Publié au journal officiel de l’Union européenne du 4 mai 2016, le nouveau règlement européen sur la protection des données personnelles (RGPD) doit entrer en application le 25 mai prochain[1]. Adopté par le Parlement européen le 14 avril 2016, ce règlement est le résultat de quatre ans de travail. Il représente une étape importante dans la régulation des données personnelles.
L’adoption de ce nouveau texte se veut une réponse pour faire face aux nouveaux enjeux posés par le numérique. En effet, au sein des entreprises (mais pas seulement) les données sont de plus en plus importantes. Ce qui n’est pas sans poser certains risques en termes de sécurité et de légalité. A l’ère du big data, une confidentialité de ces données doit être assurée. La sécurité de ces données sensibles est d’autant plus nécessaire face à la multiplication des attaques informatiques.
Pour faire face à ces nouveaux usages du numérique et dans le but de rendre uniforme le niveau de protection des ressortissants de l’Union, le RGPD a été élaboré. Il vient améliorer les droits personnes concernant l’utilisation de leurs données personnelles notamment par les entreprises. Avec ce nouveau règlement, les organismes qui collectent des données se voient désormais contraint de mettre en place des mesures qui doivent garantir une meilleure protection des données et faciliter l’accès de celles-ci aux usagers concernés[2].
Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier »[3].
On entend par traitement « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction »[4].
Ce texte qui va entrer en vigueur au printemps prochain prend la forme juridique d’un règlement. Par conséquent, il est applicable directement dans l’ensemble des pays membres de l’Union européenne sans qu’une transposition soit nécessaire. Cela signifie que la France comme les autres pays de l’Union sera dans l’obligation de l’appliquer dès son entrée en vigueur.
La nomination d’un délégué à la protection des données personnelles (DPD) ou data protection officer (DPO) est l’une des grandes nouveautés de ce règlement. La pratique qui consiste à désigner un DPO était déjà perceptible dans plusieurs Etats membres de l’Union européenne. Désormais il s’agira d’une obligation applicable de façon uniforme dans tous les Etats membres. Cette fonction va venir remplacer, en France, celle de correspondant informatique et libertés (CIL) qui existait jusqu’alors et qui avait été créée par la loi informatique et libertés de 2004.
Les missions du délégué à la protection des données
Avec cette réforme, la désignation d’un délégué à la protection des données sera obligatoire. Il reviendra aux responsables de traitement (c’est-à-dire l’entreprise qui met en œuvre le fichier) et aux sous-traitants de s’occuper de cette nomination dans 3 cas de figure prévus par les textes :
- Si le traitement est effectué par une autorité publique ou un organisme public :
Le RGPD ne définit pas ce que l’on doit entendre par «une autorité publique ou un organisme public». Il faut se rapporter aux travaux réalisés par le groupe de travail «Article 29» sur la protection des données (« G29 »)[5]. Ainsi, cela englobe les autorités nationales, régionales et locales. Selon les législations nationales applicables cela comprend également une série d’autres organismes de droit public. Les juridictions agissant dans l’exercice de leur fonction juridictionnelle en sont exclues. Le G29 recommande également la désignation d’un DPO pour les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique, un cas de figure fréquent notamment sur le territoire français[6].
- Si les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui impliquent un suivi régulier et systématique à grande échelle des personnes concernées :
Les «activités de base» correspondent aux opérations essentielles à mener pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Cela inclut aussi l’ensemble des activités pour lesquelles le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant[7].
Notons que le RGPD ne définit pas non plus clairement la notion de « suivi régulier et systématique », au mieux il mentionne l’expression « suivi du comportement des personnes concernées »[8]. Ainsi, cela englobe toutes les formes de suivi et de profilage sur internet, y compris à des fins de publicité comportementale. Néanmoins, cela ne se limite pas à l’environnement en ligne[9].
Enfin, pour savoir si le traitement est mis en œuvre « à grande échelle », le G29 recommande de prendre en considération certains facteurs. Il s’agit du nombre de personnes concernées, du volume de données traitées ou encore de l’étendue géographique de l’activité de traitement…
Ainsi, « le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel »[10]. A l’inverse, les« opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé »[11] en font partie.
Par conséquent, on peut parler de traitement à grande échelle dans le cadre de traitement de données effectué par des fournisseurs d’accès à internet ou encore lors de traitement de données à caractère personnel opéré par des moteurs de recherche à des fins de publicité comportementale…[12]
- Si leurs activités principales impliquent de traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions[13].
