LA MISE EN PLACE DE PRINCIPES EXIGEANTS

328. – Encadrer la collecte des données et leur traitement n’est pas une obligation nouvelle, mais le RGPD est venu la renforcer. Le véritable enjeu du Règlement tient à l’intérêt majeur qu’il accorde à la sécurité et à la confidentialité des données personnelles en contrepartie de leur liberté d’utilisation : l’entreprise a l’obligation de tout faire pour sécuriser ces données et doit pouvoir prouver, à tout moment, qu’elle se conforme à cette obligation.

329. – Il est ainsi désormais exigé du responsable du traitement, simultanément, un

engagement et sa démonstration. En quelque sorte, le droit le rend responsable des

infractions éventuellement survenues s’il n’a pas fait le nécessaire pour les éviter, ce qui le conduit, pour s’exonérer de cette responsabilité, à devoir apporter la preuve qu’il a bien accompli tout ce qui était précisément nécessaire: le considérant 74 du RGPD indique qu’il est ainsi tenu « de mettre en œuvre des mesures appropriées et effectives et (qu’il…) soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures ». De nombreux auteurs269 relèvent dans cette seconde partie de phrase ce que l’on pourrait considérer comme une forme d’obligation de résultat : il ne suffit pas de mettre en place des mesures, faut-il encore qu’elles soient efficaces.

330. – Cette double implication nécessite pour l’entreprise de mettre en œuvre de nombreuses actions sécuritaires, efficaces, et d’en conserver la preuve.

331. – Dans l’objectif de laisser la liberté aux entreprises de collecter et traiter des données dans un respect plus affirmé de la vie privée du consommateur, l’obligation de déclaration préalable avant toute mise en service d’un traitement a cédé sa place au contrôle a posteriori du traitement. Cette nouvelle conception amène l’entreprise à être en mesure de démontrer que son responsable du traitement, homme-clé du nouveau texte, a bien respecté le règlement ET qu’il a bien mis en en place tous les moyens nécessaires à la prévention des risques nés du traitement développé, selon le principe commun du donnant/donnant : liberté contre sécurité.

332. – Cette notion appelée « accountability », peut être définie comme un principe de responsabilités²⁷⁰. Il désigne une obligation faite aux entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données, cette prévention et cette responsabilisation s’entendant dès la conception du traitement (privacy by design)²⁷¹. Pour respecter ces concepts l’entreprise doit assurer des mesures techniques et organisationnelles (privacy by default) et être apte à réagir rapidement à tout problème survenant quant aux données ou à leur traitement, faute de quoi elle peut être sanctionnée²⁷².

333. – Le RGPD impose à l’entreprise, représentée par son responsable du traitement, de prendre en compte les méthodes de sécurisation des données dès la phase-projet du traitement envisagé, pour en renforcer l’efficacité. Le concept « Privacy by

design », que l’on peut traduire par « la protection intégrée de la vie privée » ou « le respect

de la vie privée dès la conception », est posé comme principe fondamental du règlement européen : intégrer la protection de la vie privée dès la conception des systèmes de traitement des données est, nécessairement, plus efficace qu’une intégration ultérieure dans un système déjà constitué.

334. – Ainsi, le responsable du traitement doit-il mettre en œuvre, dès sa conception et pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées.

270 Ibidem.

271 Règlement du Parlement et du Conseil européen 2016/679 du 27 avril 2016, art. 25.

272 CNIL, n° SAN-2018-011 du 19 déc.2018 prononçant une sanction pécuniaire à l’encontre de la société UBER France SAS.

Suite au vol de 57 millions de données personnelles des utilisateurs des services UBER, il a été reproché à la société UBER France SAS une absence de mesures élémentaires en matière de sécurité, notamment :

-la plateforme aurait pu contraindre ses ingénieurs à accéder au serveur grâce à une authentification forte ; -elle aurait pu mettre en place des systèmes de filtrage d’adresses IP pour l’accès à certains serveurs. Pour ces motifs la société américaine a été condamnée à 400 000 € pour atteinte à la sécurité des données.

Pour assurer une efficacité optimale, le RGPD en préconise273 quatre exemples, à adapter en tenant compte de l’état des connaissances, de leur coût et du risque encouru pour les libertés individuelles : - la pseudonymisation²⁷⁴ et le chiffrement des données, - l’utilisation de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement, - l’utilisation de moyens permettant de rétablir tout accès aux données en cas d’incident physique ou technique et - la mise en place d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises. Le cryptage des données et la limitation de leur collecte à ce qui est réellement nécessaire sont les outils d’une prévention intégrée.

