[mis à jour le 26 janvier 2018 -> voir juste en dessous] Le temps passe et nous nous rapprochons de la date (fatidique ?) du 25 mai 2018. PAS DE PANIQUE, pitié, le Titanic n’est pas en train de couler ! Les Autorités de contrôle ont bien compris que les entreprises ne seraient pas toutes (euphémisme) conformes au RGPD dès le 25 mai prochain et qu’elles n’ont pas toujours les moyens à hauteur de leurs missions (interview de Mme Falque-Pierrotin, Présidente de la CNIL du 22 janvier 2018). Comprenez juste qu’il faut vous y intéresser maintenant, et commencer à agir (pour de vrai) entre maintenant et très bientôt… Vous vous interrogez encore sur l’ampleur de la tache à accomplir ? Voici pour vous une synthèse et audit RGPD en v3, qui tient compte de l’ensemble des remarques / commentaires / questions que j’ai entendu depuis quelques mois déjà. Et pour rendre les choses pratiques, nous avons privilégié une approche « clients / prospects / salariés RH » pour chacun des aspects du RGPD.
La présentation v3 jointe est donc assez profondemment refondue au regard de la v2.5 qui datait de septembre 2017. Evidemment, tout est dans les slides en BD. Juste après le slider, un résumé classique pour les plus littéraires d’entre vous.
[mise à jour du 26 janvier 2017] « L’Europe est inquiète de l’impréparation face au GDPR » titre ce 25 janvier le site droit-technologie.org. Sans rire ? Qui sera prêt au 25 mai 2018 ? Pas grand monde… Beaucoup, de professionnels s’y mettent et l’objectif est « le plus de chemin accompli [vers une « compliance GDPR »] d’ici la fin de l’année (et je me garde bien de préciser laquelle…)« … C’était prévisible et – pardon de vous donner le sentiment que je pontifie, mais je le répète : certaines révolutions culturelles (comme celle qu’impose le RGPD) passent par un temps d’adaptation qui se décrète mal avec (seulement) 24 mois de préavis… En même temps, que peuvent penser les entreprises de l’interview de Mme Falque-Pierrotin, Présidente de la CNIL, lorsqu’elle déclare le 22 janvier 2018 au Figaro que « la CNIL manque de moyens face à ses nouvelles missions » (article complet payant) ?
Quant à la communication de l’Union Européenne sur son travail à quatre mois de l’entrée en application du RGPD-GDPR, c’est franchement consternant ! Je préfère vous taire mon sentiment après la lecture des « Commission guidance on the direct application of the General Data Protection Regulation as of 25 May 2018 » publiées en ligne le 24 janvier 2018. J’ai lu les 17 pages en anglais en moins de 7 mn chrono. Consternant… Soyons positifs : (i) je suis content de savoir que le Japon va bénéficier d’une décision d’adéquation, qui sera réciproque; (ii) la liste officielle des « guidelines » officielles du G.29 (bientôt le « EU Board ») :

• Right to data portability                                     -> Adopted on 4-5 April 2017
• Data protection officers                                     -> Adopted on 4-5 April 2017
• Designation of the lead Supervisory Authority  -> Adopted on 4-5 April 2017
• Data protection impact assessment  -> Adopted on 3-4 October 2017
• Administrative fines                           -> Adopted on 3-4 October 2017

1. – Profiling
2. – Data breach (les « violations » de sécurité / failles de sécurité et fuites de données);
3. – Consent
4. – Transparency (l’obligation d’information sur les finalités, les bases juridiques et les droits GDPR – notamment);
5. – Adequacy referential
6. – Certification and accreditation
7. – Binding corporate rules for controllers (Responsables de traitement);
8. – Binding corporate rules for processors(les « Sous-traitants »)

Voyez ! Il n’y a pas que vous qui êtes en retard, les CNIL le sont aussi… Ce n’est pas une raison pour vous d’attendre. Ce n’est jamais agréables pour vos conseils de vous accompagner dans vos procédures de contrôle sachant que vous avez été prévenus et que vous n’avez rien fait… Je sais que vous pensez que nous sommes, nous les Avocats, des menteurs professionnels, mais il y a quand même des limites à notre imagination (orale)… Personnellement, je ne mens jamais, « je vous le promets… dis » (la phrase est de Frank Dubosc). Pour l’anecdote, un de mes Confrères n’accuse jamais les autres de mentir mais toujours d’être « décentrés des réalités factuelles » (elle est pas mal celle-là, non ?).

