La réforme de la protection des données à caractère personnel : les changements à venir pour les banques

Le développement exponentiel des nouvelles technologies, la mondialisation des échanges de données et l’explosion d’Internet sont autant de défis en matière de protection des données qui nécessitent une adaptation du corpus juridique relatif à la protection des données. Ainsi, même si les principes fondateurs de la Directive 95/45/CE restent inchangés, le projet de règlement publié par la Commission européenne le 25 janvier 2012 modifie profondément les modes de régulation,les formalités administratives étant réduites au bénéfice d’une responsabilité globale des responsables de traitement. Par ailleurs, la Commission, en proposant un règlement et non une directive, affirme sa volonté de mettre en place un cadre juridique unique en Europe. Actuellement en discussion au Parlement européen, son entrée en vigueur interviendra deux ans après son adoption définitive.

La suppression de la notification obligatoire

En application des dispositions de la Directive 95/46/CE, un responsable de traitement est « tenu d’adresser une notification à l’autorité de contrôle […] préalablement à la mise en œuvre d’un traitement » de données à caractère personnel. Lors de la transposition de la directive, en 2004, le législateur français a maintenu le régime de déclaration existant depuis  1978 et a également introduit un régime d’autorisation préalable pour les traitements les plus sensibles ou comportant plus de risques pour la vie privée des personnes concernées. Il s’agit par exemple des traitements automatisés susceptibles d’exclure du bénéfice d’un droit ou d’un contrat, des fichiers comportant des données biométriques, etc. Les traitements des établissements financiers sont d’ailleurs fréquemment soumis à cette procédure d’autorisation. Ce système de notification n’étant que partiellement harmonisé entre États membres, il présente des inconvénients pour les groupes transnationaux soumis à des régimes juridiques distincts ; ce patchwork peut être source d’inquiétudes pour les entreprises. La Commission européenne a donc souhaité harmoniser et simplifier ce système de notification.

Une approche par les risques

Le règlement prévoit donc une obligation pour le responsable de traitement et le sous-traitant de tenir une documentation dont le contenu est défini à l’article 28 du projet. En outre, dans certains cas, les traitements projetés devront être soumis à l’avis préalable de l’autorité de protection des données. Pour déterminer les traitements concernés, la Commission européenne retient une approche par les risques. Ainsi, les « traitements susceptibles de présenter des risques particuliers pour les droits et les libertés des personnes concernées du fait de leur nature, de leur portée ou de leur finalité [1] » devront faire l’objet d’une analyse d’impact sur la vie privée des personnes concernées. Il s’agit notamment des traitements comportant des données sensibles, ou « évaluations systématiques et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir en particulier, la situation économique de ladite personne », etc. Lorsque cette analyse aboutit à la conclusion que le traitement expose les droits et libertés des personnes concernées à un « degré élevé de risques particuliers », il sera nécessaire de consulter l’autorité de contrôle préalablement à sa mise en œuvre, conformément à la procédure d’avis préalable. Cette procédure sera également applicable aux traitements identifiés par l’autorité de contrôle comme « susceptibles de présenter des risques particuliers [2] ». Cette procédure se rapproche de l’actuelle procédure de demande d’autorisation. Après l'examen de l’étude d’impact et, le cas échéant, la sollicitation d’informations complémentaires, l’autorité de protection des données, si elle estime que le traitement n’est pas conforme au règlement, peut interdire ce dernier. Toutefois, en cas de refus, elle devra formuler des propositions appropriées afin de remédier aux non-conformités identifiées.

