Nous avons rédigé cet article dans le cadre d’une publication sur le blog de la société NAMEBAY, registrar de renom, afin d’étudier les implications du Règlement Général sur la Protection des Données (RPGD, dit aussi GDPR) sur les bases de données dites Whois et plus globalement sur l’activité des registrars. Nous avons appelé cette article RGPD vs Whois.

Nous en avons extrait la première partie, centrée sur les points essentiels à ntennnaître concernant le GDPR nous apercevant avec surprise que, si nous travaillions sur le sujet quotidiennement, nous n’avions pas eu l’occasion d’écrire encore sur ce sujet. L’erreur est réparée et le blog a enfin son article dédié au GDPR, que vous pouvez découvrir ci-dessous. Bonne lecture !

GDPR : “Resistance is futile. Existence, as you know it, is over, you will be assimilated[1]… and it will be a good thing !

GDPR, quatre lettres qui secouent le monde du droit des nouvelles technologies depuis quelques années déjà, mais qui sont maintenant reconnues bien au-delà, faisant trembler les Comex à la hauteur des conséquences de l’application de ce nouveau texte européen.

Le General Data Protection Regulation, ou Règlement Général sur la Protection des Données (RGPD en français), est un règlement européen[2] adopté le 27 avril 2016, mais dont la date d’entrée en application a été repoussée au 25 mai 2018 compte tenu de son impact sur la façon même dont les entreprises traitent les données à caractère personnel. Il remplace la directive 1995/46 du 24 octobre 1995 qui n’a pas réussi à prévoir un cadre véritablement unifié sur le sujet au sein des pays de l’Union européenne et qui n’était plus armée pour encadrer les nouvelles pratiques.

Commençons par quelques éléments de contexte concernant ce RGPD :

– il s’applique aux « données à caractère personnel », définies comme toute donnée permettant, directement ou indirectement, l’identification d’une personne physique. La notion est donc très large et vise des données que beaucoup ont considéré à tort comme non concernées (fichiers d’entreprises clientes à partir du moment où apparaissent les données des personnes physiques qui les représentent, annuaire interne, données de clients, données codées qui n’ont pas été irrémédiablement anonymisées, etc.) ;

– il s’applique à tout type de traitement de données (collecte, classement, stockage, etc.) sauf quelques rares exceptions, telles que les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, ou ceux mis en œuvre à des fins de prévention et de détection des infractions pénales, au bénéfice d’enquêtes et de poursuites en la matière, ou de l’exécution de sanctions pénales. Surtout, il s’applique aux traitements papier comme aux traitements numériques, sans distinction ;

– contrairement à certains pays anglo-saxons comme les USA, le choix fait par le droit européen est de ne pas permettre la patrimonialisation des données. Le droit intègre ainsi la protection des données à caractère personnel dans le cadre des droits dits « de la personnalité », inhérents à chaque citoyen : par exemple, même si la personne concernée a donné son consentement (et obtenu une contrepartie !), il peut donc revenir à tout moment dessus, ou demander l’effacement des données à tout tiers amené à les traiter (et qui les aurait obtenues en achetant des bases de données par exemple).

Pourquoi a-t-il des visées hégémoniques mondiales ?

Ce texte s’applique à un grand nombre d’entreprises dans le monde, bien plus que les seules entreprises européennes : il a justement été conçu dans ce but. Trois hypothèses sont ainsi couvertes, outre les cas classiques de traitement en Europe par une entreprise d’un pays de l’UE :

  1. l’entreprise n’est pas dans l’UE, mais a ses activités dans l’UE, c’est-à-dire offre des biens ou des services à des personnes dans l’UE (Facebook, Google, Microsoft, etc.)
  2. l’entreprise étrangère étudie le comportement de personnes au sein de l’UE (données de transports, de télécom, données financières, etc.).
  3. l’entreprise étrangère traite des données à caractère personnel pour le compte d’une entreprise visée par l’application du texte (donc agit en tant que sous-traitant).

Le RGPD révolutionne en effet les relations avec les sous-traitants, en imposant une sévère mise à niveau de leur conformité avec obligation de résultat :  si des données personnelles sont concernées, l’entreprise doit  « uniquement » faire « appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». En résumé et comme le montrent d’autres articles du texte, les sous-traitants doivent respecter eux-mêmes le RGPD s’ils veulent continuer à faire du business avec leurs entreprises clientes, ce que doivent vérifier leurs entreprises clientes. De plus, ces prestataires deviennent directement responsables juridiquement de leur non-conformité vis-à-vis des régulateurs, alors que jusqu’à présent seul le responsable de traitement – c’est-à-dire leur client – pouvait l’être.

