Alain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.

Alain Bensoussan Avocats publie chez Larcier la deuxième édition du « Règlement européen sur la protection des données».

Pour se mettre en conformité avant mai 2018, date à laquelle le Règlement européen sur la protection des données sera directement applicable dans l’ensemble des Etats membres de l’Union européenne.

Ce règlement modifie profondément les règles relatives à l’environnement digital des entreprises. Nous passons d’une logique de contrôle préalable des responsables de traitement à une logique de conformité et de responsabilité, dite d’« accountability ».

En outre, le règlement « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui voient leur responsabilité conjointement engagée en cas de manquement.

Ce ne sont pas là les seuls bouleversements. Le Règlement européen sur la protection des données consacre également de nouveaux principes tels que la protection des données à la fois dès la conception d’un produit ou d’un service et par défaut, crée de nouveaux droits pour les personnes concernées (droit à l’oubli, droit à la portabilité, actions collectives, etc.) et revoit à la hausse le niveau des sanctions financières encourues.

La seconde édition de cet ouvrage, augmentée et mise à jour, recense les dernières re-commandations, lignes directrices, FAQ, avis, normes ISO et autres dispositions adoptées par les instances européennes (G29, CEPD, Conseil de l’Europe, Afnor, etc.) depuis l’entrée en vigueur du règlement. Elle analyse également la jurisprudence la plus récente (CJUE, CEDH, Cnil, etc.) sur l’application du cadre européen de la protection des données personnelles.

Comme dans la premère édition, cet ouvrage présente un commentaire, article par article, du règlement européen pour en faciliter la mise en œuvre. Sous chaque article figurent :

• des définitions facilitant la compréhension de l’article ;
• les considérants associés du règlement ;
• un commentaire ;
• les textes coordonnés et la jurisprudence commentée ;
• une bibliographie ;
• des outils de mise en application d’un article ou d’un groupe d’articles.

« Règlement européen sur la protection des données : textes, commentaires et orientations pratiques« , 2ème édition 2018.
Sous la direction de Alain Bensoussan.
Préfacé par Isabelle Falque-Pierrotin, Présidente de la Cnil et du Groupe de l’article 29 (G29).
Editions Larcier

Isabelle Pottier
Directrice Études et Publications

Céline Avignon intervient à Reims le 9 novembre dans le cadre du IT Tour 2017 organisé par Le Monde informatique.

« Les clés de votre performance IT » : tel est l’intitulé des matinées-débats de ce IT Tour 2017 organisé en région du 28 septembre au 7 décembre.

Il s’agit d’un évenement qui concentre l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

IT Tour 2017 : le RGPD au coeur des débats

A chaque étape du IT Tour, un avocat du cabinet Lexing Alain Bensoussan Avocats intervient sur la problématique et les enjeux liés au Règlement général sur la protection des données.

Après Aix-en-Provence début octobre, ce sera, pour Céline Avignon, Reims le 9 novembre et l’occasion de revenir sur les points clés d’une démarche de mise en conformité au RGPD ou GDPR et faire un point sur les bonnes pratiques dans ce domaine.

Pour retrouver le programme du IT Tour du Monde Informatique à Reims et vous inscrire  : http://www.it-tour.fr/programme-reims/

Eric Bonnet
Directeur du Département Communication juridique

Céline Avignon dresse pour ecommercemag.fr la feuille de route de la mise en conformité au RGPD avant le 25 mai 2018.

Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, Céline Avignon décrypte pour le site ecommercemag.fr, le « média du cross canal », les enjeux de la mise en conformité au Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), à moins d’un an maintenant de son entrée en vigueur effective.

« 2017, la cote d’alerte »

Selon une enquête d’Arondor Serda Lab citée par Céline Avignon, « 55% des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer ». Et de citer la Présidente de la Cnil, Isabelle Falque Pierrotin, selon laquelle « 2017, c’est la cote d’alerte ».

Du côté des États membres, la France devra modifier sa loi Informatique et libertés pour la faire coïncider avec le RGPD : sans cette loi, le Règlement ne pourra être appliqué. Là encore, selon Céline Avignon, le temps presse : « ce projet devrait être adopté avant l’été, ce qui, compte tenu des échéances électorales à venir, semble ambitieux ». Pour résumer, « l’État a une pression pour élaborer un projet de loi nécessaire à l’application du RGPD et les entreprises doivent se préparer pour se mettre en conformité au texte, dont certaines dispositions renvoient au droit local non encore défini ».

Une chose est sûre : les entreprises privées et entités publiques doivent engager au plus vite une démarche de mise en conformité : « Tout le monde s’accorde à dire que ce qui compte est d’engager une démarche et de se mettre en posture pour 2018 ».

À cet égard, la tâche est, selon les professionnels, constituée de plus ou moins d’étapes : « La Cnil en relève 6, l’autorité de protection britannique 12 et la commission vie privée en Belgique, 13. Bien évidemment, selon le niveau de conformité initiale de l’organisme, la route de la conformité au RGPD pourra être jalonnée de moins d’étapes, puisque certaines obligations de la loi de 1978 sont reprises à l’identique, ou presque, dans le RGPD ».

Mise en conformité : quelle posture adopter ?

Alors, comment s’y prendre et comment mettre à profit le temps restant jusqu’à 2018, étant précisé que la taille de l’organisme est indifférente s’agissant des obligations ?

Céline Avignon détaille, dans son article, 5 règles à respecter :

1. Une décision de la direction générale : la démarche de mise en conformité doit être « initiée par la direction générale et entraîner l’ensemble des services pour devenir une nouvelle culture d’entreprise ».

2. La mise en place d’une organisation pour assurer la compliance : « Pour assurer la compliance, il faut désigner un pilote ». À cet égard, le RGPD impose, dans trois situations, la désignation d’un DPO ou délégué à la protection des données, nouveau personnage clé de l’environnement digital des entreprises.

3. Un état des lieux s’impose : « une fois l’organisation définie, il convient de réaliser un état des lieux pour établir un gap analysis (analyse d’écarts) ». À la suite de cette analyse, les zones de risque seront identifiées.

4. Se doter de politiques et de process : cela devient une nécessité en raison du principe de responsabilité ou d’accountability : « En effet, l’organisme, en cas de contrôle, devra être à même de démontrer qu’il a mis en œuvre les process, politiques et mesures organisationnelles pour respecter les RGPD ».

5. Adopter une démarche de privacy by design et de security by default : le RGPD impose ces deux démarches qui modifient le pilotage des projets au sein des organismes.

Le compte à rebours a commencé : les organisations doivent très vite prendre la mesure du RGPD et tout mettre en œuvre pour se mettre en conformité, compte tenu, notamment, des sanctions encourues.

Céline Avignon pour ecommercemag.fr, « [Tribune] RGPD : comment se mettre en posture de conformité pour 2018? », le 18 avril 2017

Eric Bonnet
Directeur du Département Communication juridique

Compliance au règlement : éditeurs de logiciels, développez un outil spécifique RGPD monitoring des zones libres. Ces zones libres sont, pour les responsables de traitement, des zones de risques Informatique et libertés pouvant nuire à leur compliance.

A la suite de notre article « Editeurs, proposez-vous des habilitations RGPD compliant ? », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter la compliance informatique et libertés.

Dans cette série, notre présent article s’intéresse aux zones libres ou zones de commentaires libres.

RGPD monitoring des zones libres : gérer ces zones de commentaires à risque

Le RGPD impose aux responsables de traitement d’adopter, concernant la mise en œuvre de leurs traitements, une démarche de protection dès la conception et de sécurité par défaut. Mais il impose également le principe de responsabilité.

Dans ce nouveau paradigme, où le responsable de traitement se doit de démontrer qu’il a mis en œuvre des politiques et procédures permettant de s’assurer du respect des contraintes Informatique et libertés, un besoin pressant d’outils de monitoring et de contrôle se fait jour.

Dans ce contexte, les éditeurs de logiciels, s’ils veulent être sélectionnés par les responsables de traitement, vont devoir intégrer dans leurs offres des modules leur permettant de respecter leurs obligations en matière de protection des données.

Les outils RGPD monitoring des zones libres sont nécessaires à la compliance

En tant que zones à risques de compliance, les zones libres ou de commentaires libres requièrent des outils de monitoring.

