21 février 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#078 RGPD conformité garanties et responsabilité (Règlement UE 2016/679 « données personnelles »)

#078 RGPD conformité garanties et responsabilité (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 5 mai 2017] Maintenant que vous maitrisez les notions fondamentales de la GDPR applicable au 25 mai 2018, il va être nécessaire de se pencher sur le processus de mise en conformité des entreprises/personnes publiques… Commençons par les conditions de fond applicables à chaque traitement de données [personnelles] :

  • dans quelles conditions un traitement de données [personnelles] sera « licite » ?
  • comment sera déterminée la responsabilité de l’entreprise (ou de la personne publique) qui collecte / traite des données [personnelles] ?

La conformité RGPD-GDPR ?

Je vais vous en faire la synthèse : un traitement est conforme GDPR (i) si le consentement de la personne concernée (le « fiché »…) a été collecté selon les règles de la GDPR OU dans 1 des 5 cas de traitement SANS consentement et (ii) si le traitement respecte 6 conditions cumulatives.

Il est clair que, présenté comme ça, je ne vous donne pas envie de lire la suite… Je serais à votre place, je ne lirais même pas ce qui suit, je trouve que c’est plus clair dans les slides… Mais si vous êtes plutôt littéraire, la prose ci-dessous est pour vous. Ah, oui… Si vous trouvez tout cela bien compliqué, je suis au regret de vous apprendre que, pour l’instant, j’ai fait l’impasse sur les exceptions aux exceptions et autres dérogations très spécifiques…

Les 6 conditions de licéité

Il ne suffit pas de collecter le consentement des « personnes concernées » (ou de bénéficier d’une des 5 hypothèses de traitement SANS consentement) pour que le traitement soit licite.

Il faut D’ABORD respecter 6 conditions cumulatives de licéité.

Bon, soyons honnête, ces conditions ne sont pas une découverte. A part l’obligation de sécurisation (que vous pouvez lire en détail en cliquant sur ce lien) qui est nouvelle, les 5 autres conditions sont des reprises (parfois singulièrement « musclées ») de la Directive 95/46 :

(i) principe de loyauté et de transparence : les données doivent être traitées de manière « licite, loyale et transparente« ;

(ii) principe de limitation des finalités : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités« ;

(iii) principe de minimisation : les données doivent être traitées de manière « adéquates, pertinentes et limitées » au regard de la finalité du traitement. Il faut collecter et traiter ce qui est nécessaire au service à rendre. Pas plus;

(iv) principe d’exactitude : les données doivent être « exactes« , sinon, obligation pour le responsable du traitement de les « rectifier » ou de les « effacer » (« sans tarder » précise la GDPR);

(v) principe de limitation de la conservation : les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées« ;

(vi) principe d’intégrité et de confidentialité : le responsable du traitement doit « garantir une sécurité appropriée des données« , c’est-à-dire veiller à éviter toute faille / fuite de données. C’est la fameuse et nouvelle obligation de sécurité.

Et du respect de ces 6 principes découle la responsabilité du responsable du traitement. Que le traitement soit fondé sur un consentement ou sur l’une des 5 autres modalités (toutes les 5 sans consentement). Vous suivrez ? C’est vrai que c’est tellement simple…

Les traitements AVEC consentement

Le principe de collecte du consentement est simple. Il est même détaillé dans la GDPR.

Mais il existe aussi 5 autres hypothèses dans lesquelles il est possible de traiter des données SANS collecte de consentement.

Il n’y a donc pas un principe de collecte du consentement et 5 dérogations, mais bien (i) les traitements AVEC collecte du consentement et (ii) 5 modalités de traitement SANS consentement. Bon, vu le niveau des sanctions administratives, va pas falloir se tromper trop, ça va coûter cher.

Les 5 cas de traitement de données SANS consentement

Les 4 premières hypothèses de traitement sans demande de consentement préalable sont des reprises de celles figurant dans la directive 95/46 :

  • si le traitement est nécessaire à l’exécution d’un contrat / pré-contrat;
  • si le traitement est nécessaire au respect d’une obligation légale;
  • si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  • si le traitement est nécessaire à une mission d’intérêt public

La 5° hypothèse est plus problématique. Il n’est pas obligatoire de collecter le consentement à traitement si :

« le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données [personnelles], notamment lorsque la personne concernée est un enfant« .

