Deux ans. C’est le temps que les entreprises ont devant elles pour se mettre en conformité avec le nouveau cadre réglementaire de protection des données personnelles. L’occasion d’optimiser leur sécurité juridique et d’affronter la transformation numérique en respectant le droit à la vie privé de ses salariés et de ses clients. Sans attendre mai 2018, les entreprises peuvent dès à présent effectuer un bilan de leur politique de protection des données personnelles et commencer à la transformer.

Des outils de conformité plus performants.

Trois grands principes gouvernent, désormais, les relations employeurs-salariés : des outils internes de mise en conformité, la responsabilité souhaitée des employeurs et le renforcement du droit à l’information des salariés. «Les entreprises vont devoir intervenir en amont dès le début du traitement des données personnelles», développe Isabelle Vedrines, avocate associée du cabinet Vaughan Avocats, lors de la conférence «Protection des données personnelles : quels enjeux de conformité pour l’entreprise ?» organisée le 16 novembre dernier. La protection des données dès la conception, appelée aussi «privacy by design» impose d’intégrer à toute technologie, exposant des données personnelles, des dispositifs techniques de protection de la vie privée dès sa conception, afin de respecter les droits des personnes dont les données sont utilisées. A partir du 25 mai 2018, la tenue d’un registre des activités de traitement des données personnelles va être obligatoire dans les entreprises d’au moins 250 salariés. Il contiendra un certain nombre d’informations sur les traitements mis en œuvre et va être porté à la connaissance des salariés. Les articles 30, 9 et 10 du règlement européen posent une exception à ce traitement : le cas où ce dernier «est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des catégories particulières de données». Par catégories particulières sont directement concernées les données portant sur les origines raciales et ethniques, les opinions politiques ou bien encore sur des condamnations pénales. Une analyse d’impact va aussi devoir être réalisée avant la mise en œuvre de traitements recourant à de nouvelles technologies et susceptibles de susciter un risque élevé pour les droits et libertés des personnes physiques. Cependant, le texte européen ne précise pas la vaste notion de «traitement recourant à de nouvelles technologies». La Commission nationale de l’informatique et des libertés (CNIL), considérée par le règlement comme l’autorité nationale de contrôle, devrait prochainement publier une liste des types de traitement pour lesquels une telle analyse d’impact serait requise.

L’information des salariés avant tout.

Le règlement européen s’inscrit dans la droite ligne des principes posés depuis la loi Informatique et libertés du 6 janvier 1978 et la directive européenne de 1995 : la proportionnalité des données collectées par rapport à la finalité du traitement, la loyauté de la collecte, le droit d’opposition des personnes concernées et l’interdiction de principe de la collecte des données sensibles. Néanmoins, le devoir d’information sur la durée de conservation des données, la finalité du traitement, les cas de recours vis-à-vis de la CNIL, le code de conduite, la tenue des registres sont particulièrement renforcés par la nouvelle législation. Et le consentement des personnes concernées est plus que jamais nécessaire avant la collecte de leurs données. L’objectif d’une plus grande lisibilité et transparence sur l’utilisation faite des données des salariés en obligeant l’employeur à détailler le traitement par écrit, est clairement l’un des objectifs établis. De plus, la législation européenne créée deux nouveaux droits : le droit à l’effacement, plus connu sous le nom de droit à l’oubli numérique, et le droit à la portabilité des données c’est-à-dire de recevoir les données personnelles «dans un format structuré, couramment utilisé et lisible par machine», de transmettre les données à un autre responsable de traitement. Désormais, une personne va pouvoir exercer ces droits, en plus de celui d’accès et de rectification, directement auprès du responsable de traitement de l’entreprise. Si elle considère que ses droits sont violés elle peut saisir la CNIL ou toute juridiction compétente pour obtenir réparation des dommages subis. Il est aussi possible d’imaginer qu’un salarié constatant que son entreprise ne respecte pas les nouvelles obligations de traitement des données personnelles lance une alerte, en suivant le processus issu de la loi Sapin II. Et en cas de failles de sécurité effectives concernant un grand nombre de citoyens, ces derniers pourraient se réunir pour soulever contre la société en cause une action de groupe en matière de protection des données personnelles. Les risques se multiplient pour les entreprises. Le choix du responsable du traitement veillant à la bonne conformité est donc une étape indispensable.