En effet, les zones de commentaires libres présentent des risques au regard de la vie privée puisqu’elles permettent la saisie d’informations qui ne sont, ni adéquates et pertinentes, ni non-excessives (Cnil, Délib. 2016-370 du 1-12-2016).

Si la responsabilité de la collecte et du traitement de ces données pèse sur le responsable de traitement, il n’en demeure pas moins vrai que l’éditeur qui propose un module RGPD monitoring des zones libres, facilitera le contrôle de ces zones par le responsable de traitement. Parmi les outils que devraient intégrer les éditeurs dans leurs produits figurent :

• Un bandeau d’avertissement à proximité des zones de saisie ;
• Un process de monitoring et de filtrage consistant à remplacer, à priori ou à posteriori, les mots interdits ;
• Un dictionnaire de mots interdits ;
• Un outil d’analyse sémantique qui fonctionne sur la base d’un dictionnaire, et un outil d’administration de l’outil d’analyse ;
• Une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.

Ces outils ne sont que des exemples de ceux qui devraient être intégrés dans les logiciels. Ils ne sont pas exhaustifs mais représentent un minimum pour permettre aux responsables de traitement faisant l’acquisition d’un logiciel ayant un module RGPD monitoring des zones libres, de gérer ces zones à risque. Bien évidemment, le responsable de traitement devra accompagner ces outils d’audits réguliers ainsi que d’actions de sensibilisation et de formation afin de responsabiliser ses utilisateurs.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

1) Délibération Cnil n° 2017-015 du 19-1-2017 autorisant la Direction des Services Départementaux de l’Education Nationale de Meurthe-et-Moselle à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi de l’absentéisme scolaire.

L’Acsel organise, le 10 mai 2017, en partenariat avec le Barreau de Paris, un colloque sur le Règlement Data Protection.

Le Règlement européen 2016/679 sur la protection des données du 27 avril 2016, dit Règlement général « Data Protection » (RGDP), dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne le 25 mai 2018, va profondément modifier les règles applicables à l’environnement digital des entreprises.

Le compte à rebours a commencé : celles-ci vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés, sous peine de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

Une chose est certaine : dans un monde hyper connecté et à quasiment un an jour pour jour de l’entrée en vigueur ce Règlement, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises, lesquelles doivent tout mettre en œuvre pour se mettre en conformité, compte tenu des sanctions encourues.

Autant d’enjeux qui seront abordés le 10 mai 2017, à la Maison du Barreau, dans le cadre de cette seconde Grande matinée juridique de l’Acsel, le Hub de la transformation digitale, organisée en partenariat avec la Commission ouverte Marchés émergents, audiovisuel et numérique du Barreau de Paris, à travers trois tables rondes.

CIL / DPO : un nouvel acteur de la protection des données

Le RGDP crée le Data Protection Officer (DPO), nouvel acteur essentiel des données personnelles. Traduit dans la version française du Règlement en « délégué à la protection des données », le DPO se voit doté de compétences élargies par rapport au Correspondant Informatique et Libertés (CIL). Dans quel cas la désignation d’un DPO est-elle impérative ? Quels critères président à sa désignation ? Quelle est l’étendue des missions qui lui sont dévolues ? Quel degré de compétences requis au regard du large spectre couvert par ses missions ? Une chose est sûre : la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD.

Nouveaux droits, nouvelles obligations

Le RGDP consacre de nouveaux concepts et impose aux entreprises de « disrupter » leurs pratiques et de revoir leur politique de conformité Informatique et Libertés. Si les formalités administratives sont simplifiées, les obligations sont renforcées pour assurer une meilleure protection des données personnelles : démarche de « Protection by design » et de « Protection by default », règles d’accountability, étude d’impact avant mise en œuvre de certains traitements, nouveaux droits fondamentaux des personnes (droit à l’oubli et à la portabilité des données…).

Les obligations en termes de sécurité

Le RGDP consacre l’obligation d’assurer la « Protection by default » des données à caractère personnel. Cette règle impose aux organismes de disposer d’un système d’information ayant les fonctionnalités minimales requises en matière de sécurité à toutes les étapes. En outre, la sécurité du système d’information doit être assurée dans tous ses éléments, physiques ou logiques. Enfin, cette règle implique que l’état de la sécurité du système d’information puisse être connu à tout moment. Quelles sont les exigences requises en la matière ? Quels sont les outils techniques et documentaires à mettre en œuvre afin de s’y conformer ? Comment, de façon générale, identifier les mesures techniques et informationnelles permettant d’être en conformité avec la règle « Protection by default » ?

Avec la participation de (par ordre alphabétique) :

• Céline Avignon, Avocat à la Cour, Directeur du département Publicité et Marketing électronique, cabinet Alain Bensoussan Avocats Lexing ;
• Gérald Bigle, Avocat à la Cour, cabinet Bigle Law Firm, responsable de la Commission ouverte Marchés émergents, audiovisuel et numérique du Barreau de Paris ;
• Jean-Philippe Gaulier, RSSI, Orange ;
• Edouard Geffray, Secrétaire Général de la Cnil ;
• Nicolas Herbreteau, Directeur des relations institutionnelles France, Edenred ;
• Hélène Legras, CIL mutualisé Groupe Areva, Data Protection Officer, Vice-Présidente de l’ADPO ;
• Pedro Lucas, Président de Netplus ;
• Jean Olive, Associé, responsable des activités de cybersécurité (PASSI) et d’Amoa Sécurité, CGI Business Consulting ;
• Amal Taleb, Directrice adjointe des Affaires publiques, SAP, Vice-Présidente du Conseil National du Numérique ;
• André Vidal, Président de la Fédération Eben.

Lieu :

Maison du Barreau, Auditorium Louis-Edmond Pettiti,
2, rue de Harlay
75001 Paris

Date et Horaires :

Mercredi 10 mai 21017, de 9H à 12H

Inscriptions : cliquer ici

Eric Bonnet
Directeur du Département Communication juridique

“General data protection regulation : texts, commentaries & practical guidelines” est publié chez Wolters Kluwer.

Il est rédigé par Alain Bensoussan, Jean-François Henrotte (Lexing Belgique), Marc Gallardo (Lexing Espagne) et Sébastien Fanti (Lexing Suisse).

Le règlement européen sur la protection des données du 27 avril 2016, dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne dans quasiment un an jour pour jour (le 25 mai 2018), marque un tournant dans la régulation des données personnelles (1).

Le compte à rebours a commencé : les entreprises vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés.

A défaut, elles risquent de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

L’enjeu est primordial : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial !

Une chose est certaine : dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises.

C’est la raison pour laquelle il a semblé utile aux membres du réseau international Lexing, fondé par Alain Bensoussan, de brosser un tableau des nouvelles contraintes pesant dans ce domaine sur les entreprises, en publiant en langue anglaise ce premier commentaire, article par article, du règlement 2016/679.

Cette publication s’adresse principalement à tous ceux qui sont concernés par l’application du règlement et la mise en conformité au regard de ses dispositions, en vue de son application en 2018 : juristes d’entreprises, avocats, correspondants informatique et libertés (CIL) délégués à la protection des données (DPO), mais aussi responsables de la sécurité des systèmes d’information (RSSI) et responsables de la conformité.

L’ouvrage a été préfacé par Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) et présidente du Groupe de l’article 29 (G29).

General data protection regulation
Texts, commentaries and practical guidelines
Alain Bensoussan, Jean-François Henrotte, Marc Gallardo, Sébastien Fanti
Prefaced by Isabelle Falque-Pierrotin, Chair of the Article 29 Data Protection Working Party (WP29),
Editions Wolters Kluwer 2017, également disponible en version e-book – 528 p.

Eric Bonnet
Directeur du Département Communication juridique

(1)  Voir déjà « Règlement européen sur la protection des données », par Alain Bensoussan,  Céline Avignon, Virginie Bensoussan-Brulé et Chloé Torres, Larcier, octobre 2016

Le rapport du 22 février 2017 de l’Assemblée nationale (1) prépare l’application du règlement européen en France.

Les nécessaires adaptations de la loi française

C’est avant tout au niveau des sanctions et des pouvoirs accordés à la Cnil que le législateur devra approfondir les modifications déjà amorcées par la loi pour une République numérique.

En effet, si la loi Lemaire avait déjà augmenté le plafond maximal des sanctions pouvant être prononcées par la Cnil (2), elle prévoit surtout qu’à compter du 25 mai 2018, les sanctions entrant dans le champ du règlement européen 2016/679 (RGPD) seront celles prévues par ce dernier. La Cnil pourra donc prononcer des amendes pour un montant maximal de 20 millions d’euros ou 4% du chiffre d’affaires mondial (article 83) (3).

De plus, le RGPD ne limite pas le pouvoir des autorités de contrôle à des sanctions administratives (article 84), mais vise également une série de mesures correctives. Le législateur devra donc déterminer si ces mesures seront prononcées par l’autorité de contrôle ou les juridictions nationales.

Enfin, le règlement souligne, à de nombreuses reprises, l’importance de la coopération des différentes autorités de contrôle, notamment en matière de sanctions. Il prévoit donc de nombreux mécanismes de coopération et de décision. Néanmoins, conscient de la diversité des législations nationales en matière de données personnelles, il ne prévoit aucune disposition procédurale. Ces règles relèveront donc de la seule compétence des Etats membres, qui pourront s’appuyer sur les lignes directrices adoptées par le G29.

De nombreux éléments encore indéfinis

Les Rapporteurs considèrent, tout d’abord, que les avis du G29 seront indispensables pour éviter toute incertitude juridique concernant la définition de certaines notions. C’est notamment le cas de la notion de « risque élevé » qui oblige un responsable de traitement à consulter l’autorité de contrôle avant d’implémenter un traitement de données. De même, les cas où un responsable devra informer les personnes concernées, en cas de violation de données représentant un risque élevé pour leur vie privée, devront être précisés.

Ensuite, il appartiendra aux Etats membres de maintenir ou d’adopter des règles spécifiques pour certains traitements de données. Ainsi, se posera la question de la compatibilité du droit national avec le RGPD concernant les traitements des données de santé, biométriques et génétiques, relatives aux infractions, condamnations et aux mesures de sûreté, au numéro d’identification national et concernant les traitements aux fins d’expression journalistique, artistique et littéraire. Mis à part les données de santé, l’Assemblée nationale considère que les règles actuelles devraient pouvoir être maintenues.

Concernant les données des consommateurs, la loi pour une République numérique prévoit un droit à la portabilité de l’ensemble des données de la personne concernée. Pour les données personnelles, la loi renvoie au régime prévu à l’article 20 du règlement. L’Assemblée nationale considère que la mise en œuvre de ces deux régimes risque de poser des difficultés d’interprétation et demande qu’ils soient clarifiés et mieux articulés dans le cadre d’une future loi.

Enfin, les Rapporteurs se sont posé la question de l’articulation des dispositions nationales et du RGPD à propos des dispositions relatives aux enfants. En effet, concernant le droit à l’effacement accordé aux personnes mineures, le règlement considère que ce droit peut être exercé par une personne entre 13 et 16 ans alors que la loi pour une République numérique fixe la limite d’âge à 18 ans. Néanmoins, le ministère de la Justice considère, en s’appuyant sur l’article 17 du règlement, qu’il serait possible de fixer une condition supplémentaire par rapport au régime prévu. Par conséquent, la limite d’âge de 18 ans devrait être maintenue.

Lexing Alain Bensoussan Avocats

(1) Mme Le Dain et M. Gosselin, Rapport d’information sur « les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française », Doc Ass. nat. n° 4544 du 22-2-2017.
(2) Cnil, « Ce que change la loi pour une République numérique pour la protection des données personnelles« , article du 17-11-2016
(3) Règlement UE 2016/679 du 27-4-2016, Règlement général sur la protection des données, chap. 8, art. 83.

Le cabinet a organisé le 3 mai 2017 un petit-déjeuner débat sur le règlement européen de protection des données : « J – 1 an », animé par Alain Bensoussan.

En 2018, entrera en application le règlement européen de protection des données personnelles. Le compte à rebours s’accélère pour les entreprises.

Elles ont en effet jusqu’au 25 mai 2018 pour repenser la gouvernance actuellement mise en place en matière de protection des données personnelles et déployer de nouvelles actions pour être en conformité dans les délais imposés.

Il s’agira pour les entreprises notamment :

• d’intégrer les concepts de protection des données personnelles dès la conception et par défaut. Ces principes recommandent d’inclure à toute technologie exploitant des données à caractère personnel, des dispositifs techniques de protection des données personnelles dès leur conception, ainsi que des mesures organisationnelles permettant d’anticiper en amont des projets informatiques la problématique de protection des données personnelles ;
• de prendre en compte le principe d’accountability qui impose aux entreprises d’être en mesure de justifier l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité Informatique et libertés ;
• de notifier à la Cnil toute violation de données à caractère personnel ;
• d’introduire la fonction de Data Protection Officer (délégué à la protection) au sein de l’entreprise.

L’enjeu est primordial pour les entreprises : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial réalisé.

A un an de l’entrée en vigueur du règlement européen de protection des données, nous vous proposons, dans le cadre de ce petit-déjeuner débat, de préciser le chemin de route qu’il faut tracer.

Le petit-déjeuner débat a eut lieu de 9h30 à 12h00 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

Le règlement général de protection des données personnelles précise la notion de cotraitance, pertinente pour le cloud.

La notion de responsables conjoints du traitement était esquissée dans la directive 95/46/CE du 24 octobre 1995 (1) sur la protection des données personnelles. Le règlement (« RGPD ») (2) comporte des dispositions beaucoup plus précises, applicables à compter du 25 mai 2018. L’application de ces dispositions pour les services dans le cloud paraît tout indiquée dans plus d’hypothèses que l’on ne pourrait le penser de prime abord.

Cotraitance et cloud-computing : un cas de figure possible

Alors que, classiquement, le prestataire dans le cloud est qualifié de sous-traitant (« data processor »), son client, exploitant les données à caractère personnel est qualifié de responsable du traitement (« data controller »). Le cloud computing vient rebattre les cartes.

Déjà en 2012, dans ses Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (3), la Cnil envisageait un régime de cotraitance (responsabilité conjointe), partant du constat que le prestataire du cloud fixe par lui-même les moyens nécessaires au traitement envisagé de données personnelles (4).

Pour les services de type SaaS, incluant des fonctionnalités métiers, c’est même, d’une certaine manière la finalité du traitement qui serait partagée. Ce dernier point est particulièrement sensible, car, en pratique, certaines sociétés du Cloud prétendent en apparence ne fournir qu’un service d’hébergement managé (de type IaaS), et se réservent pourtant dans les conditions d’utilisation de leurs services le droit d’accéder aux données et effectuer leur propre traitement.

Sous l’empire du RGPD, l’analyse de la Cnil ne s’appliquera que d’autant mieux qu’il est prévu, à l’article 26 du règlement, une définition claire de la notion de responsable conjoint du traitement. Ledit article précise que ces « responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement » et en particulier :

• le point de contact pour la personne physique concernée par le traitement ;
• la communication des informations visées aux articles 13 et 14 du RGPD.

C’est par contrat que ces exigences de transparence doivent se concrétiser (article 26§2).

Cotraitance et contrat : les principales dispositions

L’accord visé dans le RGPD doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées (« data subjects »).
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la cotraitance pourront notamment se présenter comme suit :

• un article « finalité » fixant la ou les finalités du traitement partagées totalement ou partiellement entre les parties ;
• l’article « moyens » précise les mesures techniques et organisationnelles pour effectuer le ou les traitements conformément au règlement avec maintien en conditions opérationnelles (« accountability »), ainsi que le partage, le cas échéant, des responsabilités techniques à ce titre ;
• l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique convenue des parties, outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
• l’article « point de contact » et « information de la personne concernée » va préciser qui, vis-à-vis de cette personne, va effectivement lui répondre et s’assurer du respect effectif de ses droits ;
• les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
• l’article « confidentialité » ne doit pas concerner seulement les propres salariés de chacun des responsables conjoints du traitement mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par l’une ou l’autre des parties ;
• la localisation des données et les responsabilités respectives en découlant, en cas de traitement transfrontières ;
• le partage des risques et de la responsabilité entre les responsables conjoints, étant précisé que vis-à-vis de la personne concernée la responsabilité de chacun des responsables conjoints est solidaire (art. 26§3 du règlement) ;
• des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Au-delà de l’hypothèse du cloud computing, la notion de cotraitance (responsabilité conjointe) au sens du RGPD peut également être pertinente pour les échanges de données entre sociétés d’un même groupe ou appartenant à un même réseau de distribution.