Hormis ces 3 cas de figure, la désignation n’est pas obligatoire mais est tout de même possible. L’objectif est de faire de ce délégué à la protection des données le grand responsable de la conformité en ce qui concerne la protection des données au sein son organisme[14]. A cette fin, le RGPD lui confère des missions importantes.
En effet, sur le plan opérationnel, il aura notamment pour mission de conseiller et d’informer le responsable de traitement ainsi que les salariés qui réalisent le traitement de données sur les obligations qui leurs incombent. Pour ce faire, il devra donc s’informer sur les nouvelles obligations en la matière et assurer une assistance aux décideurs sur les conséquences des traitements.
D’une manière générale, il lui reviendra de s’assurer de la bonne mise en œuvre et du respect du RGPD mais aussi du droit national sur la protection des données. Cependant, en cas de non-respect du RGPD, le DPO ne sera pas tenu pour personnellement responsable. En effet, le RGPD dispose qu’il revient au responsable du traitement ou au sous-traitant de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément aux dispositions de celui-ci[15]. Autrement dit, le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant et pas du DPO.
Il aura également pour fonction de conseiller son organisme sur la réalisation d’une analyse d’impact (ou PIA : Privacy Impact Assessment) puis de vérifier l’exécution de celle-ci lorsqu’elle est obligatoire[16]. Concrètement, le DPO interviendra avant la mise en place d’un traitement afin d’en analyser les risques éventuels. Il devra aussi conseiller le responsable de traitement afin que les traitements envisagés réalisent leurs objectifs opérationnels dans le respect des règles sur la protection des données à caractère personnel. En l’espèce, son rôle est consultatif dans la mesure le RGPD confie la réalisation de l’analyse d’impact au responsable du traitement[17].
De plus, il doit aussi coopérer avec les autorités de protection des données, ce qui fait de lui le point de contact entre son organisme et l’extérieur sur ce point[18]. En France, c’est avec la CNIL (Commission nationale de l’informatique et des libertés) que le DPO sera en relation. A ce titre, il a notamment l’obligation de notifier à la CNIL la survenance d’une faille de sécurité observée chez le responsable de traitement ou l’un de ses sous-traitants.
Pour assurer ses missions, il doit donc être en mesure d’agir en toute indépendance au sein de son organisme et pouvoir rapporter directement avec le niveau stratégique[19]. A ce titre, le RGPD garantit l’indépendance du DPO dans l’exercice de ses fonctions. Pour assurer la liberté d’action du DPO, il est fortement recommandé de ne pas le choisir « parmi les personnes qui déterminent la finalité et les moyens de traitement des fichiers administrés ni parmi les conseils de l’entreprise ayant pour mission, par exemple, de défendre ses intérêts en cas de contentieux portant sur le sujet »[20].
Pour mener à bien sa fonction, cela implique néanmoins que les ressources ainsi que le temps nécessaires pour accomplir ses missions et entretenir ses connaissances spécialisées dans son domaine lui soient donnés[21].
La désignation du délégué à la protection des données : une fonction qui peut être confiée à l’expert-comptable
Pour choisir un DPO, il faut s’assurer qu’il remplisse des critères tant au niveau des compétences que de l’éthique. En effet, il doit disposer d’un niveau d’expertise à la fois technique et réglementaire qui doit lui permettre de répondre au mieux aux enjeux que posent le traitement et la protection des données. A ce sujet, le RGPD dispose que « le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données »[22].
La fonction de DPO implique donc des connaissances juridiques solides ainsi qu’une bonne compréhension du RGPD. Il se doit aussi de bien connaître l’organisme dans lequel il opère (organisation, systèmes d’information mis en place, place occupée par les données dans l’activité de l’organisme…) et assurer une proximité avec les opérationnels de cette entité afin que ses conseils soient les plus pertinents et les mieux adaptés possibles aux problématiques auxquelles doit faire face l’organisme en question[23].
Le poste de DPO, proche de celui de Correspondant informatique et libertés, en élargit toutefois les attributions. Cet élargissement des missions du DPO est à l’origine du renforcement des compétences attendues de ce dernier notamment en matière juridique. Les CIL déjà en place ont donc vocation à occuper ce poste de DPO. Néanmoins, pour les organismes dépourvus de CIL, l’option choisie va-t-elle être celle d’un recrutement en externe ou bien la formation d’un collaborateur interne ?
