Interview de Me Morel, avocat spécialiste du droit numérique, au sujet du RGPD.

Graffiti : Quelles sont les entreprises concernées par le sujet ?

Me Charles Morel : "Le RGPD a vocation à s’appliquer à toutes les entreprises, quelle que soit leur taille (TPE/PME) ou leur forme (société commerciale, association…), établies sur le territoire de l’Union Européenne ou même hors de ce territoire.

Tout d’abord, le règlement européen s’applique aux « responsables de traitement de données à caractère personnel », c’est à dire les entreprises qui collectent, stockent, utilisent des données à caractère personnel. Ensuite, le règlement européen s’applique aux entreprises « sous-traitantes », c’est à dire les entreprises qui traitent des données à caractère personnel pour le compte d’autres entreprises. Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet".

G : Que doit mettre en œuvre un dirigeant pour être en conformité avec cette loi entrant en vigueur le 25 mai 2018 ?

Me Morel : "Les responsables de traitement sont soumis au nouveau concept de protection des données dès la conception (privacy by design) et par défaut (privacy by default) introduit par le règlement européen. Ils doivent donc en premier lieu mettre en place des mesures à la fois techniques et organisationnelles appropriées de protection des données pour chacun des traitements entrepris. Ces mesures doivent être pensées et mises en place dès la conception du traitement et ce afin d'être en mesure de démontrer à la CNIL que les traitements mis en œuvre respectent les exigences imposées par les dispositions du règlement européen (article 24 du règlement européen).

En d'autres termes, il convient de prendre en compte la protection des données personnelles dès la conception du traitement et pendant toute sa durée. Par ailleurs, les responsables de traitement ainsi que les sous-traitants devront garantir un niveau de sécurité adapté (technique de pseudonymisation, garantie de confidentialité, disponibilité des données, notification des failles etc.) dans le cadre de tout traitement de données à caractère personnel (article 32 du règlement européen).

Ensuite, en vertu des dispositions de l'article 30 du règlement européen, les responsables de traitement de données à caractère personnel ainsi que les sous-traitants doivent tenir un registre dans lequel sera notamment indiqué :

• le nom du responsable de traitement et des sous-traitants ;
• les catégories de traitements effectués et, le cas échéant, pour le compte de quel responsable de traitement ils sont effectués ;
• les objectifs poursuivis par les traitements ;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre ;
• les éventuels transferts de données hors de l'union européenne.

Les entreprises comptant moins de 250 salariés ne sont pas soumises à cette obligation, sauf si les traitements qu'elles effectuent sont susceptibles de comporter un risque pour les droits et libertés des personnes concernées, s'ils ne sont pas occasionnels ou s'ils portent notamment sur des données sensibles. Enfin, en application de l'article 37 du règlement européen, la désignation d'un délégué à la protection des données (Data Protection Officier ci-après « DPO », également appelé « DPD ») sera obligatoire :

• pour tous traitements effectués par une autorité ou organisme public ;
• pour tous responsables de traitement ou sous-traitants dont l'activité de base les conduit à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• pour tous responsables de traitement ou sous-traitants dont l'activité de base les amène à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

Le règlement européen ne définit pas les notions d'"activité de base", de "suivi régulier et systématique" et de "grande échelle".

Le G29, qui regroupe les autorités de protection des données à caractère personnel des pays européens, a adopté le 5 avril 2017 des lignes directrices sur le délégué à la protection des données afin de clarifier ces trois critères :

Selon le considérant 97 du règlement européen, les activités de base d'un organisme sont celles qui "ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire". Le G29 a indiqué que les activités de base visent les opérations clés nécessaires au responsable de traitement ou au sous-traitant pour atteindre ses objectifs.

Le suivi régulier et systématique 

 Le considérant 24 du règlement européen inclut le tracking et le profilage dans la notion de "suivi du comportement des personnes concernées". Par ailleurs, le G29 a précisé qu’il convient de considérer qu'un traitement est, d'une part, régulier dès lors qu'il intervient à usage régulier ou qu'il est récurrent et, d'autre part, systématique dès lors que le suivi intervient via un système ou selon une organisation, une méthode etc.

La notion de grande échelle

 Le G29 considère que la notion de grande échelle doit s'analyser en fonction des facteurs suivants :

• le nombre d'individus concernés ;
• le volume de données et/ou les différentes catégories de données traitées ;
• la durée ou la permanence du traitement ;
• l'étendue géographique du traitement".

G : Vers qui un dirigeant peut-il se tourner pour être accompagné dans sa mise en conformité ?

Me Morel : "Tous les responsables de fichiers peuvent d’ores et déjà désigner un Correspondant Informatique et Libertés (CIL), auquel succédera le DPO. Il peut s’agir d’un employé du responsable des traitements, ou d’une personne extérieure à l’organisme, telle qu’une société́ prestataire de service informatique, un consultant ou un avocat. Bien entendu, l’avocat présente de plus grandes garanties de compétences techniques et d’indépendance, et est susceptible d’engager sa responsabilité́ professionnelle d’avocat.

Les possibilités de choix d’un correspondant externe ne sont toutefois pas les mêmes pour toutes les structures. L’entreprise est libre dans le choix de son correspondant lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements, sinon son choix est limité (les conditions sont détaillées sur le guide du CIL, disponible sur le site de la CNIL)".  

G : De nombreuses informations circulent sur Internet, les dirigeants doivent-ils être vigilants ?

Me Morel : "Oui, le mieux étant en cas de doute de se reporter directement au texte du règlement communautaire et aux sites officiels, en particulier celui de la CNIL".

G : Quels risques court une entreprise qui ne réagirait pas ?

Me Morel : "Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

• Prononcer un avertissement ;
• Mettre en demeure l’entreprise ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
• Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne. Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise".

G : Pouvez-vous nous citer des sites internet fiables sur le sujet ?

Me Morel : "Le site de la CNIL (cnil.fr) est de très bonne qualité avec des dossiers thématiques et des vademecum. Le site du contrôleur européen de la protection des données (edps.europa.eu) est également très fiable".