Eric Le Quellenec
Lexing Droit Informatique

(1) Directive 95/46/CE du 24-10-1995, art. 2 d)
(2) Règlement 2016/679 du 27-4-2016
(3) Cnil, Recommandations, page 6
(4) Post du 23-7-2013

Les lignes directrices du G29 viennent clarifier le champ d’application du nouveau droit à la portabilité.

Le règlement général sur la protection des données est en effet venu renforcer les droits des personnes sur leurs données personnelles, notamment en consacrant un nouveau droit à la portabilité (1).

Ce nouveau droit, en témoignent les contributions effectuées à l’occasion de la consultation publique lancée par la Cnil en juin 2016 sur le RGPD (2), suscite de nombreuses interrogations tant sur son champ d’application que sur les conséquences de la mise en œuvre de ce droit pour les entreprises en termes de charges financière et organisationnelle mais également de concurrence.

L’objectif affirmé de ce nouveau droit est le renforcement du contrôle exercé par les personnes concernées sur leurs propres données en leur permettant de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il s’agit en particulier de faciliter, pour les personnes, le changement de prestataires de services.

Le groupe de l’article 29, dans ses lignes directrices du 13 décembre 2016 (3), vient clarifier les dispositions de l’article 20 du RGPD mais tente également d’apporter des précisions sur la mise en œuvre pratique de ce droit.

Principales caractéristiques du droit à la portabilité

Le droit à la portabilité constitue, en premier lieu, le droit, pour la personne concernée à recevoir les données à caractère personnel la concernant traitées par le responsable du traitement.

Ce droit se distingue néanmoins du droit d’accès dont dispose déjà les personnes concernées en ce que cette communication doit s’effectuer dans un format « structuré, couramment utilisé, lisible par machine et interopérable ».

Le droit à la portabilité, c’est également le droit pour la personne concernée de voir transmettre ses données à un autre responsable du traitement.

D’un point de vue plus technique, ceci impliquera pour le responsable du traitement de permettre à la personne concernée de télécharger directement ses données, par exemple via une API, mais encore de lui offrir la possibilité de transmettre directement ses données à un autre responsable du traitement.

En cas de transmission à un autre responsable du traitement, le G29 vient évidemment préciser que le responsable du traitement ayant répondu à la demande de portabilité des données n’est en revanche pas responsable du traitement effectué par la personne concernée ou par le nouveau responsable du traitement.

Le G29 vient préciser que l’exercice de son droit à la portabilité par une personne concernée n’emporte pas de conséquences particulières sur les autres droits de la personne concernée et n’implique, en effet, ni que la personne concernée cesse de bénéficier de son service ni l’effacement de ses données dans les systèmes du responsable du traitement.

Champs d’application du droit à la portabilité

Il convient de préciser que le droit à la portabilité tel qu’issu des dispositions du RGPD ne constitue pas un droit général pour la personne concernée à la portabilité de ses données à caractère personnel.

Traitements concernés. La première des restrictions est la base légale du traitement puisque, pour que la personne concernée puisse se prévaloir d’un droit à la portabilité de ses données, le traitement doit être fondé sur le consentement de la personne concernée ou l’exécution d’un contrat auquel elle est partie. La seconde restriction réside dans le fait que seuls sont concernés les traitements effectués à l’aide de procédés automatisés à l’exclusion des dossiers papiers.

Données concernées. Seules sont concernées les données à caractère personnel se reportant à la personne concernée et qui ont été communiquées par elle au responsable du traitement. Toutefois, les précisions et les illustrations données par le G29 tendent vers une interprétation relativement large des données concernées.

Concernant la notion de « données concernant la personne concernée », il considère même que les données qui ont fait l’objet d’une pseudonymisation sont visées. De même, dans le cas où un ensemble de données concernant la personne concernée implique également des données relatives à des tiers, l’ensemble de ces données devra être communiqué.

Pour ce qui est de l’interprétation de la notion de « données communiquées par elle », il s’agit des données que la personne concernée a transmises mais également des données générées et collectées à partir de ses activités et en particulier de par l’utilisation du service fourni par le responsable du traitement.

Ainsi, il peut s’agir de données qui ne sont pas consciemment transmises par la personne concernée comme par exemple les logs de connexion ou l’historique d’une transaction. Sont en revanche exclues, les données qui sont dérivées ou déduites des données fournies par la personne concernée car elles ne sont pas fournies par la personne mais générées par le responsable du traitement.

Absence d’atteinte aux droits et libertés des tiers. Enfin, l’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers. Ceci pourrait être le cas si les données concernées par le droit à la portabilité contiennent des données concernant des personnes tiers et qu’elles sont transférées à un autre responsable du traitement alors même que ce tiers n’y a pas consenti. Dans un tel cas, afin d’être en mesure de traiter les données de ce tiers conformément aux exigences du RGPD, il incombera au nouveau responsable du traitement de disposer d’une base légale pour le traitement de ces données comme par exemple l’intérêt légitime.

En raison de cette difficulté liée à la communication de données de tiers par la personne concernée et aux effets négatifs que cela pourrait entraîner, le G29 recommande que les responsables du traitement mettent à disposition de la personne concernée un outil technique lui permettant de sélectionner les données qu’elle souhaite exclure ou communiquer. De même, des mécanismes permettant aux tiers impliqués dans le cadre de l’exercice du droit à la portabilité pourraient être implémentés afin de permettre de recueillir leur consentement à une telle communication de leurs données.

Le G29 précise encore que l’absence d’atteinte aux « droits et libertés des tiers » inclut l’absence d’atteinte au secret des affaires ou aux droits de propriété intellectuelle.

Le droit à la portabilité en pratique

Information de la personne concernée. Conformément aux dispositions du RGPD, la personne devra être informée de l’existence de ses droits, dont son droit à la portabilité de ses données. A cet égard, le G29 recommande aux responsables du traitement d’exposer de manière claire aux personnes concernées les différences existantes entre l’exercice du droit à la portabilité des données de celui du droit d’accès.

Il recommande en sus qu’une information particulière sur le droit à la portabilité des données soit portée à la connaissance de la personne concernée au moment où elle fait part de son souhait de fermer son compte et/ou que soient précisées, par catégories de services, les données nécessaires au bon fonctionnement des services données afin de limiter les risques pour les tiers.

Identification de la personne. Aux termes de l’article 12 de RGPD, le responsable du traitement doit faciliter l’exercice des droits qui sont conférés à la personne concernée, dont le droit à la portabilité. Aussi, si lorsqu’il a des doutes raisonnables quant à l’identité de la personne, il peut demander que lui soient fournies des informations supplémentaires, il peut mettre en place des procédures permettant de s’assurer d’une telle identification, par exemple, par le biais d’identifiant et mot de passe.

Délai de réponse. En principe, le responsable du traitement doit répondre à la demande dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande, ce qui signifie que le responsable du traitement est tenu de fournir une réponse (même un refus) à la personne concernée dans un délai d’un mois. Il ne peut en aucun cas se satisfaire de garder le silence.

Format de la réponse. Les données doivent être communiquées à la personne concernée « dans un format structuré, couramment utilisé et lisible par machine » (1). Si le G29 se reporte aux considérants 58 du RGPD et 21 de la directive 2013/37/EU, il ne formule aucune recommandation spécifique quant au format qu’il conviendrait d’utiliser pour répondre à cette exigence au regard de la diversité des cas susceptibles de se présenter étant précisé que le G29 insiste sur le fait que ce droit à la portabilité ne devrait pas créer d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles mais simplement interopérables. A cet égard, le G29 encourage les parties prenantes du secteur à travailler ensemble afin de garantir une telle interopérabilité.

Sécurité des données. Enfin, le G29 rappelle que, conformément aux dispositions de l’article 12 du RGPD, l’information devra être faite d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Pour ce faire, le G29 considère que le responsable du traitement pourrait mettre à disposition de la personne concernée une API ce qui permettrait à la personne concernée de transmettre directement ses données à un autre responsable du traitement. Le responsable du traitement tenu de garantir une sécurité appropriée des données à caractère personnel, devra s’assurer que tel est bien le cas pour la transmission des données dans le cadre de l’exercice du droit à la portabilité, par exemple par le cryptage des données ou encore le renforcement des mesures d’authentification.

