification porte sur la nature de la violation, le nombre de personnes et de traitements concernés, les coordonnées du délégué ou de tout contact pertinent, les conséquences de la violation de donnés personnelles pour les personnes.

Au vu de la recrudescence des attaques de sécurité auxquelles sont confrontés les établissements bancaires (fuite d‘informations, ransomware), la mise en place de procédures adaptées aux délais impartis à la notification est une priorité.

Le Délégué à la protection des données (DPO) vient remplacer l’actuel correspondant informatique et libertés, étant noté que la fonction est revisitée. Les banques entrent dans un des cas de désignation obligatoire du délégué dès lors qu’elles mettent en œuvre des traitements exigeant « un suivi régulier et systématique à grande échelle des personnes concernées » (article 37). L’acception très large qui est prêtée à cette définition par les lignes directrices du G29 [13] ne laisse pas de place au doute. Les modalités d’exercice des missions et la position du délégué doivent être pensées et préparées avant l’entrée en fonction. Le délégué doit être associé de manière appropriée et en temps utile aux questions de données personnelles. Le RGPD prévoit notamment de le consulter sur toute analyse d’impact afin qu’il donne son avis. Acteur incontournable de la conformité, il doit être doté des ressources nécessaires pour l’exécution de ses missions (financières, matérielles et humaines), pour l’accès aux données et le maintien de son expertise. Ce sujet fait partie des priorités à identifier pour le chantier « RGPD ».

Le registre des traitements (article 30 du RGPD) fait partie des documents spécifiquement visés par le RGPD au titre de l’accountability. Le responsable de traitement (pour ses traitements), mais aussi le sous-traitant (pour les traitements qu’il effectue pour le compte du responsable de traitement), devront tenir un registre des activités de traitements à jour. Le parallèle peut être fait avec le registre du Correspondant de l’article 48 du décret de 2005 quant à son contenu et sa tenue. En effet, à l’instar du registre actuel, le RGPD impose que soient précisés les noms et coordonnées de responsable de traitement, les finalités, les catégories de personnes concernées et les catégories de données à caractère personnel traitées, les destinataires du traitement, et les transferts de données vers l’étranger. Egalement, même si le RGPD prévoit que le Registre soit tenu par le responsable de traitement, rien ne s’oppose au fait que le document soit confié au délégué plus à même de l’établir et d’assurer son suivi. Une attention particulière doit être attachée à sa réalisation et, à cet égard, le modèle proposé par la CNIL sur son site peut utilement servir de référence. Véritable carte d’identité des traitements de l’entreprise, le registre a vocation à être communiqué à l’autorité de contrôle et il n’est pas exclu de considérer qu’il serve de contrôle sur pièces…

Une meilleure gouvernance et une confiance accrue

Par définition, le terme « enjeux » renvoie à ce que l’on peut gagner ou perdre. Dans la perspective du RGPD, ce que les acteurs de la protection des données à caractère personnel sont susceptibles de gagner serait une meilleure gouvernance des données, passant par une meilleure maîtrise des mesures et des procédures mises en œuvre. La conformité au règlement est un gage de confiance vis-à-vis des personnes concernées et donc également, pour les banques, vis-à-vis de leurs clients. Le gain pourrait bien être ici certes juridique, mais aussi économique. Du côté des pertes, la flagrance du constat s’impose, car il suffit de regarder les sanctions encourues, pour un maximum fixé à 10 millions d’euros ou 2% du CA mondial en ce qui concerne les obligations afférentes à l’ accountability (et 20 millions d’euros ou 4% pour les manquements aux droits des personnes).