Le nouveau règlement européen sur la protection des données caractère personnel entré en vigueur le 25 mai 2016 a vocation à réformer et uniformiser les règles applicables dans les différents pays de l’Union européenne afin de favoriser la création d’un marché unique du numérique.
Par Sabine Deloges, avocat senior, Fidal
Favoriser l’essor des entreprises européennes au sein d’un marché unique du numérique
Le nouveau règlement européen sur la protection des données à caractère personnel, remplaçant la directive 95/46/CE du 24 octobre 1995, est entré en vigueur le 25 mai 2016 et a vocation à réformer et uniformiser les règles applicables dans les différents pays de l’Union européenne afin de favoriser la création d’un marché unique du numérique.
Il met à jour les principes de la directive de manière à suivre les changements majeurs apportés par Internet dans le traitement de données en prenant en compte l’utilisation massive des données personnelles via notamment les smartphones, les réseaux sociaux, les services commerciaux et bancaires en ligne, les transferts mondiaux.
Ce nouvel instrument juridique vise à créer de la clarté juridique pour les entreprises afin de stimuler l’innovation et le développement du marché unique du numérique. La fragmentation juridique a en effet représenté un handicap majeur pour l’essor de l’économie numérique en Europe en faisant obstacle à la constitution de géants européens du Web contrairement aux start-up américaines et chinoises qui ont pu laisser libre cours à la croissance sur leurs vastes marchés locaux aux règles uniformes.
Toutes les entreprises (quelle que soit leur taille et leur secteur d’activité) ainsi que les organismes publics ont jusqu’au 25 mai 2018 pour se mettre en conformité avec les dispositions du règlement qui réforment en profondeur les règles existantes. Les responsables de traitement et leurs sous-traitants sont notamment soumis à de nouvelles obligations pour leur utilisation de données nécessitant la réalisation d’audits sur les systèmes d’information mis en œuvre et l’adoption d’outils techniques et organisationnels spécifiques.
Parmi les grandes nouveautés introduites par le règlement, les entreprises devront dorénavant intégrer dans leurs procédures internes les principes de «protection de la vie privée dès la conception et par défaut» (Privacy by design and by default) et conduire des analyses d’impact sur la protection des données (Privacy impact assessment).
Intégration de la protection de la vie privée dans les nouveaux outils technologiques
Le concept de Privacy by Design est une idée développée durant les années 1990 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario (Canada), Ann Cavoukian, qui a préconisé d’intégrer le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques, mais également dans l’élaboration de pratiques responsables.
La protection de la vie privée dès la conception vise ainsi à agir de manière proactive et préventive, avant que le lancement de nouvelles technologies auprès du public n’entraîne de nombreuses atteintes à la protection de la vie privée des utilisateurs compte tenu de leur performance et de leur interconnectivité.
Ce nouveau principe nécessite la mise en œuvre de mesures techniques et organisationnelles appropriées dans les différentes étapes de production :
- En amont, au moment de la détermination du traitement, mais également en aval, au moment du traitement proprement dit pour mettre en œuvre les principes relatifs à la protection des données de façon effective et garantir le respect des principes du règlement et la protection des personnes tout le long du processus de traitement.
- Par défaut pour garantir que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
L’intégration de ce double principe dans le droit communautaire a fait l’objet d’un large consensus. Le respect de la vie privée et la sécurité des données doivent être pris en compte par les différents acteurs technologiques pas seulement lors des dernières étapes de paramétrage des produits et des services mais dès le début de leur création et doivent être incorporés par défaut dans la conception desdits produits ou services.
Cette approche devra être documentée afin que le responsable de traitement soit en mesure d’apporter la preuve du respect de ces obligations sur demande de la CNIL. Aussi, pour chaque nouvelle technologie créée ou mise en place, l’entreprise doit mettre au point des études avec pour objet d’étudier les différents impacts que ces technologies pourront avoir sur les données personnelles.