Merci aux participantes et aux participants de la journée de formation les Echos Lamy Conférence le 23 janvier 2018 rue de Richelieu à Paris. J’espère avoir répondu à vos questions (très pratiques) de manière satisfaisante (quand je sais, je le dis. Quand je ne sais pas ? J’invente, bien sûr !).

[wonderplugin_gallery id= »169″]

Préambule : les définitions essentielles

Evidemment, nous commencerons basiquement par la définition de « donnée à caractère personnel » et de celle de « traitement » pour savoir si le RGPD s’applique aux data de votre système d’information. Si votre base de données comporte des data purement techniques (par exemple une base de données géographiques ou météo), a priori, vous sortez du champ du RGPD. Si vous réfléchissez à propos de vos fichiers clients / prospects / fournisseurs, ne réfléchissez plus et appliquez le RGPD. Si, enfin, vous ne savez pas ce que sont aujourd’hui les métadonnées, c’est le moment de vous intéresser au problème. Car c’est très probablement sur votre stock de « métadonnées à caractère personnel » que la présente synthèse et audit RGPD devrait s’appliquer…

Cliquez sur le lien qui suit pour accéder au détail des notions fondamentales de la GDPR. Si en plus vous souhaitez mettre ce texte en perspective avec l’évolution de la technique des réseaux de communication électronique et du droit européen qui s’y applique, une seule solution : vous pencher sur le « droit de la data« .

1 – synthèse et audit RGPD : les 3 critères d’application territoriale

Vous avez déterminé qu’effectivement, vous traitez des données [personnelles] ? Mais ces traitements tombent-ils dans le champ d’application territorial du RGPD ? Vous n’y échapperez que si votre entreprise est située hors de l’UE et seulement si vous traitez des données de citoyens situés hors de l’UE. Dans tous les autres cas, ce sera obligatoirement le RGPD.
Et pour les prestataires HORS UE qui traitent des données en  provenance de l’UE, n’oublions pas l’obligation de désigner un « représentant » GDPR sur le territoire de l’UE.
Cliquez sur le lien qui suit pour accéder au détail des règles d’application territoriale du RGPD dans notre étude des notions fondamentales de la GDPR).

2 – synthèse et audit RGPD : responsable du traitement ou sous-traitant ?

Si des données sont traitées, il faut savoir à quel titre. Vous serez « data controller » (responsable de traitement) si votre entreprise décide des moyens et des finalités du traitement de données. Dans les autres cas, votre entreprise sera « data processor » (sous-traitant). Evidemment, votre entreprise peut assumer les deux rôles selon les traitements. Ce qui est sûr ? Le sous-traitant traite des données qui ne sont pas les siennes. Dans le cas contraire, il n’est plus seulement sous-traitant.

Question récurrente : et si le sous-traitant collecte des données pour le responsable du traitement ? Et bien, il sera (probablement) responsable du traitement de cette collecte spécifique de données, et ce sera alors sur lui que peseront les obligations d’information des personnes concernées. A moins que ce soins-traitant affiche clairement collecter des données [personnelles] au nom et « pour le compte » du responsable du traitement (son client). CE QUI VEUT DIRE QUE LE SOUS-TRAITANT NE SERA PAS AUTORISE A UTILISER CES DONNEES POUR SON PROPRE COMPTE. C’est logique.
Cliquez sur le lien qui suit pour accéder à notre étude détaillée des droits et obligations s’imposant spécifiquement aux sous-traitants.

3 – synthèse et audit RGPD : la nature des données

Selon la nature des données traitées, les contraintes induites par le RGPD-GDPR ne sont pas identiques. Alors, dès le départ, regardez si vous traitez des données sensibles (politiques, religieuses, santé…) ou des données pénales.

Attention aussi de vérifier si vous collectez des données de mineurs entre 13 et 16 ans. Sur ce point, il faudra attendre la loi française, puisque les Etats membres de l’UE ont une option sur ce point. Pour l’état de ce qui se prépare en France, nous ne disposons aujourd’hui que du projet de loi du Gouvernement du 13 décembre 2017.
Cette étape d’audit sur les data peut débuter par un audit des applications actives dans le SI de votre entreprise. Cela peut permettre de savoir quel logiciel traite quoi… Ne souriez pas, cette démarche est problématique dans certaines entreprises dont les grandes directions utilisent des applications « métier » sans forcément en informer la DSI. C’est particulièrement vrai avec la généralisation de la mise à disposition d’outils logiciels en mode SaaS.
Le détail de ces définitions et des régimes dérogatoires prévus dans la GDPR sont résumés dans le post sur les « notions fondamentales de la GDPR« .

4 – synthèse et audit RGPD : les traitements soumis à analyse d’impact

Cette étape est cruciale. Il va bien falloir lire en détail les 3 critères posés par le RGPD-GDPR pour les « traitements à grande échelle« … Puis il va falloir choisir d’en informer (ou pas) l’Autorité de contrôle pour prendre son avis. Prendre le risque de ne pas le faire, alors que vous auriez pris la décision de rédiger une « Privacy Impact Assessment » me paraitrait un choix surprenant…
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les traitements « à grande échelle ».

5 – synthèse et audit RGPD : les « bases juridiques » des traitements

Dans la mesure où tout responsable de traitement aura l’obligation d’informer les personnes dont elle traite les données des « bases juridiques » retenue par le traitement, votre audit devrait vous permettre d’opter pour un traitement AVEC ou SANS consentement.
Si vous choisissez AVEC consentement, il vous faudra respecter la manière dont la GDPR impose la collecte de ce consentement. Je vous rappelle by the way que le retrait du consentement = obligation d’effacement (pas de désactivation, ni d’archivage). « EFFACEMENT » : c’est le terme de l’article 17 RGPD.
Si vous choisissez un traitement SANS consentement (comme par exemple « nécessaire à exécution d’un contrat ») ou, plus tentant mais beaucoup plus difficile, « nécessaire aux fins des intérêts légitimes du responsable du traitement », vous devrez l’indiquer clairement aux personnes concernées. Clairement.

Que votre entreprise collecte directement des données ou fasse l’acquisition de fichiers, dans les deux cas, l’entreprise devra informer chaque personne concernée. Car les obligations d’information en cas de collecte « directe » ou « indirecte » sont bien reprise dans l’obligation de transparence de l’article 12 RGPD qui impose l’obligation d’information, corollaire des droits dont disposent les personnes concernées.
Et sans doute aurez-vous intérêt à ne pas fonder certains de vos traitement sur un choix unique. Car le panachage de fondement (AVEC et SANS consentement donc) est parfaitement possible dans le RGPD-GDPR. Et si vous êtes assez courageux/courageuse pour lire en détail le RGPD, vous verrez que les traitements AVEC consentement offrent une grande sécurité juridique pour le responsable du traitement. Oubliez tout de suite l’opt-out, il est expressément éliminé de ce texte. Le consentement devra repose sur une décision « informée » de chaque personne et sur une action positive (un « oui » verbal sans ambiguïté ou une case à cocher non pré-cochée…).
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

6 – synthèse et audit RGPD : les 6 critères de licéité des traitements

TOUS les traitements devront respecter des finalités explicites et légitimes, et les volumes de données collectées devront suivre ces mêmes principes. C’est ici qu’intervient la notion essentielle de « minimisation » : vous pourrez collecter les données nécessaires au service à rendre (les besoins interne de votre entreprise ou le service à rendre à vos clients). Pas plus, et certainement pas tout… Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.
Je vous rappelle que la charge de la preuve du respect de ces 6 principes pèsera sur le responsable du traitement, lequel professionnel ne sera présumé « compliant » que s’il a adhéré à un programme de certification ou à un code de conduite validé par son Autorité de contrôle…