C’est dans cette dernière hypothèse que s’applique le « droit à limitation » (art.18), lorsque la personne concernée conteste l’intérêt légitime affirmé par l’entreprise qui collecte ses données…

Le principe de responsabilité de celui qui collecte / traite des données

Cette GDPR est difficile à lire pour les juristes, dans la mesure où elle est un texte de compromis entre 28 pays qui ne manipulent pas tous les mêmes principes de droit. Oui, ce texte mélange des concepts de droit de common law (la jurisprudence chère à nos amis d’outre Manche) et de droit romain (des lois écrites, aujourd’hui votées par un Parlement et souvent codifiées), soit la quasi totalité des autres membres de l’UE : France, bien sûr, Allemagne, Italie, Espagne, Belgique, etc.).

Pour le rendre compréhensible, le principe posé par la GDPR est que la charge de la preuve du respect des conditions légales pèse sur le professionnel qui traite des données. C’est au responsable du traitement de prouver qu’il respecte la GDPR. En droit, on appelle cela une présomption de responsabilité. Comme dans l’obligation de moyens renforcée ou il appartient au prestataire de démontrer qu’il respecte effectivement l’obligation à sa charge.

En principe, il suffira à l’avenir de prétendre qu’un responsable de traitement ne respecte pas la GDPR pour que ce responsable soit dans l’obligation d’apporter de manière positive la preuve du contraire.

Cette présomption vaudra également pour la preuve de la collecte d’un consentement valable.

Les garanties de conformité GDPR

Pour s’assurer du respect des obligations de la GDPR, le responsable d’un traitement devra mettre en oeuvre des « mesures techniques et organisationnelles appropriées« . Retenez bien cette notion, elle est également utilisée dans la GDPR pour organiser l’obligation de sécurisation des données. Avec quelques variantes, bien entendu, sinon, ce serait trop simple…

C’est ici qu’apparaissent les concepts de « privacy by default » et de « privacy by design« .

Privacy by default / by design

« privacy by default » : c’est pour les logiciels et les traitements existants à la date de prise d’effet de la GDPR (25 mai 2018).

« privacy by design » : TOUS les logiciels et les traitements initiés à partir du 25 mai 2018.

Et pour pouvoir prouver respecter toutes ces obligations, les responsables de traitement / sous-traitants peuvent entrer dans une démarche de certification (et audit par un tiers agréé) ou de respect d’un Code de conduite professionnel.

Et les sanctions ?

Pour les conditions de licéité des traitements, le format de l’amende pécuniaire est « 20 millions d’amende / 4% max du chiffre d’affaires mondial de l’exercice précédent ». Si vous avez choisi la mauvaise base juridique pour la validité de votre traitement (par exemple, traitements justifié par l’intérêt légitime du responsable du traitement au lieu de fonder le traitement sur un consentement préalable pour des finalités précises), le risque d’amende est également au format le format de l’amende pécuniaire est « 20 millions / 4% max du chiffre d’affaires mondial ».

Pour le non respect des règles de privacy by design / by default, on retombe sur le format light de sanctions du type « 10 millions / 2 % du chiffre d’affaires mondial ».

Pour un rappel sur les pouvoirs d’enquête, d’injonction et de sanctions pécuniaires des Autorités de contrôle, il faut cliquer ici.

Bon, on y va ? La présentation détaillée est accessible dans le slider en tête de ce post.

Synthèse de la GDPR et audit ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).


Bonne promenade avec les superbes visuels tirés de « Horologiom » (7 tomes aux éditions Delcourt). Le tome 1 « L’Homme sans clef » a tout de même été primé au festival d’Angoulême en 1995 par un « Alph-Art coup de cœur« . Parfaitement mérité ! Les trois tomes suivants sont graphiquement, encore meilleurs !


Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