335. – La formulation du début de l’article 25 du RGPD est cependant ambigüe quand il pose que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques(…) le responsable du traitement met en œuvre (…) ». Pourrait-il alors s’opérer une évaluation, une mise en balance du coût de la protection rapporté à la protection elle-même et pourrait-on penser, le cas échéant, qu’un coût trop important au vu du traitement, cpourrait-onduise à lever l’obligation ? Quant à l’estimation du caractère « approprié » des mesures, elle risque de produire une interprétation subjective, aussi inconfortable pour le responsable de traitement que pour le consommateur. Ainsi, il semblerait que, si une faille dans le système ne saurait être reprochée au responsable du traitement dans la mesure où elle n’aurait pas été connue à l’époque de sa mise en place, tel ne serait pas le cas d’un défaut de sa mise à jour.

336. – Au service du même objectif de prévention, lorsqu’un traitement présente un risque élevé pour les droits et libertés des personnes, son responsable a l’obligation d’effectuer une analyse d’impact - DPIA (Data Protection Impact Assessment) - des opérations envisagées sur la protection des données personnelles²⁷⁵, en évaluant leurs risques autant que l’efficacité des garanties apportées. Le RGPD prévoit une obligation de DPIA dans le cas des traitements automatisés, incluant le profilage, qui produisent des effets juridiques à l’égard de la personne concernée (vol, usurpation d’identité…). L’imprécision du texte quant aux traitements visés par la DPIA est source d’inconfort juridique. Aussi, la

273METILLE Sylvain, Privacy by design, ça veut dire quoi ? , consulté sur https://smetille.ch/2011/04/21/privacy-by-design-ca-veut-dire-quoi/

274 Définition donnée par le RGPD : le traitement de données à caractère personnel de telle façon que celles-ci ne puisse plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires , pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

CNIL, dans le cadre de sa mission d’autorité de contrôle, établit une liste des traitements nécessitant de telles analyses ainsi que de précieux modèles afin de venir en aide aux entreprises démunies face à ces contraintes²⁷⁶.Le G29 est aussi venu préciser et compléter le texte européen en relevant des critères susceptibles d’engendrer un risque élevé nécessitant une DPIA²⁷⁷.

337. – La violation des données est une notion large qui n’évoque pas seulement leur vol²⁷⁸, mais tout incident, accidentel ou illicite, de destruction, de perte, d’altération, de divulgation non autorisée, ou l’accès non autorisé à de telles données pouvant entrainer des dommages physiques, matériels ou moraux. Il convient de préciser que l’incident peut résulter d’un acte intentionnel autant que non intentionnel, tel que la perte d’un ordinateur ou d’une clé USB. Contre ces risques l’article 32 du RGPD prévoit des mesures adaptées à mettre en place.

338. – Les auteurs du texte européen n’ont pas souhaité laisser le responsable de traitement seul face à ces lourdes obligations techniques, capitales en matière de sécurité. Ils ont conféré de nouvelles missions de sensibilisation aux Autorités de contrôle. La CNIL met ainsi à disposition des entreprises un guide de « la sécurité des données personnelles » donnant des orientations sur les moyens permettant de sécuriser, à toutes les étapes, leurs

276 V. Guides AIDP disponible sur le site https://www.cnil.fr

277 Groupe de travail G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIDP) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » au fin du règlement (UE) 2016/679, 4 avr. 2017.

Ainsi, parmi les traitements nécessitant une AIDP, peuvent être cités ceux utilisés, notamment, dans les cas suivants : -les prises de décision automatisée avec effet juridique ou effet similaire significatif : une exclusion ou une discrimination pourrait naître du traitement.

-une surveillance automatique : les personnes concernées peuvent ne pas savoir qui collecte leurs données. -les données sensibles ou à caractère hautement personnel : leur violation peut avoir des incidences graves. -les données traitées à grande échelle.

-le croisement d’ensemble de données.

-les données concernant des personnes vulnérables.

-l’utilisation de nouvelles technologies comme l’utilisation des systèmes de reconnaissance d’empreinte, etc.