Comme le montrent les lignes directrices du G29, ce nouveau droit à la portabilité nécessite, pour les responsables du traitement, de mener une réflexion pour assurer l’effectivité de ce droit et mettre en place les mesures organisationnelles qui s’imposent.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Règlement (UE) 2016/679 du 27-4-2016 art.20.
(2) Cnil, Consultation publique sur le Règlement européen, Synthèse des contributions
(3) G29, WP 242 16/EN, Guidelines on the right to data portability, 13-12-2016

Le règlement 2016/679 du 27 avril 2016 rend obligatoire la désignation d’un DPO au sein des organismes publics.

Organismes publics concernés

En effet, le règlement (1) à l’article 37 prévoit que « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : (a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ». C’est donc une nouvelle contrainte imposée à tous les organismes publics.

Cependant, le règlement ne définit pas les notions d’ « autorité publique » ou d’ « organisme public ». Le Groupe de travail Article 29 estime que ces notions doivent être interprétées par le droit national ; il reconnaît que ces organismes peuvent exister à plusieurs niveaux :

• au niveau national ;
• au niveau régional ;
• au niveau local.

La seule dérogation prévue par le texte est celle accordée aux juridictions, lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle (1).

Le G29 rappelle qu’une mission de service public peut être exercée, en plus des autorités ou organismes publics, par des personnes physiques ou morales gouvernées par le droit public ou privé. Le G29  fait notamment référence aux secteurs tels que les transports publics, la fourniture d’eau et d’électricité, les infrastructures routières, etc. (2).

Le G29 recommande aux personnes privées en charge de missions de service public de désigner un délégué à la protection des données (abrégé en « DPO », acronyme anglais pour « Data Protection Officer »).

Nécessité d’un DPO public

Le DPO public a, entre autres fonctions, celle d’intermédiaire avec les autorités de contrôle et les personnes concernées. Or, lorsqu’un traitement est mis en œuvre par un organisme public, les personnes concernées par le traitement risquent d’avoir peu ou pas de maîtrise sur la façon dont leurs données sont traitées. Le DPO public offre alors à ces personnes un degré supplémentaire de protection.

Possibilité de mutualiser un DPO public

Le règlement prend en compte la spécificité des organismes publics et leur permet de mutualiser un DPO public :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille» (2).

Cette disposition permet à des organismes publics de se regrouper pour désigner leur DPO public. Un exemple parlant est celui des collectivités territoriales, particulièrement celui des communes. Les communes doivent désigner un DPO pour gérer les traitements de données à caractère personnel qu’elles mettent en place. Des communes dans des situations similaires (géographique, économique etc.) mais également compte tenu de leur structure organisationnelle et de leur taille, pourront avoir intérêt à désigner le même DPO, qui sera plus à même de traiter les problématiques spécifiques aux services publics gérés par ces collectivités territoriales.

Mise en conformité

Les organismes publics doivent se mettre en conformité avec le règlement avant le 25 mai 2018 ; pour ces derniers, la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

(1) Règl. (UE) 2016/679 du 27-4-2016, art. 37
(2) Règl. (UE) 2016/679 du 27-4-2016, art. 37

Céline Avignon a été auditionnée sur les nouvelles normes européennes en matière de data protection.

Le cabinet Lexing Alain Bensoussan Avocats est membre du conseil d’administration de l’Acsel, le hub de la transformation digitale, interface de référence de l’écosystème numérique pour les entreprises, organismes et pouvoirs publics engagés dans la transformation digitale.

Nicolas Hebreteau, administrateur de l’Acsel et Céline Avignon, membre de la commission juridique de l’Acsel et experte en droit de la protection des données personnelles ont été auditionnés par la Commission des lois de l’Assemblée nationale le 24 janvier 2017 sur les incidences du règlement européen relatif à la protection des données personnelles sur la législation française.

A cette occasion, des échanges sont intervenus sur ses impacts sur les organismes publics et les entreprises privées, sa perception par les responsables de traitements, ainsi que sur les principales questions qu’il pose.

L’audition était menée par Madame Anne-Yvonne Le Dain, présidente-rapporteure de la mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, et Monsieur Philippe Gosselin, vice-président-rapporteur.

Retrouvez ces échanges sur le site de l’Assemblée nationale, ainsi que sur celui de l’Acsel.

Eric Bonnet
Directeur du Département Communication juridique

Le cabinet a organisé le 24 janvier 2017 un petit-déjeuner débat sur le thème : « Règlement européen Data Protection : quelle place pour la certification ?  »

Ce débat a été animé par Alain Bensoussan, Hélène Legras, CIL mutualisé/ Data Protection Officer Groupe Areva, Vice-Présidente de l’ADPO, Philippe Lanternier, Chief development officer et Laurent Midrier, Vice President Strategy & Innovation, Bureau Veritas, qui débattront de la place faite par le nouveau règlement européen 2016/679 à la certification en matière de protection des données à caractère personnel.

De 9H00 à 11H30 (accueil café à 9H00)

Les entreprises, et particulièrement les grands groupes, ont d’ores et déjà intégré à leur politique de compliance les obligations découlant du règlement du 27 avril 2016, et le nécessaire redéploiement de nouvelles actions qu’il implique pour se mettre en conformité d’ici mai 2018.

Pour autant, le monde économique est demandeur d’une méthode lui permettant de se mettre en conformité avec la nouvelle réglementation et dans l’attente d’une norme qui lui permettra de traduire en pratique les contraintes nouvelles nées du règlement.

Quelle place pour la certification en matière de protection des données ? Quid d’un référentiel dédié à la protection des données personnelles ?

Autant de questions qui ont été abordées lors de ce petit-déjeuner débat qui a eu lieu dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

La vidéo de l’événement est diffusée sur notre Chaîne Lexing YouTube.

La loi Lemaire renforce la protection des données personnelles et anticipe le règlement européen 2016/679.

Le chapitre 2 de la loi pour une République numérique, dite « loi Lemaire » (1), est consacré à la protection de la vie privée en ligne et comprend un certain nombre de dispositions qui viennent modifier la loi Informatique et libertés (2) et anticiper l’applicabilité du règlement européen 2016/679 sur la protection des données (3).

Consécration de la notion d’empowerment

La loi Lemaire vient modifier l’article 1er de la loi Informatique et libertés en ajoutant que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Il est important de relever que ce droit est visé dans le même article que l’identité humaine, les droits de l’homme, la vie privée, les libertés individuelles ou publiques.

En conséquence, ce droit figure parmi ceux pour lesquels la formation restreinte de la Cnil, saisie par le président de la Commission, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat et après une procédure contradictoire notamment ,décider de l’interruption de la mise en œuvre du traitement pour une durée maximale de trois mois ou encore prononcer un avertissement visé au 1° du I de l’article 45 de la loi Informatique et libertés.

Consécration par la loi Lemaire du droit à la portabilité des données

La loi Lemaire vient insérer dans le Code de la consommation un nouveau droit du consommateur à la récupération et à la portabilité de ses données. Ce droit, tel qu’il est prévu dans la loi pour une République numérique, s’il anticipe les dispositions de l’article 20 du règlement européen qui crée un « droit à la portabilité des données » pour les personnes concernées, est plus étendu en ce qu’il ne concerne pas uniquement les données personnelles.

En effet, la loi Lemaire crée, en sus, une nouvelle obligation incombant aux fournisseurs de services de communication en ligne de proposer au consommateur une fonctionnalité gratuite permettant la récupération des données suivantes :

• tous les fichiers mis en ligne par le consommateur ;
• toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause. Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ;
• les autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes :
  • ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
  • l’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services.

En revanche, ce droit à la portabilité de la loi Lemaire n’entrera en vigueur qu’à compter du 25 mai 2018, date d’entrée en vigueur du règlement européen 2016/679.

Droit des personnes décédées

Face à la multitude de données persistantes sur le web, en particulier sur les réseaux sociaux, la loi Lemaire, si elle prévoit que les droits d’accès, d’opposition, d’interrogation et de rectification s’éteignent au décès de leur titulaire, intègre néanmoins la possibilité pour les personnes d’organiser la gestion de leurs données en ligne une fois qu’elles seront décédées.

