Règlement général sur la protection des données : rendez-vous en mai 2018

Le 13 décembre, le projet de loi français adaptant la loi Informatique et Libertés au droit européen a été publié. De fait, l’année écoulée aura été marquée par la préparation des banques et plus généralement de l’ensemble des entreprises à l’entrée en vigueur le 25 mai 2018 du RGPD [1] .

L’emprise du RGPD est large puisqu’il s'applique : aux traitements de données des entreprises présentes dans l’UE, que ceux-ci soient effectués ou pas dans l’UE ; aux traitements effectués par des entreprises non présentes dans l’UE, s’ils portent sur des résidents européens ; à l'entreprise à l'origine du traitement, mais aussi, dans une large mesure, à ses sous-traitants.

Le réglement renforce des droits déjà reconnus, comme la notion de consentement à l'utilisation des données, le droit d'accès, d'opposition, ou encore le droit à l’oubli, mais il définit aussi des droits nouveaux :

• la portabilité : les personnes doivent pouvoir récupérer et transférer leurs données dans un « format structuré, couramment utilisé et lisible par machine », pour passer sans difficulté d’une plate-forme à une autre ;
• la limitation, qui impose au responsable de traitement de conserver les données tout en interdisant leur utilisation (en réponse à certaines situations contentieuses).

Les conséquences opérationnelles sont fortes. Tout d’abord, et c’est la principale nouveauté du RGPD, celui-ci définit une nouvelle forme de mise en conformité des entreprises : celle-ci s'exerçait jusqu’alors par des demandes d'autorisation préalables auprès de l'autorité de contrôle nationale, en France la CNIL. Selon le nouveau principe d'accountability, l'entreprise doit elle-même s’assurer de la conformité de ses traitements, et donc mettre en place un dispositif ad hoc de contrôle interne mais aussi de reporting pour l'autorité de contrôle. Et si le traitement comporte des risques élevés, l'entreprise devra réaliser au préalable une étude d'impact sur la vie privée. Par ailleurs, un délégué à la protection des données (DPD), indépendant dans l’exercice de ses missions, doit être désigné dans les entités qui réalisent des traitements impliquant un suivi régulier et à grande échelle de personnes. Ce poste reprend et précise celui de correspondants Informatique et Libertés. Enfin, les processus internes devront être adaptés au principe de privacy by design, qui consiste à intégrer les mesures de protection des données dès la conception du traitement, comme un élément inhérent à son déroulement. Le règlement évoque sur ce plan la pseudonymisation des données, ou des process automatisés pour fixer leur durée de conservation, ou faciliter l'exercice des droits des personnes. De même il faudra respecter un principe de privacy by default, qui impose de garantir par défaut le plus haut niveau de protection des données.

Enfin, les entreprises devront notifier les violations de données personnelles à l'autorité de contrôle (une obligation limitée jusqu’alors aux opérateurs de télécommunication). Si celle-ci estime que les mesures de protection n'étaient pas suffisantes, elle peut alors exiger que chaque personne dont les données ont été compromises soit informée individuellement…

Les sanctions pour manquement au RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise incriminée, « le montant le plus élevé étant retenu », ce qui de facto, signifie que celui-ci ne fixe pas de plafond aux sanctions…

Achevé de rédiger le 12 décembre 2017.

 

Ils ont dit…

Une innovation majeure

« L'accountability est une innovation majeure du RGPD et il irradie le texte (article 24 et articles 25 à 35). Ce nouveau principe caractérise le basculement du mécanisme des formalités préalables relatives aux traitements de données vers un mécanisme d’autocontrôle [2] . Changement de paradigme [3] en effet puisque le contrôle a priori de la conformité des traitements est désormais à la charge du responsable de traitement et non plus de l’autorité de contrôle. »

Eric Caprioli, avocat, et Isabelle Cantero, avocat associé (Caprioli & Associés), Banque Stratégie n° 360, juillet-août 2017, pp. 25-27.