Bien choisir son «data protection officer».

Personnage important de la mise en conformité de l’entreprise en matière de protection des données personnelles, sa désignation n’est a priori pas obligatoire. L’article 37 du règlement européen pose, toutefois, des exceptions : quand les activités de base du responsable de traitement des données personnelles sont des traitements qui exigent un suivi particulier et systématique des personnes concernées, et lorsque les activités de base du responsable de traitement sont effectuées à large échelle ou sur des données dites sensibles. En dehors de ces situations, le responsable de traitement en charge notamment de la réalisation des études d’impact pour les traitements susceptibles d’engendrer des risques pour les droits et libertés des employés, peut être le risk manager ou bien le directeur juridique. Néanmoins, compte tenu des risques inhérents à la nouvelle législation, les experts recommandent fortement aux entreprises de recruter un DPO, ou d’élargir le champ d’action du correspondant informatique et libertés (CIL) déjà en place.

Acteur aussi stratégique qu’incontournable, le data protection officer apparaît comme un CIL aux prérogatives amplifiées. Son rôle, loin de se limiter à la seule protection des données, est étendu à la valorisation de ces données, la prévention des risques réglementaires, la sécurité informatique et juridique, la conformité et la réputation de l’entreprise – publique ou privé – qu’il représente. Ce dernier informe et conseille l’employeur et les salariés en matière de traitement des données. Il coopère aussi avec la CNIL à qui il doit notifier les éventuelles failles de sécurité des données détectées. D’ailleurs, son rapport étroit avec l’autorité de contrôle nationale fait de lui un salarié à part entière. «Il va être l’intermédiaire avec les salariés, l’employeur et la CNIL, il doit donc faire preuve d’une grande neutralité», confirme Isabelle Vedrines. Pourtant, l’article 35 du règlement européen ne fixe pas de profil type du DPO. Il précise simplement que ce dernier doit être choisi sur la base «de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données». En pratique, l’étendue de la mission du DPO impose un profil hétérogène qui devrait disposer de réelles garanties quant à son indépendance. En tant que gardien du respect des règles de protection des données personnelles, le data protection officier devrait, en outre, être soumis au secret professionnel et ne rendre compte qu’au comité exécutif ou aux cadres dirigeants de la société.

Une grande plus responsabilité des entreprises.

Le règlement européen modifie le raisonnement qui régissait jusque-là la protection des données personnelles. Les entreprises passent d’une logique de formalités préalables avec un contrôle a posteriori à une logique de démonstration systématique de la conformité sous peine de sanctions accrues. Auparavant, il suffisait à l’entreprise de déclarer à la CNIL son traitement des données personnelles. Aujourd’hui un enregistrement interne doit être établi et l’employeur va devoir faire preuve d’une plus grande vigilance. C’est que le règlement européen nomme le principe d’accountabilité. «L’accountabilité vient du droit anglo-saxon. L’idée est que le responsable doit démontrer à tout moment qu’il respecte la réglementation européenne», explique Claire Levallois-Barth, coordinatrice de la chaire «Valeurs et politiques des informations personnelles» à l’Institut Mines-Télécom. Et pour cela, il va pouvoir s’appuyer sur les outils internes de conformité tels que le nouveau code de conduite, ainsi que les études d’impacts et audits effectuées régulièrement.

Dans la documentation mise en place par l’employeur, ce dernier doit expliquer ce qu’il conseille et interdit à ses salariés ; ce qui est déjà a priori le cas dans les entreprises disposant d’une charte informatique, souvent annexée au règlement intérieur. En cas de non-respect de ce droit fondamental, la CNIL peut désormais prononcer à l’égard de l’entreprise une sanction qui pourrait attendre entre 2 et 4 % de son chiffre d’affaires. Et le responsable du traitement fautif pourrait être visé par une sanction de 3 millions d’euros contre 150 000 euros auparavant. Des sanctions renforcées qui ont été entérinées par la loi pour une République numérique, entrée en vigueur le 7 octobre dernier.