Cette question se pose dans la mesure où il est possible d’externaliser cette fonction de DPO en passant un contrat de prestation de services[24]. Cette solution présente des avantages en matière de coût et de gouvernance interne de l’organisme. En effet, il peut être difficile de garantir l’indépendance à un membre à part entière du personnel pour assurer une fonction aussi sensible. L’appel à une personne extérieure à l’organisme en question, c’est à dire non salarié de celui-ci, peut être une solution judicieuse. Ainsi, la possibilité de faire appel à un expert-comptable, compétent en la matière, peut s’avérer efficace.
Il s’agit là pour l’expert-comptable d’une opportunité à saisir. Cela lui permettra de jouer un rôle d’accompagnateur auprès de ses clients pour la mise en conformité de leurs traitements à cette nouvelle réglementation. En effet, si l’expert-comptable collecte les données de ses clients dans le cadre son activité, ces derniers collectent eux aussi les données de leurs clients et sont donc concernés par cette nouvelle réglementation européenne. Qualifié en comptabilité, en système d’information, l’expert-comptable maîtrise aussi la règlementation relative à la protection des données personnelles.
A l’approche de l’entrée en vigueur du RGPD, un phénomène inquiète toutefois. En effet, on voit apparaitre des experts malveillants et sociétés qui se présentent comme labellisées ou mandatées par la CNIL. Ces entités viennent proposer des prestations afin de garantir la conformité d’une activité au RGPD. En réalité, ces derniers ne seraient pas qualifiés, il s’agit d’escroquerie. Pour y faire face, la CNIL a notamment décidé de mettre en place une campagne #StopArnaque afin de sensibiliser le plus grand nombre face à ces démarches malveillantes.
Ce phénomène ne toucherait pas que les petites entreprises. Les responsables de la mise en conformité qui opérent dans les grands groupes seraient également sollicités. Or, comme tient à le rappeler la CNIL : « Dans tous les cas, la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps »[25].
Dans les cas de figure où la désignation d’un DPO est obligatoire, il est important de s’en occuper rapidement afin de permettre à celui-ci de pouvoir piloter le programme de mise en conformité et de préparation au RGPD[26]. En France, cette nomination du DPO se matérialise par une déclaration en ligne auprès de la CNIL.
Les organismes concernés ont ainsi jusqu’au 25 mai 2018 pour se mettre en conformité avec le RGPD. Dans cette optique, un « Guide de recommandations pratiques et applicables pour se mettre en conformité avec le GDPR », élaborée par trois organisations professionnelles (l’AFAI, le Cigref et Tech in France), est notamment à leur disposition. Les autorités compétentes seront en mesure de sanctionner les organismes qui ne respecteraient pas le règlement une fois passé cette date. En France, depuis la loi pour une république numérique du 7 octobre 2016, le plafond maximal des sanctions applicables par la Cnil est passé de 150000 euros à 3 millions d’euros[27].
Au niveau européen, une gradation dans les sanctions applicables est prévue. Les autorités de protection pourront dans un premier temps prononcer un avertissement. Puis, dans un deuxième temps, si l’avertissement est resté sans suite, mettre en demeure l’organisme afin qu’il se mette en conformité avec le règlement. Dernièrement, si la mise en demeure n’est pas suivie d’effet, les autorités compétentes en la matière pourront prononcer des amendes administratives. Ces amendes peuvent aller de 10 à 20 millions d’euros selon la catégorie de l’infraction. Pour les entreprises, les amendes prononcées pourront s’élever de 2 à 4% du chiffre d’affaires annuel mondial[28]. Ces mesures devraient inciter les organismes concernés à s’assurer de leur conformité avec le nouveau règlement européen.
Quant aux organismes qui ne sont pas concernées par l’obligation de nomination d’un DPO, elles peuvent toutefois en nommer un. Le DPO devrait devenir un standard en matière de protection des données dans les années qui viennent. Ce qui laisse penser que ces organismes vont également suivre le mouvement du moins celles qui collectent des données.
