Le RGPD expliqué ligne par ligne (articles 24 à 50)

RGPD S01E02 13
Accès libre
image dediée
Loi
Marc Rees

Le  25 mai 2018, s'appliquera le fameux Règlement général sur la protection des données personnelles (RGPD). Ses 99 dispositions suscitent interrogations et inquiétudes. Pour tenter d'y voir plus clair, Next INpact vous propose de continuer son explication ligne par ligne avec les articles 24 à 50.

Après avoir vu les dispositions générales (chapitre 1), les principes (chapitre 2) communs à la loi de 1978, et les droits des personnes physiques (chapitre 3), poursuivons notre analyse du RGPD. On détaillera deux gros morceaux : la question de la responsabilité (chapitre 4) et les transferts de données vers des pays tiers ou à des organisations internationales (chapitre 5).

Notre dossier sur le RGPD :

Chapitre  IV. Responsable du traitement et sous-traitant

Section 1. OBLIGATIONS GÉNÉRALES

La responsabilité du responsable du traitement (article 24)

Comme déjà expliqué, le RGPD se construit sur une logique de responsabilité. Cela va avoir des conséquences organisationnelles douloureuses pour l’entreprise qui souhaite brasser de la donnée ou qui sous-traite cette mission.

Elle devra en effet mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». 

S’assurer de et pouvoir démontrer l’existence de mesures efficaces pour respecter les termes du RGPD seront des obligations qui exigeront une bonne « hygiène » de la part des structures concernées.

Cette disposition impliquera toujours une analyse de risques dès lors que « le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ». Évidemment, cette analyse sera d'autant inévitable lorsque les traitements concerneront les enfants (considérant 75).

Pour démontrer ces éléments, les responsables seront bien inspirés d’adopter un code de conduite ou de lignes directrices. Loin des discours français venus de l’Intérieur ou même de l’Élysée, le RGPD prône, à l’attention du responsable ou du sous-traitant, des mesures pour atténuer ces risques, « telles que le chiffrement ».

Protection des données dès la conception et protection des données par défaut (article 25)

Ce sont le « privacy by design » et le « privacy by default ». Selon le contexte et les risques évalués par lui seul, le responsable de traitement devra dès « la détermination des moyens », mettre en œuvre « des mesures techniques et organisationnelles appropriées » comme la pseudonymisation ou la minimisation des données.

Cette protection dès la conception, mais également par défaut est donc une nouvelle responsabilité à laquelle doit répondre chaque entreprise

Un système de certification est possible comme on le verra à l’article 42, afin d’aider à démontrer le respect de ces exigences.

Un oubli, une défaillance ou une fragilité pourra peser dans la balance des sanctions administratives infligées par les autorités de contrôle.

Responsabilité conjointe (article 26)  

Afin de parer toute divergence juridictionnelle et autre stratégie de ping-pong, l’article 26 explique que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».

Le RGPD demande qu’un accord soit dès lors passé entre ces membres pour en déterminer les rôles respectifs. Ses grandes lignes doivent être mises à disposition des personnes physiques concernées. Celles-ci peuvent exercer leurs droits (accès, rectification, etc.) auprès de l’un ou l’autre.

Représentants des responsables du traitement ou des sous-traitants non établis dans l'Union (article 27)

Lorsqu’un responsable ou un sous-traitant est situé hors UE, s’impose la désignation d’un représentant dans l’Union, parmi les pays où  des personnes physiques sont visées par le traitement (ou sont suivies). C’est lui qui servira de courroie de transmission avec les autorités de contrôle en cas de vérification ou gestion des problèmes.

Ce principe connaît des exceptions. L’obligation disparaît en particulier pour les traitements occasionnels, qui ne concernent pas une masse de données sensibles, sans risque pour les droits et libertés des personnes physiques. Autre hypothèse, les traitements mis en œuvre par les autorités publiques.

Sous-traitant (article 28 et 29)

Ces articles traitent des relations entre sous-traitant et responsable du traitement. Le sous-traitant doit impérativement présenter « des garanties suffisantes », techniques et organisationnelles, afin que « le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Ce niveau d’exigence se répercute également chez le sous-traitant du sous-traitant, le RGPD exigeant une autorisation écrite préalable, spécifique ou générale, du responsable du traitement afin de nouer les responsabilités dans cet enchevêtrement.