Ainsi, elle octroie la possibilité, pour toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès.

Ses choix pourraient être enregistrés auprès d’un tiers de confiance certifié par la Cnil ou du responsable du traitement concerné, selon que les données seront générales ou particulières. La personne concernée pourra encore désigner une personne chargée de l’exécution de ses directives.

Par ailleurs, les prestataires de service de communication en ligne devront informer l’utilisateur du sort de ses données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu’il désigne.

Consécration du droit à l’oubli numérique des mineurs

La loi Lemaire insère au sein de la loi Informatique et libertés un droit à l’oubli spécifique des mineurs et une procédure dédiée accélérée (un mois à compter de la demande) pour l’exercice et la prise en compte de ce droit lorsque ses données ont été collectées dans le cadre de l’offre de service de la société de l’information.

Dès lors, les plateformes web (en ce incluant les réseaux sociaux, les moteurs de recherche ou encore les plateformes d’échanges en ligne) devront agir dans les meilleurs délais pour procéder à l’effacement des données concernées dès lors qu’elles concernent des personnes mineures au jour de la collecte.

Renforcement de l’information des personnes concernées

La loi pour une République numérique vient ajouter aux informations devant d’ores et déjà être portées à la connaissance des personnes concernées, aux termes de l’article 32 de la loi Informatique et libertés (2), l’obligation, pour le responsable du traitement, d’informer de l’existence d’un droit, pour la personne concernée, à définir des directives relatives au sort de ses données à caractère personnel après sa mort.

Ce droit concerne également la durée de conservation des données traitées ou, en cas d’impossibilité, les critères utilisés permettant de déterminer cette durée.

Toutefois, en ne sélectionnant que ces informations, la loi Lemaire ne reprend pas toutes les nouvelles exigences d’information posées par le règlement européen.

Facilitation de l’exercice des droits des personnes concernées

La loi Lemaire prévoit encore que, sauf dans le cas des traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat intéressant la sûreté de l’Etat, la défense ou la sécurité publique, le responsable du traitement  devra donner la possibilité à la personne concernée d’exercer ses droits par voie électronique, dès lors qu’il aura collecté les données personnelles de manière électronique.

L’abrogation de cet article est d’ores et déjà prévue pour le 25 mai 2018, date à laquelle le règlement européen sera applicable, dans la mesure où il prévoit lui-même, à son article 12, que lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

Pouvoir de sanction de la Cnil renforcé

Alors que le plafond maximal des sanctions pécuniaires pouvant être prononcées par la Cnil était de 150 000 euros, il passe avec la loi pour une République numérique à 3 millions d’euros pour une anticipation « intermédiaire » sur l’augmentation du plafond du montant des sanctions prévues par le règlement européen qui prévoit un montant pouvant atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

Elargissement des missions de la Cnil

La loi Lemaire prévoit la saisine de la Cnil pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des données à caractère personnel ou au traitement de telles données.

La loi pour une République numérique prévoit également la publicité systématique des avis de la Cnil sur ces projets de texte.

De même, la Cnil se voit investie d’une nouvelle mission de certifier, homologuer et publier des référentiels ou des méthodologies aux fins de certification des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation.

Coopération renforcée entre les autorités en interne

La loi pour une République numérique prévoit la possibilité d’une saisine réciproque de la Cnil et de l’Autorité de régulation des communications électroniques et des postes (Arcep) pour toute question concernant leurs domaines d’intervention respectifs.

Coopération renforcée entre les autorités européennes de protection des données

La loi Lemaire prévoit enfin que la Cnil pourra, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un État non membre de l’Union européenne, dès lors que le pays offre un niveau de protection adéquat, procéder à des opérations de contrôle et lui communiquer les informations qu’elle recueille ou qu’elle détient.

Pour ce faire, elle devra préalablement conclure une convention organisant ses relations avec l’autorité en question.

La loi Lemaire permet donc à la réglementation Informatique et libertés française de faire un premier pas vers le renforcement de la protection des données à caractère personnel et des missions de la Cnil par anticipation du règlement 2016/679 qui sera d’application immédiate dès le 25 mai 2018.

Les organismes responsables du traitement doivent reprendre les modifications apportées par la loi Lemaire pour identifier un plan d’actions de mise en conformité. Ces modifications doivent être intégrées dans la road map de mise en conformité au règlement européen. Les dispositions d’application immédiate de la loi Lemaire doivent être gérées en priorité.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(2) Loi 78-17 du 6-1-1978, art. 32.
(3) Règlement (UE) 2016/679 du 27-4-2016.

Deux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.

La nouvelle réglementation introduit pour toute l’Union européenne de nouveaux standards qui renforcent la protection des données personnelles (1). Alors que la sécurité et la confidentialité des données est déjà un enjeu majeur pour le cloud computing, deux projets de normes ISO doivent permettre de relever le défi de la « compliance » ou conformité.

Norme ISO 29134 (2) sur les études d’impact et les données personnelles dans le cloud : le nouveau règlement européen contribue à l’adoption de projets de normes ISO

L’analyse d’impact est la grande innovation de l’article 35 règlement (3). Le responsable de traitement, ici le client du service cloud, doit effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le projet de nouvelle norme vise à établir une méthodologie pour la mise en œuvre des « privacy impact assessment » ou PII. Cette norme devrait permettre de fixer la trame de ces études d’impact afin de réduire les divergences d’approche et en améliorer la qualité.

Norme ISO 29151 (4) pour mieux responsabiliser les acteurs du cloud computing : les projets de normes ISO dans le cloud couvrent l’intégralité du cycle de vie de la donnée

Ce projet de norme vient directement en complément de la norme 27018 (5) qui a constitué une avancée majeure portée par plusieurs grands acteurs du cloud pour la transparence sur la localisation des données personnelles et la manière dont elles sont traitées. L’apport du projet de nouvelle norme est, dans le cadre d’études d’impact, de couvrir l’ensemble du traitement réalisé dans le cloud. De la collecte jusqu’à la destruction des données, l’ensemble du cycle de vie des données est concerné. L’objectif est de mieux responsabiliser les acteurs intermédiaires, sous-traitants et autres prestataires de service pour améliorer la confiance dans le cloud.

Dans tous les cas, après leur adoption et publication, la mise en œuvre de ces deux projets de normes ISO ne saurait suffire pour pouvoir se déclarer conforme à la réglementation sur les données personnelles. Il s’agit simplement de normes rassemblant des bonnes pratiques permettant d’atteindre cet objectif de conformité. C’est déjà beaucoup mais cela ne dispense pas non plus de prévoir des engagements fermes par contrat, notamment au moyen d’annexes circonstanciées.

Eric Le Quellenec
Avocat, Directeur de département Informatique conseil
Lexing Pôle Informatique conseil

(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Projet de norme ISO 29134.
(3) Post du 13-6-2016.
(4) Projet de norme ISO 29151.
(5) Post du 26-1-2015.

Quel impact le règlement européen sur la protection des données a-t-il sur l’hébergement agréé des données de santé ?

Nouvelles obligations pour les sous-traitants

Le règlement européen sur la protection des données, adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement (1), la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé, agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

• le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
• la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement (art. 30) ;
• la coopération avec l’autorité de contrôle (art. 31) ;
• la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
• la notification au responsable de traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
• la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
• le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

• réalisation de traitement uniquement sur instructions du responsable de traitement ;
• engagement du personnel tenu, par convention ou par obligation légale, à la confidentialité ;
• réalisation des mesures nécessaires de sécurité ;
• demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
• création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
• aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations de données personnelles, analyse d’impact, consultation préalable) ;
• suppression ou renvoi des données au terme de la prestation ;
• mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Règlement : ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations de données personnelles, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification des violations de données personnelles, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du nouveau règlement européen, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4- 2016.
(2) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(3) CSP, art. L1111-8 et R1111-9 et suivants.
(4) L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :
(a) traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
(b) en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
(c) en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).
(5) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.

Le cabinet Alain Bensoussan organise en partenariat avec Le Cercle de la Compliance une conférence sur la Data privacy : « Tout comprendre à la protection des données personnelles » le 29 septembre.

La nouvelle réglementation européenne Data privacy

La nouvelle réglementation européenne sur la protection des données exige des entreprises de concevoir et de mettre en œuvre un programme de compliance spécifique à la protection des données gérées par l’entreprise.