Mais la pression ne va pas que dans un sens : le sous-traitant doit lui-même s’inquiéter de la conformité RGPD de ses clients : « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement »… Entreprise cliente et entreprise sous-traitante se contrôlent donc mutuellement pour faire progresser ensemble la conformité de la protection des données à caractère personnel.

Pourquoi fait-il si peur ?

D’abord parce que les sanctions ne sont plus anecdotiques, comme elles ont pu l’être en matière de protection des données à caractère personnel depuis près de 40 ans. Alors que la loi pour une République numérique[3] a multiplié par vingt l’année dernière les amendes administratives à la disposition de la CNIL (elles sont ainsi passées de 150 000 € à 3 millions €), le RGPD prévoit une augmentation jusqu’à 20 millions € ou « dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».

De quoi intéresser pour une fois le Comex à la question de la protection des données à caractère personnel, alors que ce problème était en général relégué deux niveaux hiérarchiques en dessous, au minimum.

Surtout parce qu’une fois que le Comex s’intéresse à cette question, il se rend compte que la conformité à ce texte nécessitera pour beaucoup d’entreprises de repenser de fond en comble leur façon de concevoir la gestion de leurs données internes, quand ce n’est pas leur manière de faire du business.

Quels changements apporte-t-il ?

Le RGPD prévoit tout d’abord d’abandonner le principe des formalités préalables aux traitements de données, pour le remplacer par la notion d’accountability, la conformité à tout moment du traitement qu’il va s’agir de prouver notamment du fait d’une traçabilité sans faille de tout ce qui est réalisé sur les données à caractère personnel collectées.

Il prévoit également la notion de Privacy by design imposant de concevoir la protection des données à caractère personnel dès l’origine de la conception d’un projet, d’un logiciel ou d’une fonctionnalité amenés à en traiter. Alliée avec un renforcement notable de l’information transmise aux personnes dont les données sont traitées (indication des informations classiques du type finalités, etc., mais également des destinataires, de la durée de conservation des données, etc.) et surtout avec un renforcement certain des droits de la personne concernée, les traitements deviennent nécessairement plus encadrés au sein de l’entreprise : le fait de prévoir la possibilité d’effacer les données à tout moment (droit à l’oubli) ou de prévoir dans certains cas la portabilité vers un autre fournisseur impose de penser ces processus dès l’origine.

Ce faisant, le RGPD impose la mise en place d’une cartographie non seulement des données à caractère personnel traitées dans l’entreprise, mais également des flux de ces données dans le système d’information élargi de l’entreprise (clients, partenaires, sous-traitants).

Pour y aider, le correspondant internet à la protection des données, appelé CIL en France, devient le Délégué à la Protection des Données (ou DPO) et sa nomination s’impose dans un plus grand nombre de cas (par exemple si le traitement est effectué par une autorité ou un organisme public, si les activités du responsable consistent en des traitements exigeant un suivi régulier et systématique des personnes concernées, etc.)

Si l’on pouvait croire que le Règlement allait imposer un droit unique au sein de tous les pays de l’Union européenne, ce n’est toutefois malheureusement pas le cas : pas moins de 57 domaines (sur les 99 articles que comptent le RGPD) peuvent donner lieu à des règles locales spécifiques, telles que les données liées aux ressources humaines, le traitement de données de mineurs entre 13 et 16 ans, le traitement de données génétiques, biométriques ou de santé, ou encore les systèmes de profilage : il va donc être très intéressant de suivre les différentes propositions de loi locales en cours d’apparition (projet allemand, projet belge, projet français, etc.) pour « transposer » ces nouvelles règles dans le cadre local existant[4] afin d’avoir une vision plus claire du droit/des droits applicable(s) sur le sujet dans les pays européens.

Par ailleurs, dans un grand nombre de cas (profilage, traitement à grande échelle de données sensibles, contrôle des salariés, etc.) le RGPD conduit à imposer à l’entreprise la mise en place d’Études d’impact sur la Vie Privée (ou Privacy Impact Assessments). Ces EIVP/PIA sont des analyses de risques qui ne s’intéressent pas aux risques pour l’entreprise si un tiers accède illicitement aux données, les détruit, etc., mais bien aux risques pour les personnes concernées… et aux solutions palliatives que l’entreprise doit mettre en œuvre.