En effet, il reviendra désormais à ces organismes de pouvoir apporter à tout moment la preuve qu’elles protègent bien les données personnelles, c’est pourquoi les experts préconisent la nomination d’un DPO[29]. Ainsi, le G29 encourage cette désignation d’un DPO sur une base volontaire[30]. Le cas échéant, l’organisme qui n’est pas tenu par l’obligation légale de désigner un DPO et qui ne souhaite pas non plus en désigner un sur la base du volontariat a toujours la possibilité de recruter du personnel ou faire appel à des consultants extérieurs chargés de missions en lien avec la protection des données à caractère personnel.
Dans ce cas de figure, « il importe de veiller à ce qu’il n’y ait pas de confusion quant à leur titre, leur statut, leur fonction et leurs missions. Ainsi, il convient d’indiquer clairement, dans toute communication au sein de l’entreprise ainsi qu’avec les autorités chargées de la protection des données, les personnes concernées et le public au sens large, que cette personne ou ce consultant ne porte pas le titre de délégué à la protection des données (DPD ) »[31]. Ces précautions sont également valables pour les responsables de la protection de la vie privée (chief privacy officers) ainsi que les autres professionnels en charge des questions de confidentialité qui font déjà partie de certaines entreprises mais qui ne peuvent être considérés ou désignés comme DPO dans la mesure où ils ne respectent pas certains critères établis par le RGPD (en particulier la garantie d’indépendance).
Par conséquent, tout indique qu’en matière de protection des données personnelles le DPO va devenir un acteur clé dans la construction d’une relation de confiance entre l’entreprise, ses salariés, ses clients ainsi que ses fournisseurs[32].
[1] Sur ce sujet, consulter la version annotée du RGPD réalisée par l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)
[2] https://blog.sage.fr/rgpd-impact-experts-comptables/
[3] Règlement général sur la protection des données, Chapitre I, article 2
[4] Règlement général sur la protection des données, Chapitre I, article 4
[5] Le G29 est une organisation qui réunit l’ensemble des CNIL européennes
[6] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p7-8
[7] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p24
[8] Règlement général sur la protection des données, Considérant 24
[9] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p10
[10] Règlement général sur la protection des données, Considérant 91
[11] Ib idem
[12] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p10
[13] Règlement général sur la protection des données, Chapitre IV, Section 3, article 37
[14]https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
[15] Règlement général sur la protection des données, Chapitre IV, Section 1, article 24
[16] Sur l’analyse d’impact, voir https://www.cnil.fr/fr/PIA-privacy-impact-assessment et https://linc.cnil.fr/fr/outil-le-pia-pas-pas?utm_content=buffercac46&utm_medium=social&utm_source=linkedin.com&utm_campaign=buffer
[17] Règlement général sur la protection des données, Chapitre IV, Section 3, article 35
[18] Règlement général sur la protection des données, Chapitre IV, Section 3, article 39
[19] http://www.latribune.fr/opinions/tribunes/donnees-personnelles-le-dpo-nouvel-acteur-de-la-confiance-numerique-751621.html
[20] https://business.lesechos.fr/entrepreneurs/marketing-vente/10669250-portrait-robot-du-delegue-a-la-protection-des-donnees-310136.php
[21] Sur les missions du délégué à la protection des données, consulter la fiche de poste réalisée par l’AFCDP sur le sujet
[22] Règlement général sur la protection des données, Chapitre IV, Section 3, article 37
[23] Ib idem
[24] Un contrat de prestation de services est un contrat qui va permettre d’accomplir diverses prestations de services qui ne sont pas réalisées sous l’empire d’un contrat de travail.
[25] https://www.numerama.com/politique/323257-la-cnil-met-en-garde-attention-aux-experts-rgpd-qui-preparent-des-escroqueries.html
[26] http://www.latribune.fr/opinions/tribunes/donnees-personnelles-le-dpo-nouvel-acteur-de-la-confiance-numerique-751621.html
[27] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 65
[28] Règlement général sur la protection des données, Chapitre VIII, article 82
[29] http://www.daf-mag.fr/Thematique/achats-1033/Dossiers/fiche-metier-fonction-dpo-delegue-protection-donnees-319816/dans-quels-cas-nommer-dpo–319817.htm#luvOl09j7g4xA60b.97
[30] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p5
[31] Lignes directrices concernant les délégués à la protection des données (DPD), Groupe de travail «Article 29» sur la protection des données, p7
[32]http://www.daf-mag.fr/Thematique/droit-fiscalite-1031/Dossiers/rgpd-gdpr-data-protection-point-reglementation-son-impact-dans-entreprises-318525/les-sanctions-encourues-cas-non-respect-rgpd-318531.htm