Un mécanisme de guichet unique

La question des formalités préalables appelle celle de l’autorité compétente pour les recevoir et les instruire. La Commission propose d’instaurer un mécanisme de « guichet unique ». En application des dispositions de la Directive 95/46/CE, un responsable de traitement établi dans plusieurs États membres de l’Union européenne est tenu de respecter chaque législation locale de protection des données. Or celles-ci sont parfois différentes, voire divergentes. Le projet de règlement devrait donc permettre de régler cette problématique en instaurant un cadre harmonisé. Il prévoit également un mécanisme de simplification des formalités préalables. Dans le cas où le responsable de traitement ou le sous-traitant serait établi dans plusieurs États membres de l’UE, le règlement prévoit la compétence d’une seule autorité de protection des données dite « autorité chef de file », celle du pays où se situe son établissement principal [3] . Cette proposition concentre de nombreuses interrogations et critiques de la part de la CNIL. En effet, la notion d’établissement principal ne renvoie à aucune réalité juridique (par exemple lieu du siège social) ou économique. Elle apparaît donc particulièrement floue. En outre, ce mécanisme fragilise la protection du citoyen. L’autorité de contrôle compétente en cas de plainte serait, en effet, celle du lieu de l’établissement principal de l’organisme en cause et non celle du lieu du plaignant, transformant l’autorité de protection des données la plus proche de lui en une simple boîte aux lettres. Ce nouveau mode de régulation apparaît donc peu « adapté à l’univers numérique », comme le souligne la présidente de la CNIL [4] .

L’accountability

Le projet de règlement prévoit une réduction des formalités administratives relatives à la mise en œuvre des traitements automatisés de données à caractère personnel au profit d’une responsabilité globale du responsable de traitement sous la forme d’un principe d’accountability.

Ce principe d’engagement responsable a notamment été développé par l’OCDE dans son cadre de protection des données [5] . Il traduit une approche concrète des principes de la loi notamment via la mise en place de procédures internes visant à garantir la conformité aux principes de protection des données. Les autorités européennes se sont rapidement intéressées à ce concept, soulignant toutefois qu’il n’avait pas vocation à se substituer au droit applicable [6] . Le projet de règlement l’intègre désormais dans l’ordre juridique. Les mesures d’accountability qui devront être mises en place permettront d’intégrer les aspects « Informatique et Libertés » dans l’ensemble des process de l’entreprise et en amont dès la conception des systèmes d’information (principe dit de « privacy by design »).

La notification des violations de données à caractère personnel

L’ordonnance du 24 août 2011 transposant la directive Paquet télécom crée une obligation à la charge des entreprises fournissant des services de communications électroniques de notification des failles de sécurité à la CNIL. Dans certaines conditions, l’abonné ou le particulier doit être informé d’une violation portant atteinte à ses données. Le projet de règlement généralise cette obligation à l’ensemble des responsables de traitement et des sous-traitants. Cette notification devra être réalisée « sans retard indu ».

Qu’est-ce qu’une violation de données à caractère personnel ? L’article 31 du projet de règlement définit cette notion comme « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ».

L’obligation de désigner un Correspondant Informatique et Libertés…

La fonction de délégué à la protection des données ou de correspondant à la protection des données a été introduite en droit français lors de la transposition de la Directive 95/46/CE. Jusqu’à présent facultative, la désignation d’un Correspondant informatiques et libertés (CIL) deviendrait obligatoire pour les autorités ou organismes publics, les entreprises ayant 250 salariés ou plus et pour les entités dont les activités de base « consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ». Le CIL pourrait être désigné en interne ou en externe, par le recours au service d’un prestataire. Contrairement à la réglementation française actuelle, le projet de règlement ne fixe pas, à cette date, de seuil limitant les cas dans lesquels l’organisme peut procéder à la désignation d’un CIL externe. La mutualisation du correspondant entre plusieurs sociétés sera toujours possible, toutefois cette faculté ne serait offerte qu’aux groupes d’entreprises et aux organismes publics. En outre, s’agissant de ces derniers, il sera nécessaire de prendre en compte la structure organisationnelle de l’autorité ou de l’organisme public concerné.

…aux compétences modifiées

Les compétences du délégué sont également précisées. La personne sélectionnée devra disposer de connaissances spécialisées de la législation et des pratiques en matière de protection des données. En outre, ce niveau de connaissances requis devra être déterminé « en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées [7] ». Enfin, les missions du correspondant sont modifiées. Il devra non seulement informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement, mais également conserver une trace documentaire de cette activité. Enfin, le CIL sera tenu de contrôler la documentation mise en place par le responsable de traitement conformément à l’article 28 du projet, la notification des failles de sécurité et la réalisation des études d’impact.

