RGPD

Philosophie & impacts

Ayant repositionné l’émergence du RGPD dans le contexte des 40 dernières années par le biais du premier article, il est désormais temps d’aborder le projet en tant que tel, plus précisément la philosophie l’animant et les évolutions qu’il induira pour de nombreux acteurs.

Pour rappel, le RGPD est un Règlement de l’Union Européenne (UE), impliquant donc une entrée en vigueur immédiate et uniforme pour l’ensemble des pays membres mais offrant un délai de mise en conformité (prenant fin le 25 mai 2018).
Concernant le texte en lui-même, il ne s’agit pas d’un ensemble de préconisations précises de solutions techniques, mais bien d’un éclairage du niveau de protection des données attendu, impliquant un travail continu d’amélioration.
En ce sens, le RGPD définit un socle commun de protection a minima au sein de l’ensemble des États membres et des partenaires de traitement hors UE. De plus, les membres pourront décider d’enrichir ce socle via la législation nationale, mais devront avertir leur Autorité nationale de Protection des Données (APD, la CNIL en France) des projets d’amendements.

Un projet anxiogène
Comme nous avons pu l’observer au travers de l’article précédent, il ne s’agit pas du premier texte de loi en la matière. Cependant, il provoque indéniablement de plus vives réactions parmi les responsables de traitement de données. L’explication principale réside dans la médiatisation extrême qui a été faite des nouvelles sanctions à disposition des APD.

En effet, auparavant, les APD disposaient de simples avertissements qui, cumulés, pouvaient aboutir à des blâmes qui, cumulés, pouvaient éventuellement mener à une amende de quelques milliers à centaines de milliers d’euros. Or, à partir du 25 mai 2018, les plus fortes amendes pourront atteindre 20 millions d’euros ou 4% du chiffre d’affaires global d’une entité.

Bien que cet élément focalise de nombreuses attentions, le RGPD introduit toute une batterie d’exigences représentant des enjeux business et juridiques variés tels que :

  • Sécuriser tant les modes de stockage et de transfert que ceux d’accès aux données
  • Assurer une plus grande transparence de collecte et de notification aux citoyens sur le cycle de vie de leurs données
  • Mener des évaluations d’impact extensives en amont des traitements de données
  • Développer des systèmes de confinement pour pallier les piratages, anomalies et défaillances internes

Mais avant d’étudier les impacts précis pour les différents acteurs de ce sujet, il est nécessaire de présenter la philosophie du RGPD ainsi qu’un ensemble de définitions, particulièrement ce que l’on entend par « données personnelles » leur « traitement » et les entités impliquées dans ledit traitement.

Philosophie du projet
La philosophie sous tendant le RGPD peut être synthétisée en trois axes majeurs :

  • Il harmonise le dispositif légal européen de protection des données

(En instaurant des exigences communes de collecte, d’enregistrement, de traitement, de stockage et de notification des données personnelles).

  • Il renforce les droits des citoyens de l’UE et responsabilise les entités de traitement

(En consacrant plusieurs droits, soutenus par les APD, et en favorisant l’autocontrôle et les bonnes pratiques pour les entités de traitement)

  • Il améliore la collaboration entre APD nationales de l’UE

(En créant une véritable autorité : le Comité Européen de Protection des Données et en dotant les APD d’un arsenal d’injonctions et de sanctions).
Bien entendu, outre cette triple visée, le RGPD répond également à plusieurs autres objectifs comme la simplification de l’environnement législatif pour les entités de traitement, l’adaptation des exigences de protection aux nouveaux risques techniques, ou encore la constitution d’un bloc cohérent permettant de peser sur la scène internationale.

Toutefois, pour qu’harmonisation et mise en cohérence soient effectives, des définitions communes précises sont incontournables. Voyons donc à présent comment le Règlement définit les thèmes principaux au cœur de la protection des données.

Définition des données personnelles
S’il parait évident que le RGPD vise avant tout « la protection des données personnelles », il semble légitime de se demander ce que recouvre cette appellation. En effet, les évolutions techniques et les fragmentations législatives des décennies passées ont conduit à qualifier des informations variées de « données personnelles ».