 

De nouveaux droits

« L’adoption du règlement a été l’occasion de reconnaître de nouveaux droits aux personnes dont les données sont traitées. Ces droits trouvent en grande partie, là encore, leur justification dans le développement de l’internet et plus particulièrement des réseaux sociaux. C’est ainsi que le droit à la portabilité des données, le droit à l’oubli ou encore le droit de limitation font leur apparition. »

Xavier Lemarteleur, responsable juridique, Groupe La Poste, Hors-série Banque & Droit, mars-avril 2017, pp. 15-22.

 

Le DPO prend le relais des CIL

« Il semblerait que la plupart des acteurs du secteur bancaire et financier soient soumis à l’obligation de désigner un DPO [4] . […]

Le DPO doit présenter des garanties d’indépendance. Celle-ci se matérialise par l’absence d’instruction en ce qui concerne ses missions, mais aussi par l’impossibilité d’être sanctionné au seul motif de les avoir exercées. Le point 3 de l’article 38 dispose en ce sens que “le Délégué à la protection des données ne peut être relevé de ses fonctions”. »

Garance Mathias, avocate, Mathias Avocats, Amandine Kashani-Poor, CIL, Agence Française du Développement, Aline Alfer, avocate, Mathias Avocats, « Le Délégué à la protection des données (DPO), clé de voûte de la conformité », RB Edition, septembre 2017, p. 43 et p. 109.

 

La notion de consentement

« Comme la loi Informatique et Libertés, le règlement prévoit que chaque traitement de données personnelles repose sur un ou plusieurs fondements dont la liste est énumérée à l’article 6 du RGPD. Le consentement est l’un de ces fondements au même titre que le respect d’une obligation légale, l’exécution de mesures contractuelles ou l’intérêt légitime du responsable de traitement. Dès lors, le consentement n’est pas un fondement exclusif. Il est à manier avec précaution car il doit être libre, spécifique et informé, et résulter d’une action non ambiguë de la personne concernée. La condition de liberté peut en particulier susciter des interrogations, le règlement s’y attachant particulièrement (cf. considérant 43). Il ne doit pas être forcé. Ainsi, dans l’hypothèse où des données seraient nécessaires à une prestation de service, leur collecte ne serait pas libre. En effet, en cas de refus, la personne ne pourrait bénéficier du service en question. Dès lors, il semble opportun de privilégier un autre fondement. »

Aurélie Banck, Compliance Manager, American Express, Revue Banque n° 810, juillet-août 2017, pp. 24-27.

 

Environnement réglementaire

« Le RGPD ne constitue pas, à lui seul, l’alpha et l’oméga de la protection des données personnelles au sein de l’Union européenne.

Depuis le 1er juillet 2016, s’appliquent les dispositions du Règlement dit eIDAS. Ce règlement a notamment pour objet de s’assurer que les citoyens européens bénéficient d’une identité électronique partout en Europe et plus uniquement dans le pays d’émission de l’identité électronique et l’ouverture d’un marché européen des Prestataires de service de confiance (PSCO).

Il convient aussi d’évoquer la Directive NIS inspiratrice de la loi de programmation militaire pour les années 2014 à 2019. Cette directive poursuit trois principaux objectifs, tout d’abord le renforcement de la cybersécurité au niveau national, le renforcement de la coopération au niveau Européen et, enfin, la gestion des risques sécuritaires et la notification des failles de sécurité, en sus des notifications prévues par le RGPD.

Dernier texte européen en gestation, la proposition de règlement de la Commission européenne concernant le respect de la vie privée et des données personnelles dans le secteur des communications électroniques, abrogeant la directive 2002/58/CE dite « Vie privée et communications électroniques. »

Emmanuel Jouffin, responsable juridique de banque, Hors-série Banque & Droit, mars-avril 2017, pp. 4-11.

 

E-privacy

« Le projet de règlement de la Commission et du Parlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques a été élaboré en collaboration avec nos collègues du département Justice qui ont travaillé sur le texte du GDPR afin d’harmoniser les deux textes. […] Ainsi, le règlement de la Commission précise et complète le RGPD avec des obligations spécifiques qui s’appliquent aux données de communications électroniques qui peuvent être considérées comme des données à caractère personnel.»

Rosa Barcelo, directrice département Digital Privacy, DG Connect Commission européenne, Revue Banque n° 810, juillet-août 2017, pp. 38-40.