Le règlement général sur la protection des données personnelles – communément appelé par ses initiales anglophones GDPR (Nous adopterons quant à nous l'abréviation RGPD) est un enjeu crucial de demain pour les entreprises et les startups. Maître Catherine Chabert intervient sur objetconnecte.com afin d'expliquer les tenants et les aboutissants de ce règlement.
Le règlement général sur la protection des données personnelles (RGPD) est un règlement européen promulgué le 14 avril 2016, qui entrera en vigueur le 25 mai 2018 sur tout le territoire de l'Union européenne. Il concerne toutes les entreprises qui traitent ou hébergent les données à caractère personnel des résidents européens. Catherine Chabert, avocate au Barreau de Lyon, explique les implications du RGPD pour les concepteurs d'objets connectés et leurs prestataires de services.
Pouvez-vous nous rappeler les grands principes du RGPD ?
Tout d'abord, il convient de rappeler que ce règlement est l'aboutissement d'une longue évolution en matière de traitement des données à caractère personnel entamée par la France en 1978 dans le prolongement du scandale provoqué à l'époque par le projet SAFARI (système automatisé pour les fichiers administratifs et le répertoire des individus). Pour rappel, il visait à interconnecter les fichiers de l'administration grâce à un identifiant unique.
C'est la France qui en promulguant la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a impulsé l'énergie et l'intérêt des autres pays européens pour le traitement des données personnelles aboutissant à la première directive européenne sur ce sujet sensible.
Puis, avec l'évolution de l'informatique de concert avec les télécommunications, des objets connectés et du Big Data, il est apparu que les réglementations mises en place n'étaient plus adaptées, qu'il fallait aller plus loin et surtout simplifier.
Le changement le plus important induit par le RGPD est de passer d'un contrôle a priori à un contrôle a posteriori, effectué en autorégulation. Il s'agit véritablement d'un changement de paradigme puisque ce faisant, on responsabilise l'entreprise. Désormais, c'est elle qui, en autorégulation, va devoir faire en sorte que les conditions du traitement qu'elle souhaite réaliser sont conformes aux principes posés.
On retrouve l'esprit des Directives « nouvelle approche » appliqué dans d'autres secteurs (ex : le marquage CE) qui consiste à remettre aux entreprises une liste d'exigences essentielles qu'elles s'engagent à respecter sans que n'intervienne à ce niveau de contrôle préalable.
Ainsi, selon les textes, l'entreprise va devoir instaurer des mécanismes et des procédures internes qui devront lui permettre de démontrer qu‘elle a respecté les règles relatives à la protection des données. C'est que ce que l'on appelle l'accountability.
L'entreprise devra envisager les différentes étapes du traitement qu'elle entend réaliser en pensant au résultat à atteindre en termes de confidentialité de données, de sécurité de données, etc. Le résultat est imposé et non les moyens pour l'atteindre.
En cas de contrôle, l'entreprise devra prouver que dès l'origine, elle avait pris en compte la dimension “protection des données à caractère personnel” et que le traitement mis en œuvre est conforme au RGPD. Cela veut dire que l'entreprise devra raisonner en termes de conformité dès le stade du développement du produit ou du service qu'elle souhaite fournir.
En d'autres termes, le responsable du traitement n'aura plus l'obligation de soumettre le traitement envisagé au contrôle préalable de la CNIL, mais devra en revanche être en mesure de démontrer que le/les traitement(s) qu'il met en œuvre sont conformes au Règlement, et ce à première demande.
Bien entendu, le contrôle a posteriori reste en vigueur.
Il y a donc une responsabilisation des acteurs concernés illustrée par les sanctions particulièrement lourdes prévues. Notons qu'elles peuvent atteindre jusqu'à 20 millions d'euros ou 2 à 4 % du chiffre d'affaires mondial de l'entreprise contrôlée.
En quoi le RGPD concerne-t-il les concepteurs d'objets connectés ?