Le contrat liant sous-traitant au responsable prévoit objet, durée, nature et finalités du traitement outre les données personnelles et les catégories de personnes concernées. Les données ne peuvent être traitées (ou transférées hors UE) que sur instruction du responsable, sauf obligations légales.

Ce principe est souligné à nouveau à l’article 29 du RGPD. La question sera évidemment de savoir ce que recouvre l'obligation légale. Est-ce une norme venue d'un pays hors UE, même non démocratique, ou une norme uniquement UE ?

Évidemment, le sous-traitant doit respecter la confidentialité, et supprimer ou transmettre toutes les données après la fin de la prestation. Il tient à disposition du responsable « toutes les informations nécessaires pour démontrer le respect des obligations » prévues par cet article, en permettant au surplus « la réalisation d'audits ». Le RGPD recommande l’usage d’un code de conduite pour démontrer la solidité de ces garanties.

Registre des activités de traitement (article 30)

Une autre obligation documentaire est prévue. Elle concerne toutes les entreprises de plus de 250 salariés. C’est la tenue d’un registre qui répertorie tout un ensemble d’informations. On y trouve le nom du responsable, les finalités du traitement, une description des personnes concernées et des données, les destinataires de ce stock, les éventuels transferts hors UE, « dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données » et une description sommaire des mesures de sécurité techniques et organisationnelles.

Le sous-traitant doit également tenir un tel document dans le pourtour de ses données, enrichi des noms de ses éventuels sous-traitants et des responsables ainsi que celui du délégué à la protection des données.

Ces documents sont mis à la disposition des autorités de contrôle.

Les plus petites structures, inférieures à 250 salariés, sont également tenues de s’équiper d’un tel registre « si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données » (données sensibles, comme les condamnations pénales).

Coopération avec l'autorité de contrôle (article 31)

L’article impose une obligation de coopération avec les autorités de contrôle (la CNIL en France). D’apparence, cela ne mange pas de pain… mais la moindre défaillance pourra être sanctionnée sur le fondement de cette disposition.

Section 2 : SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL

Sécurité du traitement (article 32)

C’est un élément central. Responsable comme sous-traitant doivent « garantir un niveau de sécurité adapté au risque », en optant pour une série de techniques de protection comme la pseudonymisation et le chiffrement des données à caractère personnel, et « des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

Mieux, par avance, chacun doit prévoir des moyens pour « rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ».

Cette obligation de sécurité, qui pourra se concrétiser par l’application d’un code de conduite, leur imposera un contrôle régulier où, à chaque fois, de nombreux scénarios devront être anticipés, notamment la destruction, la perte, l’altération, la divulgation, l’accès non autorisé à de telles données, etc.

Notification à l'autorité de contrôle d'une violation de données à caractère personnel (article 33)

En cas de violation de données, l’article 33 du RGPD impose une procédure de notification à la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », à moins de démontrer, conformément au principe de responsabilité, « qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques ». Si le responsable a dépassé ce délai, il devra s’expliquer de son retard lors de la notification effective.

Une obligation similaire pèse sur le sous-traitant à l’égard du responsable de traitement.

Le RGPD donne les informations minimales que doivent intégrer ces échanges : nature de la violation, nombre approximatif de personnes victimes, catégories de données… Les conséquences probables de la violation de données doivent aussi être fournies, ainsi que les mesures prises ou envisagées pour éteindre ou calmer l’incendie. Si tout ne peut être communiqué à temps, les éléments manquants pourront être fournis « de manière échelonnée sans autre retard indu. »

Une obligation documentaire pèsera là aussi sur le responsable : description des faits, les effets de la violation, et les mesures prises pour y remédier, etc. (Voir les lignes directrices du G29)

Communication à la personne concernée d'une violation de données à caractère personnel (article 34)

Cette alerte sera doublée d’une notification adressée dans les meilleurs délais à l’ensemble des personnes physiques concernées, dès lors que la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ».

Le responsable doit utiliser à cette fin « des termes clairs et simples » et expliquer « la nature de la violation ».