Cette règlementation, comporte des exigences beaucoup plus strictes, un renforcement des pouvoirs des autorités de contrôle et des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise. Elle donne également l’opportunité aux entreprises d’intégrer le respect de la confidentialité des données dans leurs stratégies tant commerciale que de transformation numérique. De plus, elle leur permet de libérer leur potentiel d’innovation des produits et des services et également de renforcer la confiance dans l’écosystème numérique.

Maitre Alain Bensoussan et Bojana Bellamy, Présidente du Centre for Information Policy Leadership à Londres analyseront les toutes dernières évolutions en matière de Data Privacy.

La Compliance en matière de Data privacy

La compliance tire ses sources non seulement des lois (nationales, européennes et internationales) mais aussi de conventions ou de textes, selon le secteur de l’activité de l’entreprise.

Elle vise des domaines divers et variés tels que les règles applicables en matière de concurrence, le respect des conditions de travail, la gestion des actifs immatériels, la responsabilité sociale de l’entreprise (RSE), mais également la protection des données à caractère personnel.

Le Cercle de la Compliance (LCDC) a pour mission de promouvoir, publier, conseiller, former et sensibiliser les acteurs du monde économique, politique et médiatique à la Compliance, à l’éthique des affaires, à la conformité, notamment dans le contexte de la responsabilité sociétale et environnementale (RSE). L’association est animée par la volonté d’apporter des éclairages précis et des réponses pratiques et opérationnelles sur les questions clés de compliance.

Le Cercle de la Compliance est présidé par Monsieur Daniel Tricot Ancien Président de la chambre commerciale, financière et économique de la Cour de Cassation et Catherine Delhaye, Chief Ethics and Compliance officer de Valeo et Secrétaire générale du Cercle De la Compliance.

Inscription et renseignement sur : www.cercledelacompliance.com

Les formalités préalables relatives aux données de santé sont-elles simplifiées par le règlement européen ?

Le règlement européen  sur la protection des données à caractère personnel (1), adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

Protection des données, analyse d’impact et consultation préalable

L’article 35 du règlement européen met en place, dans l’optique d’une responsabilisation des responsables de traitement et des sous-traitants, une « analyse d’impact relative à la protection des données ».

Cette analyse doit être menée au préalable par le responsable de traitement pour tout type de traitement qui, « en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

L’autorité de contrôle, en France la Cnil, doit publier une liste de types d’opérations de traitement pour lesquels une analyse d’impact est requise et a la possibilité de publier une liste de types d’opérations de traitement pour lesquels aucune analyse d’impact n’est requise.

Les traitements opérés en application d’une obligation légale, en exécution d’une mission d’intérêt public, ou relevant de l’exercice de l’autorité publique, si la base juridique est issue du droit de l’Union ou d’un Etat membre, ne sont pas soumis à une analyse d’impact préalable.

L’article 36 du règlement européen impose une consultation préalable de l’autorité de contrôle par le responsable de traitement « lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

Le règlement laisse la possibilité aux Etats membres d’exiger que le responsable de traitement consulte l’autorité de contrôle et obtienne son autorisation préalable en ce qui concerne le traitement effectué dans le cadre d’une mission d’intérêt public, y compris dans le cadre de la protection sociale ou de la santé publique.

Ainsi, le droit national pourra maintenir un régime d’autorisation en matière de santé.

Difficultés d’interprétation

La Cnil a lancé le 16 juin 2016 une première consultation (2) sur quatre thèmes inscrits au plan d’action 2016 du G29 (3), dont les « études d’impact sur la vie privée ».

Les diverses contributions doivent permettre d’alimenter le travail du G29, chargé d’établir des lignes directrices. Le 19 juillet 2016, la consultation fut close avec 225 contributeurs, 540 contributions, 994 votes (4).

En effet, ces exigences de réaliser une analyse d’impact ou une consultation préalable ont suscité et suscitent toujours de nombreuses interrogations de la part des responsables de traitement.

Que signifie « un risque élevé » ? Comment comprendre « traitements à grande échelle » ? Quels critères, quelle méthode appliquer pour réaliser l’analyse d’impact ? Est-ce que le caractère sensible des données (ex. données de santé) serait un critère déterminant pour décider de réaliser une analyse d’impact ? Une consultation préalable de l’autorité de contrôle serait-elle nécessaire ? Quels rôles jouent les différents acteurs dans cette analyse d’impact ?

L’établissement de listes répertoriant les types d’opérations de traitement nécessitant ou non une analyse d’impact facilitera sans doute la tâche des responsables de traitement, notamment pour les données de santé à caractère personnel.

Impact sur les formalités

En outre, au fil des ans, des formalités simplifiées ont été mises en place par la Cnil avec notamment des normes simplifiées, pour les pharmacies ou les opticiens, mais également des méthodologies de référence dans le cadre de recherche dans le domaine de la santé.

Une simple déclaration de conformité était nécessaire au responsable de traitement pour réaliser ces traitements. Avec le règlement, une analyse d’impact pourrait être sans doute nécessaire, ce qui représenterait une charge plus lourde.

Autant de questions, de précisions, d’interprétations, sur lesquels devra se pencher le G29 afin de permettre une application harmonisée du règlement en matière de santé.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Cnil, Consultation sur le règlement européen : aidez-nous à construire le mode d’emploi opérationnel, 16-6-2016.
(3) WP29, Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR), 2 February 2016 (anglais).
(4) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.

Interviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous présente le rôle et les fonctions du « Data Protection Officer ».

Qu’est-ce qu’un Data Protection Officer ?

Le nouveau règlement européen 2016/679 sur la protection des données introduit l’obligation de désigner un « Data Protection Officer » (DPO) ou délégué à la protection des données en charge du contrôle de la conformité des traitements.

Pour Alain Bensoussan, ce nouveau dispositif peut coexister avec l’actuel dispositif des correspondants Informatique et libertés (Cil) pour les organismes qui ne relèveraient pas directement du règlement.

Rappelons qu’aux termes de l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque (1).

A qui est-il rattaché ?

Pour Alain Bensoussan, le Data Protection Officer est un nouveau métier de très haut niveau. Ces compétences sont autant juridiques, techniques, organisationnelles que stratégiques.

Il est en effet désigné sur la base de ses qualités professionnelles « et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37, § 5).

Il doit par ailleurs pouvoir dialoguer avec les directions opérationnelles des aspects techniques relatifs notamment au « Privacy by Design » (protection dès la conception). Pour cette raison, Alain Bensoussan préconise de le rattacher à la direction exécutive de l’organisme. Il existe des cursus de formation (2) (…)

Alain Bensoussan pour IT-expert magazine, « Le Data Protection Officer », le 20-9-2016.

(1) Voir « Le délégué à la protection des données, un Cil renforcé » , Post du 13-6-2016.
(2) Voir également l’Association des Data Protection Officers (ADPO) fondée par Alain Bensoussan Avocats pour aider les DPO dans leurs fonctions.

Dans IT-EXPERT MAGAZINE, Alain Bensoussan aborde l’impact du règlement européen Data protection sur la DSI.Quelles sont les grandes obligations de la DSI en matière de protection des données et les conséquences du non-respect du règlement européen ?

Interviewé par Rémi Jacquet pour IT-expert Magazine, Alain Bensoussan nous expose l’impact du règlement européen de protection des données sur l’activité de la DSI au sein de l’entreprise.

Protection des données : des sanctions sans commune mesure

Le nouveau règlement européen 2016/679 sur la protection des données a un impact considérable sur la Direction des systèmes d’information. Pour Alain Bensoussan, « cela représente deux tiers de droit en plus par rapport à ce qui existait déjà pour la DSI avec la directive 95/46/CE abrogée. Si l’on considère que sur le tiers restant, elle n’en avait appliqué que le quart, on voit l’ampleur de la situation » .

Or aujourd’hui, « le risque encouru représente 20 millions d’euro ou 4 % du chiffres d’affaires mondial réalisés. On est très loin de l’ancien système où il y avait au maximum 150 000 euro et en cas de récidive 300 000 euro » .

Protection des données : de nouvelles obligations

Parmi les nouvelles obligations de la DSI, il y a d’une part celle de se mettre en conformité avec les dispositions de l’ancien système qui demeurent applicables. En effet 80 % de l’ancien système se retrouve dans le nouveau dispositif.