Comme indiqué précédemment, il faut penser protection et sécurisation des données à caractère personnel d'un projet dès son origine, en intégrant le concept de Privacy By design. Les fabricants et les concepteurs d'objets connectés vont devoir penser à l'impact que le traitement peut avoir sur la vie privée des utilisateurs. Non seulement ils devront y penser, mais devront pouvoir le démontrer et pour ce faire disposer en interne de « cahiers de développement » dans lesquels ils pointeront, ils identifieront toutes les mesures qui permettent d'assurer la protection des données de l'utilisateur dès la création de l'objet et tout au long de son cycle de vie.
De plus, chaque responsable de traitement devra mettre en place les mesures techniques et organisationnelles appropriées permettant d'assurer la traçabilité des données. Chaque fois qu'un fabricant sera informé d'une faille de sécurité concernant son produit, d'un piratage ou de quelque violation que ce soit, il devra en informer l'autorité de contrôle (en France : la CNIL) dans les 72h ainsi que les personnes concernées. Si les consommateurs sont atteints par une fuite de données personnelles après l'obtention d'un objet connecté, la situation est différente d'un constructeur automobile qui rappelle ses modèles. Ce dernier le fait généralement parce que des clients se sont plaints, que le problème est reconnu et qu'il va donc réaliser la mise en conformité des véhicules en circulation. Dans le cas d'un piratage ou d'un vol de données, le renvoi de l'objet connecté est inutile : le méfait a eu lieu et les données sont « dans la nature ». La mise en conformité est réalisée après coup par le biais d'une mise à jour si bien que la prochaine fois le problème ne sera pas rencontré, mais ce qui est fait est fait.
Cela demande une double attention, car un objet connecté est souvent lié à un service. Il faut donc que le service soit conçu en respectant le concept de privacy by design. À défaut, le risque est de rencontrer les problèmes similaires à certaines plateformes de e-commerce qui avaient conservé des données bancaires au-delà des délais impartis, qui ont été victimes d'actes de piratage et qui ont été sévèrement sanctionnées par la CNIL.
Les entreprises sont-elles protégées par ce règlement quand elles se procurent des objets connectés (capteurs, passerelles IoT, etc.) ?
L'entreprise qui a un projet d'utilisation en interne d'un objet connecté va devoir se poser la question du contexte de son utilisation. À cet effet, elle devra identifier le réseau sur lequel vont transiter les données personnelles traitées (réseau interne de l'entreprise, réseau du fournisseur) et les conditions de leur hébergement. C'est à la fois du bon sens et une pré configuration de la nécessité d'étudier en amont l'impact d'un traitement de données personnelles sur les personnes concernées. La confidentialité et la sécurité du traitement des données devront être au cœur de la réflexion.
Par ailleurs, le fournisseur d'objets connectés est soumis à la réglementation européenne et doit s'y conformer, et ce dès la phase de conception de l'objet connecté. Il doit être en mesure d'apporter la preuve d'une telle conformité à ses entreprises clientes, protégées elles aussi par le RGPD.
Cela étant, les obligations du fournisseur n'exonèrent absolument pas l'entreprise cliente de sa responsabilité en matière de traitement de données personnelles.
En qualité de responsable du traitement, il appartient à l'entreprise de respecter les termes du RGPD et si elle décide de s'adresser à un tiers, elle doit s'assurer que ce dernier est également en conformité avec les dispositions du Règlement. Il lui incombera en effet de pouvoir apporter la preuve des démarches qu'elle a effectuées en ce sens. À défaut, elle pourrait se voir opposer une violation du RGPD en tant que responsable du traitement au regard des obligations qui lui incombent dans ses relations avec le fournisseur d'objets connectés.F
En effet, l'objet connecté qui collecte des données est un moyen de traitement apporté par le fournisseur que l'on pourrait alors qualifier de sous-traitant.
L'entreprise qui violerait les dispositions ci-dessus s'expose aux sanctions prévues par la loi sachant que certaines d'entre elles sont pénales et que le RGPD a prévu, comme indiqué plus haut, des sanctions pécuniaires extrêmement importantes.