Les modes de régulation de la protection des données sont donc profondément modifiés dans un contexte d’aggravations des sanctions susceptibles d’être prononcées par l’autorité de contrôle, celles-ci pouvant aller jusqu’à 2 % du chiffre d’affaires mondial d’une entreprise. Le projet de règlement entreprend également de renforcer les droits des personnes concernées. Certains droits, comme le droit d’information et le droit d’accès, font l’objet de modifications, d’autres sont introduits dans le corpus juridique.

Les dispositions relatives à l’information des personnes concernées et au droit d’accès

Les personnes concernées disposent de certains droits en application des dispositions de la Directive 95/46/CE. Au moment de la collecte des données, le responsable de traitement est tenu de porter à leur connaissance certaines informations, notamment la finalité du traitement (l’objectif recherché), son identité, les destinataires des données, l’existence d’un transfert de données hors Union européenne, etc. Le projet de règlement complète les informations devant être portées à la connaissance des personnes. Ainsi, le responsable de traitement pourrait être tenu de communiquer la durée de conservation des données, de préciser les clauses ou les conditions générales du contrat sur lesquelles le traitement repose ou, le cas échéant, l’intérêt légitime poursuivi par le responsable, et d’informer la personne qu’elle dispose du droit d’introduire une réclamation auprès de l’autorité de contrôle.

Il modifie également les modalités d’exercice du droit d’accès. Toute personne a le droit d’interroger un responsable de traitement afin de savoir si ce dernier détient des données à caractère personnel la concernant et d’obtenir une copie intégrale de celles-ci dans un langage clair. Le projet de texte modifie les modalités d’exercice de ce droit en offrant la possibilité à la personne concernée de l’exercer par voie électronique et de se voir apporter une réponse par ce même canal. Il réduit également à un mois le délai octroyé à l’organisme interrogé pour y répondre.

La création d’un droit à la portabilité des données et d’un droit à l’oubli

Le droit d’accès est étendu sous la forme d’un droit à la portabilité des données. L’article 18 dispose en effet que « lorsque les données à caractère personnel font l’objet d’un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d’obtenir du responsable de traitement une copie des données faisant l’objet du traitement […] dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée » (alinéa 1). La personne aurait désormais la possibilité de transférer ses données et toutes informations qu’elle a fournies d’une application automatisée à une autre, ce qui implique que le responsable de traitement soit en mesure de les extraire de son système d’information.

La proposition de règlement crée également un droit à l’oubli numérique. Ainsi, la personne concernée aurait le « droit d’obtenir du responsable de traitement l’effacement de données à caractère personnel la concernant (et la cessation de la diffusion de ces données) », notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal permettant de procéder au traitement des données, etc. En outre, lorsque l’effacement de données rendues publiques a été sollicité, le responsable du traitement devrait prendre toutes mesures utiles afin d’informer l’ensemble des destinataires du traitement de la demande.

Une source d’insécurité juridique

Ce projet de cadre réglementaire unique au niveau de l’Union européenne induit donc de nombreux changements. Il renvoie à de nombreux actes délégués visant à préciser certaines dispositions, ce qui est fortement critiqué par l’ensemble des CNIL européennes, car source d’insécurité juridique. Les futurs débats au Parlement européen devraient permettre de clarifier certaines dispositions et d’aménager le schéma de gouvernance envisagé dans le sens d’une plus grande proximité entre les citoyens et les autorités de protection des données.

 

 

1 Article 33 du projet de règlement. 2 Article 34, 2, b) du projet de règlement. 3 Le principal établissement est défini comme l’entité au sein de laquelle sont prises « les principales décisions quant aux finalités, aux conditions et aux moyens du traitement ». 4 Isabelle Falque-Pierrotin, Conseil d’État, Présidente de la CNIL, « Quelle protection européenne pour les données personnelles ? », Question d’Europe n° 250, 3 septembre 2012, Fondation Robert Schuman. 5 APEC Privacy Framework, adopté en 2002. 6 Working paper n° 173 – Avis n° 3/2010 sur le principe de responsabilité, adopté par le Groupe de l’article 29 de la Directive 95/46/CE le 13 juillet 2010. 7 Article 37 du projet de règlement.