Insistant sur la sécurité des traitements de données mis en œuvre, il impose la notification de toute atteinte à la confidentialité, mais également à l’intégrité ou encore à la disponibilité des données à caractère personnel traitées, qu’elles le soient sous forme papier ou numérique (c’est ce qu’il appelle « violation de données »). Cette notification se fait à la CNIL sous 72 heures, mais aussi auprès des personnes concernées si la violation de données a entraîné un risque élevé pour celles-ci.

Pourquoi est-ce une opportunité sans précédent qu’il faut saisir sans tarder ?

Le RGPD rend tout d’abord possible la prise en compte de la protection des données à caractère personnel et la conformité des traitements les plus actuels tels que le Big Data, ce qui était très difficile avec l’ancienne réglementation.

Surtout :

– il donne un nouvel espoir aux citoyens en leur accordant un véritable empowerment sur leurs données à caractère personnel, grâce à l’information poussée qu’il impose et au consentement qu’il généralise ;

– il les guide vers les sociétés de confiance, en permettant d’une part aux entreprises vertueuses de bénéficier de labels européens sur le sujet, et obligeant d’autre part les entreprises ayant souffert de violations de données à le notifier. Le marché risque donc de s’autoréguler très vite en forçant les acteurs mêmes les plus récalcitrants à se mettre en conformité ;

– il impose une mise en conformité de tous les acteurs de la chaîne, par la responsabilisation des sous-traitants, puisque les sous-traitants qui ne seraient pas en conformité seront de facto exclus des marchés.

Cerise sur le gâteau : la cartographie précise des données traitées par l’entreprise que va entraîner la mise en conformité est un travail long et coûteux, mais nécessaire à tous points de vue et reporté depuis la nuit des temps au sein de la plupart des entreprises. Donnant une vision très précise du patrimoine informationnel de l’entreprise, elle permettra :

– d’optimiser sa protection à l’encontre des pirates comme des concurrents ;

– et surtout de maximiser l’exploitation des données client !

Pourquoi un report de son application ne sauvera pas des sanctions

Certains espèrent encore, au vu de l’immensité des travaux restants à accomplir au sein de leur entreprise, que l’application du texte sera repoussée de quelques années. Le report est théoriquement imaginable, mais croire que cela exonérerait de tous risques pendant encore quelques années est une folie dont il convient de se prémunir : si le report de l’application des nouveaux droits (portabilité, etc.) peut en effet faciliter leur mise en œuvre, les règles de base prévues par le RGPD existent en droit français depuis presque… 40 ans (6 janvier 1978). Croire que les régulateurs tels que la CNIL ne sanctionneront pas des manquements à la transparence des traitements ou aux finalités par exemple est tout simplement illusoire.

Pour lire la suite, RGPD vs Whois, cela se passe sur le site de Namebay !

 

Par François Coupez,

Avocat à la Cour,

Associé du cabinet ATIPIC Avocat,

Titulaire du certificat de spécialisation en droit des nouvelles technologies

Chargé d’enseignement à l’Université Paris II Panthéon-Assas, au CELSA et à l’Institut Léonard de Vinci

 

Et David-Irving Tayer,

Avocat à la Cour,

Associé du cabinet ATIPIC Avocat,

Membre de l’IPC de l’ICANN

Chargé d’enseignement à l’EDC Paris business School, au CELSA et à l’Institut Léonard de Vinci

 

[1] Le lecteur avisé aura reconnu la phrase amicale d’introduction des Borgs issus de l’univers Star Trek

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[3] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=5D7EBC2C90DE02921F7E0477F9B13A6C.tplgfr33s_3?cidTexte=JORFTEXT000033202746&categorieLien=id

[4] Juridiquement, le règlement européen s’impose tel que et annule et remplace toute règle contraire dès sa mise en application. Il n’a donc pas besoin d’être transposé en droit local comme une directive. Mais les législateurs locaux ont déjà prévu d’ajouter des règles dans les domaines que le règlement ne couvre pas (ex : les données à caractère personnel des personnes décédées en France depuis la loi pour une République numérique) et en même temps de conserver leur loi locale pour des raisons de référence historique. C’est le cas de loi du 6 janvier 1978 en France dont la référence subsistera même si son contenu changera de façon assez importante.

Tagged on:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *