La protection des données personnelles à l’ère du RGPD – Paroles d’experts
Publié le lundi 19 février 2018Pour aller plus loin, l’IEEPI et France Charruyer vous proposent la formation suivante :
Paroles d’experts : France Charruyer.
L’IEEPI donne la parole à ses experts, aujourd’hui France Charruyer, Avocat expert en protection des données personnelles, fondateur et dirigeant du cabinet d’avocats ALTIJ.
Elle nous propose une analyse sur :
La protection des données personnelles à l’ère du RGPD
Le RGPD, sur la protection des données à caractère personnel, va entrer en vigueur en mai 2018. Pour l’avocate spécialisée dans la défense des dossiers liés au numérique, est-ce une bonne chose ?
C’est une bonne chose dans la mesure où le RGPD provoque d’ores et déjà une prise de conscience sur la valeur de la donnée. Il s’agit de sensibiliser les individus à la maîtrise numérique de leurs données et de responsabiliser les entreprises sur la gouvernance de leur data. Tous doivent remettre la main sur leurs données. Si un service en ligne est gratuit, nous devenons les produits et notre vie privée une anomalie. Jusqu’à présent, les citoyens étaient globalement insouciants quant à cette renonciation massive à leurs droits, ou ne s’en rendaient pas compte. Le RGPD, et la nouvelle Règlementation attendue (Règlement e-Privacy, Loi relative à la protection des données personnelles …), ont le potentiel de changer tout cela.
L’individu est aujourd’hui remis au cœur du processus, il lui appartient de contrôler et de peut-être pouvoir valoriser à terme lui aussi ses données personnelles…
En même temps, la protection des données est devenue un enjeu viral et sociétal avec la multiplication des cyber-attaques, le développement de l’internet des objets (IOT), les « smart cities », et la mise à nu du citoyen.
Établir un cadre de gouvernance de la data est aussi un enjeu de sécurité publique pour les entreprises et les individus plongés dans une guerre économique de la donnée ou plutôt de l’information. S’inscrire dans la démarche de maîtrise des cyber-risques implique la sensibilisation du maillon faible de la chaine d’information : L’humain.
Le RGPD permettra aux ressortissants européens de disposer d’une législation qui considère la protection des données personnelles comme un droit fondamental en remettant au centre de l’analyse le consentement éclairé de l’individu. Il s’agit d’un changement de logique via « l’accountability » qui consacre un renforcement du droit des individus et une responsabilisation des acteurs économiques.
Dans le contexte numérique que je viens d’évoquer, cette responsabilisation aura des conséquences bénéfiques pour les entreprises. L’obligation de renforcer la sécurité de leurs systèmes d’information les aidera à établir un lien de confiance avec un public nouvellement sensibilisé à ses droits, et ainsi à récolter des données de qualité, avec une valeur commerciale accrue. Ainsi, au lieu de se concentrer exclusivement sur les sanctions instaurées par le RGPD (la CNIL aura désormais le pouvoir d’infliger des amendes allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires mondial annuel pour les violations des principes du Règlement), nous devrions nous focaliser plutôt sur le changement d’attitude envers l’économie numérique et le marché des données personnelles qu’il devrait logiquement entraîner.
Il y aura une courbe d’apprentissage des PME, la CNIL tiendra compte des efforts consentis dans la démarche de conformité. Toutes ne seront pas prêtes à temps, il faudra alors justifier et documenter le processus engagé.
Le RGPD représente ainsi un défi et une opportunité pour les entreprises.
Un défi, parce qu’il demande un véritable changement de culture au sein de l’organisation, avec, à la clef, des mesures techniques et organisationnelles considérables.
Une opportunité, parce que, dans le nouveau paysage réglementaire et sociétal, les entreprises qui savent sécuriser leurs traitements des données à caractère personnel auront des avantages concurrentiels considérables.
Dans cette optique, le RGPD est une bonne chose parce qu’il va accélérer une transition économique qui était déjà en cours. Ainsi, le premier enjeu du RGPD est un enjeu de réputation: aujourd’hui, le consommateur est de plus en plus sensible à la cyber-sécurité et les entreprises qui seront en mesure de démontrer qu’elles sont conformes au RGPD vont fidéliser leur clientèle. Il faut remettre l’humain au cœur de la relation commerciale.
En revanche, les entreprises sanctionnées pour la non-conformité, soit administrativement par la CNIL, soit devant les tribunaux dans une action en réparation suite notamment à une fuite de données ou un profilage interdit, souffriront de l’atteinte et dégradation de leur réputation commerciale.
De la même manière, la conformité au RGPD deviendra un vrai sujet lors de la valorisation des entreprises, en particulier de celles pour lesquelles la manipulation de la donnée est au cœur de leur modèle, par exemple dans la publicité en ligne ou le e-commerce. La donnée est une valeur patrimoniale lorsqu’elle est licite et de qualité c’est-à-dire conforme à la législation en vigueur.
Il va simplement falloir être modeste sur les délais, la conformité ne se décrète pas, elle se met en œuvre en douceur mais avec fermeté. Il s’agit pour les PME de se tenir prêtes à peut-être ne pas l’être le 25 mai, mais d’ores et déjà d’entamer le processus de mise en conformité. A cet égard, il faut se méfier des précipitations et des cowboys du RGPD qui vous promettent en ligne une conformité à 100 % qui ne peut exister en pratique.
Il faudra se faire accompagner à la transition numérique avec pragmatisme.
Qu’est-ce que cela va changer pour les salariés ? les entreprises ?
Le RGPD impacte en profondeur la gestion RH des entreprises. Il conviendra de mettre le respect de la vie privée au centre de toutes nos pratiques (toilettage des contrats de travail, refonte des chartes informatiques, fiches de postes, gestion des accès, délégations de pouvoir, stockage des données des salariés, durée de conservation en cas de départ et des CVs des candidats, etc.).
Cette mise au point aura un impact très étendu et notamment dans le cadre de due diligence menées dans la perspective d’une levée de fonds ou d’une cession de l’entreprise ou pour le traitement des données dans le cadre de la procédure de lanceur d’alerte.
Surtout, il faut sensibiliser tous les salariés à l’importance de la sécurité des systèmes et de la gestion raisonnée des outils informatiques (BYOD, CYOD, etc.) : fini le temps du poste de travail sans mot de passe, des informations sensibles sur les clients dans un fichier accessible à tout le monde. Une fuite des données est susceptible d’entraîner des conséquences dramatiques, donc il faut que tout le monde soit plus vigilant dans l’entreprise.
En même temps, les salariés eux-mêmes bénéficieront d’un meilleur niveau de protection de leurs données à caractère personnel, car toutes les entreprises doivent penser à limiter et sécuriser la manière dont celles-ci sont traitées et stockées. Bien sûr, les mesures spécifiques de mise en conformité pour les entreprises individuelles varieront en fonction de leur taille, du type des données qu’elles traitent et de la nature et la complexité de leurs traitements.
Il s’agit d’un enjeu d’intelligence économique également, la préservation du secret des affaires, du modèle économique et de la confiance que nous devons garantir à nos partenaires, nos salariés et à nos clients. Il n’est qu’à voir les divers scandales de fuite de données chez Deloitte, Uber, Equifax, jusqu’aux jouets et autres objets connectés.
Quel est le rôle de l’avocat dans cette nouvelle dynamique ?
Chaque conseil externe, que ce soit un avocat ou un prestataire technique, aura sa propre vision de la mise en conformité. En même temps, chaque client a ses spécificités, et il faut garder une certaine souplesse dans son approche afin de les prendre en compte. Nonobstant, il y a une structure de base de la mise en conformité qui devrait être respectée, de la mise en place d’un pilote du projet, suivi d’un audit, avant de procéder à la mise en œuvre des démarches concrètes sur la base des priorités retenues. C’est en somme le programme proposé par la CNIL en 6 étapes et il s’agit des bonnes pratiques de la gestion d’un projet.
Tout en gardant cette structure, chez Altij, nous privilégions une approche terrain et métiers, où les collaborateurs de l’organisation faisant l’objet du programme de conformité sont impliqués de façon transverse. C’est la raison pour laquelle une des premières étapes de notre programme est un atelier de sensibilisation avec les acteurs-clés de l’organisation (direction, DRH, RSSI, CIL/DPO le cas échéant) pour expliquer surtout le raisonnement derrière la mise en conformité. L’objectif est d’identifier les risques qui sont propres à la structure, afin de mieux les gérer.
Sur ce point, il convient de rappeler que le RGPD crée le nouveau rôle du délégué à la protection des données, mieux connu sous l’acronyme « DPO » (de l’anglais « data protection officer »).
Ce dernier a pour responsabilité de veiller au respect des principes de la protection des données personnelles au sein de l’organisation. Obligatoire pour les organismes publics et les entreprises dont l’activité de base exige un suivi systématique, régulier et à grande échelle des personnes concernées ou un traitement à grande échelle de leurs données sensibles (ex. données de santé), le DPO personnifie la notion de « data protection by design » (protection des données dès la conception), si centrale au RGPD.
Il appartiendra au DPO de piloter le processus de mise en conformité, et le rôle de l’avocat sera en grande partie de l’accompagner et de lui transférer les compétences dont il aura besoin. Par exemple, l’avocat peut établir le registre des activités de traitement, autre pierre angulaire de la conformité, mais le DPO va devoir le tenir à jour. Aussi, pour certaines entreprises, le choix logique sera de désigner un DPO externe, un avocat pouvant assumer ce rôle.
Un autre point d’intervention pour les avocats et les experts en sécurité informatique sera l’analyse d’impact relative à la protection des données (« data protection impact assessment » ou « DPIA »). Le RGPD rend obligatoire une telle analyse lorsqu’un traitement des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Un tel risque peut notamment être caractérisé en cas de profilage automatisé des individus, de prise de décision automatique avec effet légal ou similaire, de surveillance systématique, de collecte de données sensibles ou de croisement des données.
Ainsi, en cas d’activités posant un risque de ce type, en particulier par le recours à de nouvelles technologies, il est indispensable de procéder à une DPIA afin de sécuriser la licéité du modèle économique (les secteurs de la santé et de la publicité « programmatique » vont être particulièrement touchés). Si après la DPIA et malgré les mesures mises en place pour atténuer les risques, il reste un danger résiduel pour les libertés des personnes concernées, une consultation préalable avec la CNIL devient obligatoire. Au vu des enjeux, un accompagnement externe sur la DPIA et l’éventuelle consultation s’avère très pertinent pour les entreprises.
Plus globalement, le RGPD nécessite un gros travail de mise à jour des documents contractuels et des politiques et procédures internes, sur lequel l’intervention de l’avocat peut être bénéfique.
Notamment, il s’agit de faire signer des avenants aux contrats conclus avec les entreprises qui sous-traitent les données personnelles de l’entreprise (ex. SAAS, Cloud ou autre hébergeur, prestataire de paie, imprimerie, téléphonie, etc.) afin d’exiger les garanties de sécurité nécessaires et d’inclure les mentions contractuelles obligatoires instaurées par le RGPD.
Dans un contexte B2C, il faut mettre à jour les CGV/CGU et formulaires de consentement, notamment afin d’inclure les nouvelles informations obligatoires (ex. sur les droits de la personne concernée).
Sur le plan RH, la mise en conformité de la gestion des données personnelles des salariées est primordiale (ex. revue des informations fournies aux salariés). Également, la mise en conformité présente une opportunité de mettre à jour les politiques internes, notamment la charte informatique et BYOD, en collaboration avec les instances représentatives du personnel, la gestion des traitements des lanceurs d’alerte, etc.
Un autre aspect important est l’encadrement légal des transferts des données personnelles vers des pays tiers (ex. dans le cas d’une solution de Cloud basée aux États-Unis).
Bref, réagir aux exigences du RGPD représente un chantier juridique important.
L’avocat peut également conseiller l’entreprise dans le contexte de sa stratégie juridique globale, notamment en tenant compte des futures levées de fonds et cessions. En toilettant ses pratiques de protection des données, une entreprise peut se préparer pour des opérations d’investissements futurs, car lors de la vente de l’entreprise ou lors d’une opération d’investissement les « due diligence » vont révéler le niveau de conformité au RGPD de la cible, soit la qualité des données personnelles détenues, la licéité des traitements et la sécurité du stockage. Le cas échéant, la valorisation de la cible sera ajustée. Par conséquent, un programme de compliance peut sécuriser la future valorisation. Par exemple, des certifications et codes de conduite, le registre des activités de traitement et des analyses d’impact peuvent démontrer la conformité de la cible à l’investisseur (qui va de toute façon demander des garanties contractuelles de conformité dans le protocole de cession/protocole d’investissement).
Sur ce point, justement, il y a un risque de violation du RGPD si les données personnelles des salariés sont utilisées dans une due diligence avant la cession de l’entreprise sans informer la personne concernée. Afin d’anticiper cette problématique, vous pouvez prévoir en amont une liste complète et détaillée des finalités envisagées comprenant des due diligences futures.
Finalement, l’avocat doit appliquer surtout une logique contentieuse de traçabilité car dans une stratégie de « compliance » et de prévention des recours contentieux (par exemple l’extension de la nouvelle action de groupe au droit à la réparation) la traçabilité est essentielle. Il faut documenter ses démarches juridiques, techniques et organisationnelles, car en cas de contentieux ou contrôle administratif, le responsable doit démontrer sa conformité. Ainsi, nous œuvrons pour établir et organiser la documentation qui servira de preuves en de telles circonstances.
Avec le RGPD, vous attendez-vous à une recrudescence de dossiers ?
Oui, sur deux plans. Dans un premier temps, un travail de préparation au « Big Bang » du 25 mai 2018, puis dans un deuxième temps, une recrudescence de dossiers contentieux avec l’arrivée des nouveaux recours juridictionnels en matière de data.
En tant qu’avocats, notre rôle est tout d’abord d’aider nos clients à opérer la transition vers le nouveau paysage réglementaire. Cela signifie que nous effectuons des audits de leurs pratiques actuelles en matière de protection des données et développons les nouveaux processus devant être mis en place. Nous nous adaptons à l’organisation du client. Il n’est pas question d’imposer un schéma-type qui ne serait pas gérable.
Dans la perspective de cette évolution réglementaire, le cabinet s’est doté d’un pôle « data » et l’équipe a été renforcée par un avocat anglais spécialisé dans les transferts de données afin de répondre aux problématiques internationales de nos client et de juristes /DPO. A ce sujet, il est important de souligner que les démarches RGPD ne relèvent pas exclusivement du domaine juridique. Le RGPD exige en réalité la mise en place d’une véritable synergie de compétences avec des experts techniques pour aborder la situation des entreprises en regard de leurs données. A défaut, le processus sera incomplet.
Dans un deuxième temps, nous anticipons une recrudescence des dossiers contentieux concernant les données à caractère personnel, surtout parce que le RGPD donne la possibilité d’introduire de nouveaux recours judiciaires (action en réparation et action de groupe et/ou collective).
A cet égard, le projet de loi sur la protection des données personnelles actuellement en discussion à l’Assemblée nationale élargit l’action de groupe pour inclure l’indemnisation des victimes d’une fuite de données personnelles.
Le problème de la protection des données personnelles ne réside en effet pas dans un manque de base légale mais bien dans l’insuffisance de moyens quant à son application.
Des plateformes et associations de consommateurs militantes se montent dans toute l’Europe pour proposer des actions collectives et/ou de groupe aux consommateurs pour les sensibiliser à la protection de leurs données personnelles. C’est le cas de Max Schrems, cet avocat autrichien qui a obtenu l’invalidation du Safe Harbor, et son association NoYb.eu.
Ce ne sont en réalité peut être pas les sanctions de la Cnil qui seront le plus à craindre mais bien davantage les recours juridictionnels à venir de ces organismes, à l’instar des Etats-Unis où des associations viennent de lancer des actions de groupe contre les multinationales Disney et Viacom pour s’insurger contre l’espionnage et profilage en ligne de leurs enfants, ou contre Equifax la société de crédit qui a laissé fuiter les données sensibles (financières, etc.) de 143 millions d’individus.
Notre cœur de métier est en conséquence la gestion du risque.
Pour ce faire de manière efficace, il faut identifier les risques encourus et les présenter aux dirigeants, sans exagérer mais sans édulcorer non plus. Notre objectif n’est pas de faire peur aux dirigeants, mais de les aider à faire face au nouveau paysage règlementaire de manière pragmatique, en ciblant les points prioritaires pour chaque organisation, d’où l’importance de faire auditer ses pratiques en matière de données personnelles. Il faut sensibiliser les directions et les convaincre de ne plus s’inscrire dans la logique du « pas vu pas pris » qui, pour le dirigeant et la personne morale, peut être lourde de conséquences.
La responsabilité civile et pénale du dirigeant sera directement en ligne de mire et la personne morale ne pourra pas toujours faire écran pour protéger les dirigeants en cas de condamnation.
Les risques principaux varieront selon l’activité, la taille de chaque organisation et l’exposition aux risques.
Par exemple, certains auront à sécuriser leurs transferts des données personnelles aux pays tiers, d’autres vont devoir réaliser des analyses d’impact sur leurs activités de profilage des données de leurs clients, etc. Encore une fois, l’audit préalable s’avère incontournable.
Il y a de nouveaux risques, de nouvelles responsabilités et, partant, de nouvelles stratégies à mettre en place avec le RGPD : Il faut dépasser la contrainte réglementaire pour en faire un levier de performance et d’opportunités pour l’entreprise.
Le marché va s’assainir, de nouveaux métiers émergent, d’autres vont disparaître.
Le RGPD ne doit pas être vécu comme un épouvantail (quels que soient les risques encourus), mais plutôt comme un vecteur d’accélération de confiance, de valorisation de la donnée et partant de croissance et de création de nouveaux modèles économiques.
Pour aller plus loin, l’IEEPI et France Charruyer vous proposent la formation suivante :