À l’approche du prochain RGPD, la CNIL vient d'ouvrir trois nouveaux thèmes à consultation : la notification de violation des données personnelles, le profilage et le consentement. Quiconque peut apporter sa pierre à l’édifice, voire anticiper des difficultés concrètes.
RGPD, derrière l’acronyme, on trouve le règlement général sur la protection des données personnelles (en anglais General Data Protection Regulation ou GDPR). Un texte fondateur qui entrera en vigueur le 24 mars 2018. D’application directe contrairement aux directives, il s'imposera dès qu’un résident européen sera directement visé par un traitement de données, sur Internet ou non.
Ce texte, sur lequel nous reviendrons prochainement dans un dossier, consacre une série de nouveaux droits : celui de la portabilité des données, une protection renforcée pour les enfants, des actions collectives, un droit au dédommagement, etc. Seulement, chaque thème est source d’interrogations, aussi bien pour les responsables de traitement que pour les personnes concernées.
L’obligation de notification des violations de données
La CNIL vient ainsi d’ouvrir trois nouvelles consultations sur l’autel du RGPD. Première d’entre-elles, l’obligation de notification des violations de données à caractère personnel.
Pour mémoire, en effet ; selon l’article 33 du règlement, en cas de violation, le responsable du traitement doit notifier l’autorité de contrôle (en France, la CNIL), « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Sauf à justifier des motifs du retard. L’article 33 ajoute que « lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors ce responsable doit en principe communiquer cette violation « à la personne concernée dans les meilleurs délais ».
Sur ce point, la CNIL a posté plusieurs questions ouvertes, qui montrent à elles seules que le passage du texte à la réalité ne sera pas bien simple.
Qu’entend-on par violation de données à caractère personnel ? Quand faut-il notifier, quelles sont les hypothèses où une violation n’aura pas à être notifiée, ou encore comment devra se matérialiser l’information des personnes ? Dans la zone des commentaires, Bruno Rasle, délégué général de l’association française des correspondants aux données personnelles déconseille déjà les « messages donnant l'unique priorité à la protection juridique de l'entité, ni […] des messages propres à provoquer la panique chez les personnes concernées. Le concepteur du message doit se mettre à la place de la personne concernée - pas de jargon (ni technique ni juridique), du simple, du concret ».
Le profil du profilage
Autre exploration : la notion même de profilage et ses conséquences juridiques. Selon l’article 4 du règlement européen, il y a profilage lorsqu’on utilise des données à caractère personnel « pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Selon le règlement, une personne a alors «le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (…) produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ».
Un principe immédiatement écarté lorsqu’il s’agira de conclure ou d’exécuter un contrat, ou bien lorsque des mesures appropriées seront prévues « pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Enfin, lorsque l’individu y aura consenti.
Ces grandes lignes esquissées, le passage de cette régulation dans la vraie vie soulève là aussi des difficultés. « Dans quels cas une décision peut-elle, selon vous, " affecter une personne de manière significative " ? » interroge la CNIL. Celle-ci ouvre d’autres débats, dont celui des garanties pour les personnes concernées, du privacy by design tel qu’imposé par l’article 25 du règlement. Plus largement, à l’heure des algorithmes et du big data, elle demande aux internautes de leur faire part de leurs craintes sur ce moyen.
Le consentement
La notion de « consentement » de la personne concernée est évidemment un pivot de cette législation uniformisée dans l’ensemble des États membres. L’article 4 apporte cette définition : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Là encore, la CNIL s’adresse à la communauté des contributeurs : « Comment se matérialise une volonté "libre", "spécifique", "éclairée" et "univoque" ? Quelles formes pourraient prendre une "déclaration" ou un "acte positif clair" ? ». De même, comment se peut prouver le consentement ? « Comment matérialiser la preuve du consentement ? Faut-il avoir recours à des solutions internes ou à des organismes tiers ? Dans quelles conditions ? Combien de temps conserver cette preuve ? »
Cette consultation est ouverte du 23 février au 23 mars 2017. Elle sera conclue, comme la précédente vague organisée l’an passé, par une synthèse des contributions.