Le Règlement parle quant à lui de Données à Caractère Personnel (DCP) ou Personally Identifiable Information (PII) et en offre la description suivante :
« Toute information se rapportant à une personne physique identifiée ou identifiable ».
Le texte opère également une distinction entre DCP classiques et DCP sensibles ou critiques :

  • Classiques : noms / adresses (physique, mail, IP) / numéros téléphoniques ou de comptes / cookies …
  • Sensibles ou critiques : santé / génétique / biométrie / ethnie / politique / orientation sexuelle / religion / syndicat / infractions ou sanctions pénales …

Bien entendu les exigences en matière de sécurisation des traitements et d’études de risque préventives sont plus aiguës lorsque des données sensibles sont impliquées.

Définition d’un traitement de données personnelles
Le terme de « traitement » de données personnelles est très régulièrement évoqué. Recouvrant une grande diversité d’actions et de processus, en donner une définition précise se révèle complexe. Pour ce faire, le RGPD décrit un traitement comme :  une opération ou ensemble d’opérations, automatisées ou pas, appliquées à des données ou ensemble de données à caractère personnel.

Derrière cette large définition, une liste d’exemples nous est fournie, regroupant des actions telles que : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de DCP.

Les entités concernées par le RGPD
Certes, nous avons à présent une vision commune de ce que peuvent être une DCP et le traitement de cette dernière, mais quelles sont les entités visées par les mesures du RGPD ?
Autrement dit, qu’est-ce qu’une entité de traitement de données personnelles ?
Pour le Règlement, il s’agit de toute entité collectant ou traitant des données personnelles de citoyens de l’UE, qu’elle soit physiquement implantée en UE ou pas, ainsi que l’ensemble de ses sous-traitants.
Le RGPD touche ainsi les entités privées, publiques ou associatives (ainsi que les sous-traitants) collectant ou traitant des DCP de citoyens de l’UE, selon un principe d’extraterritorialité. Peu importe donc la nationalité ou les implantations d’une entité du moment qu’elle traite de DCP de citoyens de l’UE. Par ailleurs, le texte opère une véritable séparation entre le « Responsable de traitement » (entité qui détermine les finalités et moyens du traitement) et l’éventuel « Sous-traitant » (entité qui traite des DCP pour le compte du responsable de traitement).

Évolution majeure à noter : les sous-traitants sont responsabilisés par le RGPD. Ils ont effectivement une obligation de conseil auprès de leur responsable de traitement, ils doivent l’aider à respecter le Règlement et sont responsables des données qui leurs sont confiées. De même, ils peuvent être ciblés par les sanctions des APD si un manquement ou une violation le justifie.

Des droits renforcés pour les citoyens de l’UE
L’un des enjeux majeurs de la protection des données personnelles réside dans la capacité à donner un contrôle suffisant aux citoyens sur leurs DCP tout en permettant aux techniques et aux entités de traitement de continuer à se développer.

Gardant cet enjeu à l’esprit, le RGPD consacre en son sein un ensemble de droits pour les citoyens de l’UE vis-à-vis de leurs données personnelles :

  • Droit d’accès et de modification

(Les entités doivent mettre à disposition des cibles de leurs collectes un chemin d’accès vers leurs DCP. L’entité doit pouvoir fournir le détail des DCP collectées et de quelle manière ces dernières sont traitées. Elle doit également pouvoir, à la demande de l’intéressé, modifier les DCP collectées.)

  • Droit à l’oubli et à l’effacement

(A la demande d’un citoyen, l’entité doit pouvoir mettre fin au traitement de ses DCP ou les effacer, et faire le nécessaire auprès des sous-traitants ou clouds si transferts de ces données il y a eu.)

  • Droit à la portabilité des données

(Un citoyen peut dans certains cas, lors d’un changement d’opérateur télécom par exemple, demander à transférer tout ou partie de ses DCP d’une entité vers une autre)

  • Droit de notification

(Cet élément impose aux entités de signaler toute atteinte aux données collectées et traitées par leurs services dans les 72h. Ainsi, une violation accidentelle ou illicite de la sécurité devra faire l’objet d’une déclaration publique, ainsi que d’une notification personnelle en cas d’atteinte aux données sensibles de citoyens.)
Bien entendu, des exceptions existent. Toutes les entités de traitement ne sont pas égales et toutes les données ou chaînes de traitement ne présentent pas la même complexité.
Ainsi, en règle générale, si une entité est capable de prouver qu’un traitement ou la conservation d’une donnée est essentielle à son activité, ou est lié à des enjeux de sécurité plus importants, elle peut argumenter en ce sens auprès de l’APD compétente qui demeure arbitre en la matière.
Le RGPD précise également la notion de délai de réponse des entités de traitement à une demande de citoyen de l’UE. Un délai raisonnable correspond donc à 1 mois, bien que celui-ci puisse aller jusqu’à trois mois si preuve est apportée au citoyen que la demande est complexe.

De même pour le droit de notification, le délai peut exceptionnellement dépasser les 72h si l’analyse des traitements ou données impactés est longue, à condition que l’entité ait bel et bien mis en branle un processus officiel d’examen et de confinement.

Évolutions pour les entités de traitement : les process
Les attentes du Règlement en matière de protection des données se matérialisent à travers les concepts de « Privacy by Design » et de « Privacy by Default ». Ces deux éléments sont intimement liés et offrent une lecture des exigences européennes de sécurisation vers lesquelles tendre.

Le Privacy by Design représente une approche définie par Ann Cavoukian (préposée de l’Ontario à la protection des données) en 2012. Il s’agit de baser tout projet de traitement de données sur un corps de lignes directrices visant le plus haut degré de protection, et ce dès la conception.

Ceci passe principalement par :

  • La définition précise des besoins de traitement afin de minimiser en amont la collecte de données et d’offrir une meilleure visibilité sur l’ensemble des processus
  • Placer le consentement et le respect des droits de la cible de la collecte comme éléments préalables incontournables
  • Cartographier finement les rôles et les accès, dans une logique de privilèges a minima
  • Lors de la conception du traitement, positionner par défaut chaque paramètre au degré le plus élevé de sécurité (la sensibilité d’un paramètre pouvant être abaissée a posteriori si cela se justifie mais pas par défaut)
  • Optimiser le traitement, le stockage et la destruction des données pour avoir le maximum de contrôle sur le cycle de vie des traitements

En substance, l’objectif est donc de basculer un set de bonnes pratiques en obligations légales, et de verrouiller le sujet dans une logique proactive et préventive de définition du plus haut niveau de protection par défaut (Privacy by Default) sur tout le cycle de traitement.

Un second élément issu du RGPD va impacter les process de traitement : l’Etude d’Impact Préalable (EIP) ou Privacy Impact Assessment (PIA).

A ce titre, le traitement d’une donnée devra faire l’objet lors de sa conception d’une EIP visant à identifier les risques potentiels liés au traitement de cette donnée (plus particulièrement en cas de piratage, de fuite ou d’anomalie) et de présenter les mesures de confinement prévues.
Ces évolutions d’exigences en termes de process pourront se matérialiser au sein des entités de traitement comme suit :

  • Définir exactement quelles données collecter et pour quelles finalités
  • Définir des accès limités et encadrés, des rôles clairs pour une cartographie et un tracking précis (où et quelles données, comment et qui y accède à quel moment)
  • Définir un registre des traitements sensibles précis, leurs impacts et les mesures adéquates de confinement
  • Automatiser au plus juste les traitements et suppressions pour encadrer le cycle de vie des données

Évolutions pour les entités de traitement : les livrables
Intégrer au mieux ces nouveaux process de traitement nécessitera de la part des entités la production de nouveaux livrables. Parmi ces derniers, le plus attendu est certainement le registre des activités de traitement et de conformité.

Quelles sont ses caractéristiques principales ?

  • Il devra cartographier l’ensemble des traitements effectués par l’entité
  • Il présentera les audits et processus de mise en conformité de l’entité
  • Il contiendra le référentiel de sécurité des traitements
  • Il permettra d’alléger les formalités déclaratives auprès des APD
  • Il sera obligatoire pour les entreprises de plus de 250 salariés (des cas particuliers existent pour les plus petites structures, notamment en cas de traitement de données sensibles)

Ainsi, le registre visera à assurer que les différents traitements respectent bel et bien les nouvelles obligations légales, notamment les durées de conservation des données collectées (les entités devront déterminer au cas par cas, en balançant leurs finalités de traitement et les obligations légales de conservation, quitte à user de systèmes d’archives intermédiaires).

Un autre type de livrable sera l’Étude d’Impact Préalable, précédemment évoquée. En effet, les entités devront pouvoir fournir ces analyses préventives pour démontrer le contrôle et l’encadrement des traitements de données.

Un nouveau poste : le Data Protection Officer
Évidemment, effectuer des audits, analyser les écarts, mettre une entité sur la voie de la conformité, s’assurer qu’elle y demeure et superviser l’ensemble des productions légales passera la plupart du temps par la création d’équipes dédiées et d’une position de chef d’orchestre. Pour ce faire, le RGPD introduit un nouveau poste, celui de Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD).

Un DPO supervise donc pour une ou plusieurs entités la stratégie de protection des données et la conformité avec le Règlement. Ce nouveau poste regroupera toute une batterie d’objectifs tels que :

  • Informer et sensibiliser en interne sur le thème de la protection des données
  • Mener à la mise en conformité et contrôler le respect du RGPD en tenant le registre des activités de traitement
  • Conseiller les entités sur la réalisation d’études d’impact et vérifier leur exécution
  • Coopérer et être le point de contact privilégié des APD

Pour autant, toutes les entités devront-elles se doter d’un DPO ? La réponse est négative. Une telle création dépendra principalement de la nature de l’entité et de ses activités de traitement.

Ainsi, un DPO sera obligatoire pour :

  • Les organismes publics
  • Les entités dont l’activité de base exige un suivi régulier et systématique de données personnelles à grande échelle (assurances, banques…)
  • Les entités dont l’activité de base vise des données sensibles ou critiques (start-up en technologie connectée par exemple)

A noter que pour les petites structures ou les start-up, il sera tout à fait possible de faire appel à des DPO externes partagés entre plusieurs entités.

Évolutions pour les autorités de protection
Ayant passé en revue plusieurs définitions communes ainsi que les impacts du RGPD sur les droits des citoyens et les entités de traitement, il est à présent temps d’étudier les évolutions prévues pour les APD. A ce titre, le Règlement renforce l’action des APD en les dotant d’une structure transnationale, le Comité Européen de la Protection des Données (CEPD) et d’un ensemble de sanctions effectives.

Ces deux éléments combinés permettront aux APD européennes de travailler bien plus efficacement sur les cas transnationaux, de présenter une figure d’autorité unie et d’appuyer les demandes de citoyens européens auprès des entités de traitement.

En effet, elles disposeront désormais d’un arsenal de sanctions graduées, pouvant toucher tant les responsables de traitement que leurs sous-traitants :

  • Émettre des avertissements
  • Adresser des mises en demeure
  • Limiter ou suspendre un traitement
  • Intimer l’exécution de demandes individuelles
  • Infliger des amendes administratives

Concernant les amendes, point de focalisation de nombreux acteurs actuellement, celles-ci pourront effectivement atteindre 10 millions d’euros ou 2% du chiffre d’affaires global d’une entité en cas de manquements avérés, ou atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global en cas de violation.

Exemples de manquements : Exemples de violations :
  • Absence d’Études d’Impact Préventives
  • Absence de DPO obligatoire
  • Manquements à l’obligation de sécurité (Privacy by Design & by Default)
  • Défaut de tenue d’un registre des activités de traitement
  • Absence de notification lors d’atteinte aux données
  • Du principe de consentement des individus ou de leurs droits
  • Manquements à l’obligation de traitement loyal des données
  • Non-respect des règles de transfert de données vers des pays tiers
  • Non-respect de l’injonction d’une APD ou du CEPD


Certifier sa mise en conformité
Une question demeure pour les entités de traitement : comment certifier sa mise en conformité ? L’une des inquiétudes les plus légitimes étant bien entendu de faire l’objet d’une sanction alors que l’on pensait en toute bonne foi avoir verrouillé et mis à jour l’ensemble de ses traitements.

L’un des premiers réflexes pourrait être de chercher à obtenir l’un des labels délivrés par la CNIL. Cette APD propose en effet 4 types de certifications dont une portant sur la gouvernance informatique et liberté. Cependant, ce label seul ne suffit pas à assurer une mise en conformité.

En effet, cette dernière, aussi appelée « Accountability » (soit « obligation de rendre compte ») passe par la mise en place d’actions d’encadrement des traitements et surtout par la capacité à en fournir la preuve auprès d’une APD. Autrement dit, par la tenue d’un registre des activités de traitement irréprochable et exhaustif, rôle qui devrait être dévolu au futur DPO.

Dans les grandes lignes, les équipes chargées de vérifier la mise en conformité devront également balayer :

  • La présence de mentions d’informations, d’accord et de retrait d’accord pour les cibles de collecte, ainsi que la finalité des traitements
  • Offrir un accès et une possibilité d’édition de leurs données aux cibles de collecte
  • Définir des mesures de sécurité adaptées à la sensibilité des traitements
  • Cartographier le Système Informatisé de l’entité ainsi que les fichiers et documents au cœur des traitements pour établir le registre
  • Revoir si besoin est les clauses passées avec les sous-traitants
  • Établir un process de notification rapide en cas de violation des données
  • Établir un process d’Études d’Impact Préalables

En cas de doute, il sera toujours possible à une entité de faire appel à un cabinet de conseil maîtrisant le sujet et ses implications, ou de contacter l’APD de référence afin d’obtenir des conseils et recommandations.

La CNIL a en ce sens plusieurs fois exprimé un objectif plus pédagogique que punitif. Une démonstration de bonne volonté et la mise en place de processus vertueux visant à plus de sécurisation représenteraient donc les éléments premiers recherchés par les autorités.

 

Synthèse

En synthèse, si le RGPD incarne l’actualisation du cadre législatif permettant la coexistence des avancées techniques et de l’exercice des droits et libertés, il offre également une véritable opportunité pour les entités de traitement. En effet, bien qu’un nouveau règlement soit généralement accueilli avec défiance et force soupirs, il est également possible d’envisager de quelle manière l’utiliser comme tremplin ou caisse de résonnance.

Concernant le RGPD, comme nous avons pu le constater, ce texte correspond plus à un ensemble de lignes directrices pour tendre vers un idéal commun défini qu’à un cadre rigide de règles techniques précises. Plus qu’un listing de règles contraignantes à appliquer à la lettre, on peut donc y voir la reconnaissance des bonnes pratiques déjà en place au sein de plusieurs entités de traitement et la fourniture d’un grand nombre d’éclairages pour les autres.

Ainsi, une entité ayant déjà œuvré à la sécurisation de ses traitements se voit donner l’opportunité de professionnaliser cette approche vertueuse et sera rassurée de vérifier rapidement sa mise en conformité.

Dans le cas où une entité aurait adopté une approche plus décontractée des questions de protection des données personnelles, il s’agit alors d’une formidable opportunité de combler l’écart avec la concurrence via une démarche guidée et de redorer son image de marque sur le sujet.

Inutile de préciser que les entités ayant été au cœur de scandales de piratages ou de fuites de données ces dernières décennies en ont payé les conséquences en termes de confiance boursière.
Quelle que soit la situation d’une entité actuellement, un large consensus se dégage autour de l’émergence du RGPD comme évolution positive la plus importante des 20 dernières années (depuis la Directive de 1995) en matière de protection des données.
Bien entendu, la législation ne restera pas figée mais sera encore amenée à évoluer comme elle le fait depuis plus de 40 ans.
A ce titre, il apparait fondamental de pouvoir identifier et mobiliser un DPO et des équipes proactifs et passionnés, aptes à anticiper les évolutions futures et renouveler les pratiques pour corriger les trajectoires, obtenir un avantage concurrentiel, soigner son image de marque et ne pas se retrouver au pied d’un mur technologique si ce n’est législatif.