Il pourra néanmoins échapper à ce devoir d’information individuelle s’il a mis en œuvre les mesures de protection appropriées, s’il peut garantir que le risque élevé n'est plus susceptible de se matérialiser, ou enfin si cela lui exigeait des efforts disproportionnés. Mais dans ce dernier cas, il ne pourra échapper à l’obligation d’« une communication publique ».

Si la société a bêtement oublié d’informer les victimes, la CNIL pourra, en cas de risque élevé, la contraindre à le faire.

Section 3. ANALYSE D'IMPACT RELATIVE A LA PROTECTION DES DONNÉES, CONSULTATION PRÉALABLE

Analyse d'impact relative à la protection des données (article 35)

Selon le type de traitement, et en cas de « risque élevé » pour les droits et libertés des personnes physiques, une analyse de l'impact des opérations envisagées sera menée sur la protection des données à caractère personnel, ou « PIA ».

Cette analyse, rédigée avec les bons conseils du délégué à la protection des données, devra évaluer les traitements automatisés comme le profilage, ceux à grande échelle portant sur des données sensibles, ou encore « la surveillance systématique à grande échelle d'une zone accessible au public », etc.

Il reviendra à la CNIL de détailler au fil du temps les types d'opérations obligeant à ces analyses. Elle pourra inversement énumérer les traitements ne nécessitant pas une telle procédure.

Que trouve-t-on dans cette analyse ? Un véritable inventaire des opérations, des finalités, une évaluation de la nécessité et de la proportionnalité de ces actes, des risques, des mesures de sécurité… ou encore le respect par le responsable des codes de conduite prévus par l’article 40 du RGPD. Pour plus de détails, on pourra consulter les lignes directrices disponibles sur le site de la CNIL ou sur le site du G29.

Consultation préalable (article 36)

Dans certains cas graves, la CNIL devra être consultée pour pouvoir ausculter cette analyse. La logique de la déclaration/autorisation n’est donc pas totalement éradiquée de notre législation. Si elle considère que le traitement va à l’encontre du règlement, elle pourra émettre un avis à destination du responsable en principe dans un délai de 8 à 14 semaines.

Section 4. DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES

Désignation du délégué à la protection des données (article 37)

Déjà évoqué plusieurs fois, un DPD (ou DPO, en anglais) devra être désigné par le responsable du traitement et le sous-traitant dans certains cas précis :

  • Traitements effectués par une autorité publique
  • Suivi à grande échelle systématique des personnes physiques
  • Traitement à grande échelle des données sensibles

La question est évidemment de savoir ce que recouvre l'expression de grande échelle. Les autres responsables peuvent toujours désigner un DPD en dehors de ces cas, ou bien parce que la loi interne les y oblige. Un seul délégué pourra exister au sein d’un groupe d’entreprises ou d’autorités publiques.

Qui peut être DPD ? Il doit s’agir d’un spécialiste du droit et des pratiques en matière de protection des données. Il n’est pas nécessairement un membre du personnel, mais peut être un tiers lié par un contrat de prestation de service.

Fonction et missions du délégué à la protection des données (articles 38 et 39)

Quel est le rôle du DPD ? Il doit être « associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » impose l’article 38. Cela suppose évidemment qu’il dispose de ressources nécessaires et d’un accès aux données et traitements.

Il jouit d’une certaine indépendance puisque le responsable comme le sous-traitant doivent veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l'exercice des missions ». Il ne peut être relevé de ses fonctions ou pénalisé. Il est un point de contact pour les personnes concernées par les traitements.

Ses missions sont multiples : information et conseil sur les obligations relatives au RGPD et des lois internes, ou sur les études d’impact. Contrôle, sensibilisation, formation du personnel, et enfin coopération avec la CNIL.

Section 5. CODES DE CONDUITE ET CERTIFICATION

Codes de conduite (article 40 et 41)

Ces codes sont rédigés par des associations ou d’autres organismes représentant des catégories de responsables du traitement ou de sous-traitants. L’enjeu ? « Préciser les modalités d'application du présent règlement » sur plusieurs chapitres comme la notion de traitement loyal et transparent, celle d’intérêt légitime, la pseudonymisation des données à caractère personnel, la protection des enfants…

Ces codes sont soumis à l’avis de la CNIL qui jauge leur conformité au règlement, enregistre et publie ces documents. Des dispositions procédurales sont prévues pour les codes qui concernent des traitements menés sur plusieurs pays, histoire d’éviter les doublons.

Suivi des codes de conduite approuvés (article 41)

En plus du contrôle mené par la CNIL, il est possible de soumettre les codes de conduite appliqués dans le privé à un organisme spécialisé et agréé par celle-ci selon une liste de critères qualitatifs.

En cas de violation du code de conduite par le responsable du traitement, cet organisme peut lever l’application du code. Afin de préparer une future action, « il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises ».

Certification (article 42)

Le RGPD embarque un mécanisme de certification, labels et marques en matière de protection des données personnelles. Une certification est un acte volontaire qui ne diminue en rien la responsabilité de chacun, mais joue le rôle d’une rambarde pour les responsables. 

Organismes de certification (article 43)

Les organismes de certification sont agréés lorsqu'ils démontrent « à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification ». Plusieurs critères sont prévus par l’article 43, dont évidemment l’inexistence du moindre conflit d’intérêts. L'agrément est délivré pour une durée maximale de cinq ans.

La Commission européenne est habilitée à adopter les actes destinés à «  préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données ».

Chapitre V. Transferts de données vers des pays tiers ou à des organisations internationales

Les transferts de données internationaux (articles 44 à 50)

Comme on l’a vu lors de l’examen de la compétence territoriale, le règlement général sur la protection des données est d’application massive. Les garanties de ce texte s’appliqueront dès lors qu’un responsable ou un sous-traitant exploite un établissement sur le territoire de l'Union, mais aussi sur les transferts et traitements visant les personnes se trouvant en UE, quand bien même le responsable (ou un sous-traitant) n'est pas établi dans l'Union.

L’article 44 pose que les transferts hors UE sont par défaut interdits, sauf s’ils respectent plusieurs conditions. L’article 45 du texte autorise par exemple les transferts de données personnelles au-delà des frontières de l’Union si la Commission européenne a constaté que le pays tiers « assure un niveau de protection adéquat ».

Dans un tel cas, ce transfert « ne nécessite pas d'autorisation spécifique ». C’est le mécanisme sur lequel repose le Privacy Shield, qui reconnait, sur le papier, l’existence de garanties suffisantes aux États-Unis.

L’article 46 prévoit d’autres possibilités. Ce sont « garanties appropriées » prévues par les règles d’entreprise contraignantes (détaillées à l’article 47) ou les clauses types de protection des données, ces dernières étant définies par la Commission européenne.

L’article 49 envisage enfin d’autres dérogations. Ce peut être le consentement explicite de la personne concernée, sachant qu’elle devra être informée « des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ».

Ce peut encore être lorsque ce transfert est nécessaire à l’exécution d’un contrat dans lequel est partie la personne concernée ou bien parce que ce contrat a été conclu dans son intérêt.

Quatre derniers cas sont programmés : les transferts jugés nécessaires pour « des motifs importants d'intérêt public » ou ceux exigés pour « la constatation, à l'exercice ou à la défense de droits en justice ». En outre, s'ajoutent les transferts imposés en cas de nécessités liées à la sauvegarde d’intérêts vitaux, alors que les principaux concernés sont dans l’incapacité d’émettre le moindre consentement.

Enfin, dernière voie, les transferts intervenus « au départ d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime ». Dans cette hypothèse, « ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre » prévient le texte européen.  

Même en dehors de ces cas, le document admet des transferts hors UE si, et seulement s'ils ne sont pas répétitifs, ne touchent qu'un nombre limité de personnes, sont nécessaires aux fins des intérêts légitimes impérieux, et sont accompagnés de garanties appropriées. La CNIL, ou son équivalent étranger, doit en outre être informée.

L’article 50 organise une collaboration entre la Commission et les autorités de contrôle pour porter les bonnes paroles du RGPD auprès des pays tiers et des organisations internationales (coopération, assistance, etc.)


chargement
Chargement des commentaires...