-les traitements qui empêchent les personnes concernées d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

278 Le vol est fréquent, qu’il s’agisse de piratage interne - 112 000 données personnelles d’adhérents ont été soustraites en 2016 à la Mutuelle Générale de la Police par un salarié avide de vengeance - ou externe - les coordonnées de 1,3 millions de clients Orange ont été divulguées. En juin 2016 la société Domino’s Pizza, victime d’un piratage de données clients (numéros de téléphone et adresses), a subi un chantage à 30 000 € qui, refusé, a conduit à l’exposition des données. Selon le site Recode les fichiers contenant des informations se vendent au marché noir sur le Deep Web, le web profond, ces pages non répertoriées par les moteurs de recherche grand public qui constituent la face noire de l’internet. En 2014, un milliard de données auraient fait l’objet de vols d’identités (V. http://plus.lefigaro.fr/tag/gemalto). En pratique, il semblerait que de nombreux sites soient laxistes en matière de sécurité des données (V. Jean Christophe CATALON, La moitié des sites d’e-commerce laxiste sur la sécurité des données, consulté sur : www.lefigaro.fr, 9 janvier 2016). Ils privilégient la facilité pour le consommateur, en le laissant utiliser des mots de passe trop faibles, par opposition à ceux dits forts résultant d’une composition d’au moins 8 caractères incluant des chiffres et des lettres. A ce sujet, le gestionnaire de mots de passe Dashlane a pu établir un baromètre de sécurité (V. http://www.itrpress.com/cp/2016/2016-01-06_daslane.pdf) dans lequel 25 sites marchands étaient passés au crible et il a constaté que 52 % des sites commerçants n’imposent pas de mots de passe alphanumérique.

programmes informatiques279. Une telle trame offre aux entreprises commerciales une base sérieuse de modèles à mettre en place pour se conformer au nouveau règlement.

339. – Outre une obligation de sécurisation des données, le concept d’accountability contraint le responsable du traitement d’apporter la preuve de sa conformité aux textes légaux lors de toute demande de la CNIL ou de la personne intéressée, au moyen de divers documents et dossiers. Parmi eux un registre des activités de traitement doit être ouvert par les entreprises de plus de 250 salariés. Il mentionne, conformément à l’article 30 du RGPD, les noms et coordonnées du responsable du traitement, ses finalités, les données collectées, les personnes concernées, les transferts de données hors Union européenne.

340. – Par ailleurs, le RGPD impose au responsable du traitement d’être capable d’agir en urgence pour gérer tout incident. Les auteurs du texte sont pleinement conscients du fait que le « risque zéro » n’existe pas - malgré les études préalables et la mise en œuvre de mesures techniques et organisationnelles appropriées. En conséquence, ils exigent du responsable du traitement sa réaction immédiate, pour une prévention maximale des dommages causés aux personnes concernées, et ils le soumettent à diverses obligations²⁸⁰ en cas de violation des données.

341. – Les déclarations officielles d’incidents sont pourtant rares. Si des « affaires » fuitent fréquemment dans la presse, leur révélation n’intervient généralement que longtemps après la survenue de l’incident, le choix de la « discrétion » ayant sans doute été jugé plus judicieux pour l’entreprise que celui d’une publicité fâcheuse.

279 Les mesures préconisées visent notamment à promouvoir une sécurisation :

- des postes de travail, par une limitation des tentatives d’accès à 3 ou 10 avant blocage, la mise en place de pare-feux et

d’antivirus puissants, un verrouillage automatique de cession, - des locaux, avec installation d’alarmes et de mesures destinées à ralentir ou arrêter toute intrusion,

- du réseau informatique interne, des serveurs et des applications, par des changements réguliers de mots de passe choisis complexes, des sauvegardes de collectes régulièrement mises à jour, chiffrées et conservées dans un coffre ignifugé et étanche,

- de la maintenance, notamment par un processus de destruction efficace de l’archivage suivant des modalités d’accès spécifiques et un chiffrement,

- dans l’échange d’informations, chiffré ou effectué par un canal différent de celui de l’envoi même.

280 Les articles 33 et 34 du RGPD prévoient - qu’il devra notifier toute violation à l’autorité de contrôle, la CNIL, dans les meilleurs délais afin d’établir une transparence, le législateur prévoyant 72 heures, si possible, après avoir eu connaissance de l’incident, -qu’il lui faudra assurer la communication de la violation à la personne intéressée, dans les meilleurs délais - sans précision exacte - quoique des exceptions à cette obligation, regrettables selon nous, soient prévues si le responsable a utilisé des mesures rendant incompréhensibles les données, par le chiffrement notamment, ou si, à la suite de mesures prises par le responsable, tout danger est écarté, ou encore, si le respect de ce texte exige des efforts disproportionnés, la communication publique pouvant alors remplacer la communication personnelle.

342. – Le RGPD ne manque pas, au moyen de sanctions dissuasives, d’assurer le respect des garanties de sécurité et de confidentialité des données personnelles en contrepartie de leur liberté d’utilisation.