Une évaluation des risques a priori
Les entreprises devront réaliser une analyse d’impact dont l’objet devra porter, d’une part, sur l’évaluation des risques inhérents à leurs traitements de données personnelles et, d’autre part, sur la détermination des mesures à mettre en œuvre pour atténuer les risques identifiés.
La démarche d’analyse d’impact est basée sur une approche de gestion des risques qui vise à anticiper et minimiser les potentielles intrusions engendrées par l’utilisation des nouvelles technologies dans la sphère de la vie privée.
Cette analyse devra être effectuée en amont de la mise en œuvre du traitement, c’est-à-dire dès la conception des produits ou outils technologiques, et en concertation avec le délégué à la protection des données s’il a été désigné par l’entreprise.
Le périmètre de l’analyse est par essence limité et concerne les traitements de données «susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées». Sont notamment considérés comme tels, les traitements ayant recours à des technologies sensibles tels que la biométrie, les traitements collectant des données relatives aux enfants ou des données relatives à la santé, les traitements effectuant des opérations de ciblage publicitaire, les traitements donnant lieu à la constitution de listes noires ainsi que les traitements de vidéosurveillance.
Cette nouvelle disposition fait écho à l’obligation de sécurité prévue à l’article 34 de la loi Informatique et Libertés qui impose aux responsables de traitement de «prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données». En vertu de ce principe, le responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. A cet égard, la CNIL avait publié sous forme de fiches thématiques, les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données personnelles. Toutefois, l’obligation établie par le règlement va au-delà de la sphère de sécurité du traitement en ce qu’il s’étend à la protection de l’intimité des personnes dont les données sont collectées.
Bien que l’analyse doive être menée avant la mise en œuvre du traitement, elle ne peut néanmoins débuter que lorsque ses caractéristiques principales auront déjà pu être définies par les développeurs de projets, l’objectif opérationnel étant de pouvoir facilement modifier le traitement envisagé sans être confronté à des difficultés logistiques et financières insurmontables.
En cas de recours à un prestataire technique pour le développement du projet, l’entreprise responsable du traitement devra également intégrer des obligations strictes en matière de protection des données dans son cahier des charges et dans son contrat pour faire en sorte que son prestataire se conforme aux exigences du règlement dans toutes les phases de développement du projet.
Le règlement européen n’impose pas de méthodologie particulière pour la conduite de l’analyse d’impact. Chaque entreprise pourra choisir une procédure adaptée à son activité et à ses règles de fonctionnement interne.
La conduite de l’analyse nécessitera quoi qu’il en soit une collaboration étroite entre les différents services susceptibles d’intervenir sur le traitement. Cet exercice devra également être effectué en concertation avec les parties prenantes externes à l’entreprise pour une prise en compte optimale des enjeux liés à la protection des données (prestataires, usagers ou clients, hébergeurs, etc.).
De plus, les entreprises devront également réviser de façon périodique leur étude d’impact pour prendre en compte l’évolution dans le temps de leurs produits, outils et systèmes d’information. En tout état de cause, l’établissement du rapport d’analyse permettra aux entreprises d’identifier les risques liés aux traitements de données à caractère personnel, d’évaluer leur probabilité d’occurrence, de documenter les modalités et démarches de réduction de ces risques.
Cette nouvelle obligation vise à garantir que les entreprises soient conscientes dès le départ de toutes les conséquences possibles de leur traitement pour passer d’une logique de conformité a posteriori à une logique de gestion des risques a priori.
L’accomplissement de cette démarche devrait contribuer à renforcer la confiance des clients à travers la justification et la mise en avant de garanties de sécurité et de confidentialité des données. L’analyse d’impact s’inscrit en effet dans un objectif de transparence et d’éthique permettant de développer une culture de la protection de la vie privée. Elle permet également de constituer un outil stratégique de défense et de valorisation des actifs informationnels de l’entreprise en réduisant de façon significative les risques de fuite de données et de fraude informatique.