Par ailleurs, le RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir du responsable du traitement ou de son sous-traitant la réparation du préjudice subi.
Le sous-traitant n'est tenu pour responsable du dommage que s'il n'a pas respecté les obligations qui lui incombent spécifiquement tel que prévu par le RGPD ou s'il a agi en dehors des instructions licites du responsable du traitement.
En présence d'un responsable du traitement et d'un sous-traitant, qui seraient responsables conjointement du dommage causé, chacun sera considéré comme responsable de la totalité du dommage. Après réparation totale, celui qui a indemnisé la victime pourra appeler en garantie son « partenaire » ayant concouru au dommage afin d'obtenir la part de réparation correspondante.
Il convient cependant de noter que le RGPD prévoit une exonération du responsable du traitement ou de son sous-traitant s'il prouve que le fait dommageable ne lui est pas imputable (article 82).
Comment un cabinet d'avocat comme le vôtre peut-il aider les entreprises à se préparer à l'application du RGPD ?
Les entreprises vont devoir se mettre en conformité et pour ce faire mettre en place une procédure interne ayant pour objectif de sensibiliser leur personnel à l'importance de la gestion de ce nouveau domaine. La première chose à faire va consister à réaliser un audit des traitements des données à caractère personnel effectués jusqu'alors. Pour cela, il va falloir repartir de l'état des lieux des traitements effectué et auparavant, vérifier s'ils ont été tous été déclarés à la CNIL, de quelle manière, et quels sont les traitements envisagés pour l'avenir.
Ensuite, il va falloir réaliser l'étude d'impact imposée par le RGPD. Il s'agit d'identifier les effets et les conséquences des traitements sur les données personnelles des utilisateurs d'un objet connecté ou d'un service. Une fois ces deux étapes réalisées, il va falloir procéder à une grande opération d'information et de formation auprès des collaborateurs.
En effet, les implications du RGPD devront être intégrées au quotidien. Sans sensibilisation du personnel, sans formation, rien ne sera fait correctement, car à part le directeur des systèmes d'informations et le directeur opérationnel en charge du traitement concerné,personne ne sera informé et tout continuera comme avant. Une fois l'activité de formation effectuée, il conviendra d'introduire dans l'entreprise des lignes directrices. Un livre blanc peut par exemple être réalisé avec l'assistance d'un cabinet d'avocat spécialisé dans le domaine. Ce guide devra rappeler les grands principes à respecter et les actions à mener au quotidien avec pour objectif de sensibiliser les opérationnels en leur donnant des exemples concrets de bonnes pratiques et de sanctions possibles en cas de non-respect par l'entreprise concernée du fait de son comportement. Il faudra donc écrire des procédures internes nécessaires à l'application du RGPD.
Si des traitements de données personnelles doivent être mis en œuvre par un service, il faudra que le personnel en charge de cette opération bénéficie d'un ‘mode d'emploi” pour ce faire et de la connaissance du réseau de collègues sur lequel il peut s'appuyer pour se faire assister avec bien entendu les modalités d'escalade prévues. Enfin, il faudra prévoir une évaluation des opérations faites afin de pouvoir envisager les modifications et ajustements à effectuer, si nécessaire.
Un autre point important est à prendre en compte : la nomination d'un délégué à la protection des données (DPD). Un cabinet d'avocat peut assister une entreprise à mettre en place ce poste ou dans certains cas faire office de DPD. Faut-il nommer quelqu'un en interne ? Faut-il procéder à un recrutement externe ? Si l'entreprise disposait d'un Correspondant Informatique et Libertés (CIL), faut-il conserver ce poste ou l'abandonner ? Toutes ces questions vont se poser avec acuité. Plus que 9 mois pour être prêts.
Se faire assister par un cabinet d'avocat pour mettre en œuvre cette réglementation européenne dans le temps imparti peut sembler être une solution pertinente.
Contenu proposé.
- Partager l'article :