7 – synthèse et audit RGPD : l’information obligatoire des personnes concernées

C’est à ce stade que le RGPD-GDPR peut faire le plus peur : il faudra informer clairement les personnes dont les données sont traitées. En plus de toute information nécessaire au titre des GCU/CGV par exemple. En cas de collecte directe de données par l’entreprise ET de collecte indirecte (achat/location de fichiers, etc.). Et la liste est… comment dire… dense.
En plus, il faudra rappeler systématiquement la liste des droits offerts aux personnes : accès, rectification (bien sur) et aussi le fameux « droit à l’oubli » (officiellement « droit à l’effacement »), le droit nouveau à « limitation » en réalité étroitement associé aux traitements SANS consentement « pour les intérêts légitimes » du responsable du traitement.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les droits d’accès / rectification / limitation.
Cliquez sur le lien qui suit pour accéder à notre étude spécifique sur les droits d’opposition à prospection / profilage. Car il y a un droit d’opposition général et un droit spécial, notamment pour les traitements SANS consentement « nécessaires aux intérêts légitimes » du responsable du traitement…
Cliquez sur le lien qui suit pour accéder à notre étude compète du « droit à portabilité » (RGPD + loi République Numérique du 7 octobre 2016).
A mon sens, pour être « full GDPR compliant », j’ai peur que certains responsables de traitement na soient dans l’obligation de re-qualifier certaines de leurs bases de données clients/prospects (par exemple et bien entendu au hasard…).

8 – synthèse et audit RGPD : les nouvelles obligations

Dès le 25 mai 2018, toute entreprise, responsable de traitement comme sous-traitant :

• devra s’interroger sur son éventuelle obligation de désigner un « Data Protection Officer » (DPO) (cliquez sur le lien qui suit pour accéder à notre étude détaillée sur le Data Protection Officer);

• devra avoir mis en place un « registre des activités de traitement »;

• devra avoir pris des mesures techniques de chiffrement et de pseudonymisation des données traitées;

• devra avoir organisé un process technique et juridique de notification des failles de sécurité et des éventuelles fuites de données consécutives;

• devra veiller à son obligation de transparence, c’est-à-dire à la parfaite information sur les droits offerts aux personnes dont les données sont traitées

C’est à cette étape que nous vous suggérons de regarder vos éventuels transferts de données hors UE.
Cliquez sur le lien qui suit pour accéder à notre étude complète sur les nouvelles obligations GDPR.

9 – synthèse et audit RGPD : vérification des contrats BtoB et BtoC

Vous n’y couperez pas… vos CGU/CGV, vos contrats de service SaaS… il faudra que TOUS vos contrats (que vous les rédigiez ou que vous signiez après négociations ceux de vos partenaires) reprennent les obligations imposées par le RGPD…
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les clauses contractuelles obligatoires dans les contrats de sous-traitance portant sur des données personnelles.
Pour une revue détaillée des contrats SaaS à jour de la réforme 2016 du droit des contrats ET des obligations GDPR applicables aux sous-traitants, c’est ici qu’il faut cliquer.

10 – synthèse et audit RGPD : la nécessaire certification ?

Pour que votre entreprise soit « GDPR compliant », vous devrez à l’avenir quasi obligatoirement passer par l’étape certification / code de conduite. Dans les 2 cas, vous serez soumis à une obligation d’audit régulier… Car c’est bien de vouloir respecter la loi à la date de sa mise en application (c’est la loi…) mais au fond, il va surtout falloir organiser votre process permanent de conformité. C’est la partie immergé de l’iceberg, de loin la plus importante en réalité. D’aucuns travaillent à la mise en place d’outils et de process de certification sur le long terme, en relation étroite avec la CNIL.