D’autre part, il y a surtout l’obligation d’appliquer le nouveau « paquet » issu du règlement. Il y a notamment le « privacy by design » (protection dès la conception), le « privacy by default » (protection par défaut), le traitement des failles de sécurité et l’accountability (1).

Ces nouvelles obligations entraînent pour la DSI la nécessaire conformité « du début du logiciel, jusqu’à sa mise en oeuvre, en passant par les progiciels, tout doit être conforme au nouveau règlement européen. Or, le logiciel commence dès la première ligne de spécification générale et se  termine à la dernière ligne du dossier de maintenance en passant bien évidemment par le coding » . (…)

Alain Bensoussan pour IT-expert magazine, « La protection des données, le cadre légal », le 18-9-2016.

(1) Voir C. Torres, « Accountability et règlement sur la protection des données » , Post du 19-9-2016.

Parmi les actualités à retenir en cette rentrée dans la Lettre Juristendances Informatique et libertés figurent  notamment :

ARTICLES :

• Accountability et règlement sur la protection des données, C. Torres.
• Norme simplifiée n°48 : modification par la Cnil, C. Avignon.
• Règlement UE protection des données et balance des intérêts (suite), C. Avignon.
• Règlement UE protection des données et balance des intérêts, C. Avignon.
• Cookies : la Cnil surveille les professionnels non éditeurs, V. Bensoussan–Brulé.
• Mettons le cap sur l’approche Privacy by design !, C. Torres, J. Schwartz.
• Des caméras individuelles pour les forces de l’ordre, D. Gazagne, F. Gorriez.
• Le règlement 2016-679 et les technologies : la biométrie, C. Avignon.

OUTILS ET NOUVEAUTES :

• Création de e-Lexing, outils électroniques pour Cil et DPO, C. Torres.
• Règlement européen sur la protection des données : Textes, commentaires et orientations pratiques, Ed. Larcier (à paraître en octobre 2016).
• Failles de sécurité et violation de données personnelles, Collection des MiniLex, Ed. Larcier, juillet 2016.
• Code de la sécurité informatique et télécoms, Collection des Codes métiers Lexing®, Ed. Larcier, juin 2016.

PETITS-DEJEUNERS :

• 27 septembre 2016 : « En compagnie des robots », animé par Alain Bensoussan, Yannis Constantinidès et Jean-Gabriel Ganascia. Inscriptions closes.
• 5 octobre 2016 : « Maîtriser l’impact de la réforme du droit des contrats (2e session) », animé par Jérémy Bensoussan et Jean-François Forgeron. Inscription gratuite en remplissant le formulaire en ligne.

FORMATIONS :

• Catalogue de formations Lexing-Larcier 2016-2017 : Le cabinet propose en partenariat avec le groupe Larcier, les grandes tendances juridiques de l’année 2016 à travers 4 formations exclusives (Renseignements et inscriptions)
• Catalogue de formations inter et intra-entreprise 2016 : Le cabinet a la qualité d’organisme de formation professionnelle depuis 30 ans et dispense de nombreuses formations. Outre ces formations, une formation spécifique peut être réalisée sur demande (Contact : paris@alain-bensoussan.com).

Pour recevoir nos Lettres Juristendances : inscription en ligne.

Lettre Juristendances Informatique et libertés n°71, Sept.-Oct. 2016.

L’accountability est un processus de mise en conformité d’une entreprise à la réglementation Informatique et libertés.

Grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes (1), le responsable du traitement peut s’acquitter de son obligation de rendre des comptes.

L’accountability consiste également en un mécanisme permettant de démontrer l’efficacité des mesures prises et l’effectivité de la protection des données.

Accountability : les acteurs concernés

Le règlement sur la protection des données (RGPD) impose au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés (2).

Accountability : la mise en œuvre

Principe. L’obligation d’accountability implique pour le responsable du traitement :

• de prendre des mesures efficaces et appropriées afin de se conformer au règlement européen ;
• d’apporter la preuve, sur demande de l’autorité de contrôle, que les mesures appropriées ont été prises.

Mise en pratique. Certaines mesures sont décrites dans le règlement général sur la protection des données (3)à savoir notamment :

• l’adoption de règles internes ;
• l’obligation de conserver une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant ;
• la réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées ;
• l’adoption de l’approche « Privacy by design » ;
• la désignation d’un délégué à la protection des données.

L’accountability passe également par un renforcement des pouvoirs de sanction de l’autorité de contrôle.

Synthèse. L’ensemble des obligations découlant du concept d’accountability qui devront être mis en œuvre par les entreprises et organismes publics peuvent se schématiser comme suit :

Chloé Torres
Lexing Informatique et libertés

(1) Chloé Torres, Post du 24-10-2012.
(2) Règlement (UE) 2016/679 du 27-4-2016, art.24
(3) Règlement (UE) 2016/679 du 27-4-2016, art.24

Si l’article 6 du règlement 2016/679 vise comme base légale du traitement les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ce fondement ne pourra être retenu que si le résultat du test de la balance des intérêts le permet (1).

La Cnil a d’ores et déjà dégagé des critères d’appréciation à prendre en compte dans le cadre du test de la balance des intérêts.

Balance des intérêts dans la décision Google

Pour justifier la combinaison des données des utilisateurs de tous ses services, Google (2) a plaidé son intérêt légitime pour garantir aux utilisateurs « la meilleure qualité de service possible ». Le moteur de recherche a soutenu que ses intérêts « convergent avec ceux de l’utilisateur qui souhaite pouvoir utiliser ses services et bénéficier de la meilleure qualité disponible, si bien que, leurs intérêts respectifs se rejoignant, les siens propres ne peuvent qu’être qualifiés de légitimes ».

Si la Cnil a reconnu que « l’amélioration de la qualité de ses services relève incontestablement des intérêts de la société qui peuvent être qualifiés de légitimes au sens de la loi ». Elle relève que « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables ».

Elle en conclut donc que la combinaison d’autant de données « est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée ».

Ainsi, dans le cadre de l’analyse de la balance des intérêts la Cnil considère que si Google a effectivement développé des outils visant à permettre aux utilisateurs d’exercer un contrôle sur la collecte et le traitement de leurs données, « que leur portée et leur présentation ne sont pas de nature à rendre ce contrôle effectif pour l’ensemble des utilisateurs, quel que soit leur statut ».

En outre, la Cnil précise que : « contrairement à ce que soutient la société, les droits dont bénéficient les utilisateurs ne leur confèrent pas un large pouvoir de contrôle sur le principe même, le moment de la fourniture de données et sur la manière dont celle-ci sont utilisées et ne lui permettent (pas) de modifier, restreindre ou mettre un terme au traitement de ses données » pour conclure que la société ne peut se prévaloir, d’un juste équilibre entre son intérêt légitime et les droits fondamentaux de ses utilisateurs.

Balance des intérêts dans la décision Facebook

Dans la décision Facebook (3), la Cnil a également reproché à Facebook de procéder à une combinaison massive de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi informatique et libertés.

Il convient de signaler que la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.

Après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, la Cnil conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où notamment elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

Balance des intérêts : multiplier les garanties et mesures pertinentes

Compte tenu de ce qui précède, les principaux enseignements de la décision Google sont qu’en matière de poursuite d’un intérêt commercial (animation, prospection, etc.), il est nécessaire notamment de multiplier les garanties et mesures pertinentes par le responsable de traitement pour parvenir à faire pencher la balance des intérêts du côté de l’intérêt légitime du responsable :

• Limitation stricte des données traitées ;
• Mesures techniques et organisationnelles pour interdire que les données servent à la prise de décision ou de mesures à l’endroit des personnes (séparation fonctionnelle) ;
• Technique d’anonymisation/pseudonymisation ;
• Agrégation des données ;
• Transparence renforcée ;
• Droit d’opposition général et inconditionnel ;
• Gestion contractuelle ;
• Mécanisme fonctionnel permettant aux clients d’accéder à ses propres données et de les modifier.

Céline Avignon
Lexing Publicité et marketing électronique

(1) Voir notre précédant post du 14-9-2016.
(2) Cnil, Délib. 2016-054, 10-3-2016, Google Inc.
(3) Cnil, Délib. 2016-007, 26-1-2016, Facebook Inc et Facebook Ireland.