un intérêt légitime
SeCtion 3. nature de l’obligation
18. La nature de l’obligation de sécurité consacrée à l’article 32 du
RGPD n’est pas définie par le texte du règlement, mais étant donné que
140 Art. 83, § 2, d), du RGPD. 141 Art. 82, § 1, du RGPD. 142 Art. 82, § 5, du RGPD. 143 Art. 28 § 3, f), du RGPD. 144 Art. 28, § 3, f) et h), du RGPD. francois.xavier@unamur.be
Chapitre 3. - L’obligation renforcée de sécurité des traitements Éditions Larcier - © Groupe Larcier - 16/11/2018
LARCIER 177
l’utopie du risque nul est un mythe 145, il paraît évident de la considérer comme une obligation de moyens et non de résultat 146. Cette distinction entre obligation de résultat et obligation de moyens a un intérêt essentiel en ce qui concerne la charge de la preuve ainsi que l’étendue de la respon-sabilité des débiteurs d’une telle obligation. En effet, une obligation de moyens ne peut mettre en jeu la responsabilité du débiteur que si le créan-cier prouve que ce dernier a commis une faute en n’utilisant pas tous les moyens à sa disposition pour respecter son obligation. Par conséquent, les débiteurs de l’obligation de sécurité sont « seulement » tenus d’apporter les soins et diligences normalement nécessaires pour atteindre un niveau de sécurité approprié. Il en résulte qu’en cas de violation de l’obligation légale de sécurité, la charge de la preuve échoit à l’autorité de contrôle, au ministère public ou à la personne concernée qui devra démontrer que le débiteur n’a pas été suffisamment prudent ou diligent dans la mise en œuvre de moyens qui auraient été nécessaires pour l’éviter.
Cette affirmation mérite néanmoins d’être nuancée puisque l’exigence d’accountability a pour effet de renforcer cette obligation de moyens en imposant dorénavant au responsable du traitement d’être en mesure de démontrer l’efficacité des mesures sur demande de l’autorité de contrôle 147.
Cette obligation documentaire prend corps, d’une part, avec l’obligation de tenir un Registre 148, et, d’autre part, avec l’obligation du responsable du traitement de réaliser une AIPD pour les traitements « susceptibles d’engendrer un risque élevé » 149.Ces documents sont une source non-négligeable d’informations utiles afin de jauger la prudence et la diligence dont doivent faire preuve les débiteurs de l’obligation de sécurité.
En effet, le Registre doit notamment contenir « dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles » 150. Quant à l’AIPD, celle-ci doit, entre autres, impé-rativement étayer « les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer
145 CPVP, « note relative à la sécurité des données à caractère personnel », op. cit., p. 8.
146 « on se situe d’ailleurs pour l’essentiel dans le cadre d’obligations de moyens et ne seront nécessaires que les mesures dont l’effet de protection est dans un rapport adéquat avec les efforts qu’elles occasionnent ». Projet de loi relatif à la protection de la vie privée à l’égard des traitements de données à caractère personnel, Doc. parl., Ch. repr., sess. ord. 1990-1991, n° 1610/1, 6 mai 1991, p. 21.
147 Art. 58, § 1, a), du RGPD.
148 Art. 30 du RGPD. À noter que la CPVP recommande à tous les responsables de traite-ment et sous-traitants d’établir un Registre, CPVP, Recommandation n° 06/2017 relative au Registre des activités de traitements (article 30 du RGPD), 14 juin 2017, p. 7.
149 Art. 35 du RGPD.
150 Art. 30 du RGPD.
francois.xavier@unamur.be
Chapitre 3. - L’obligation renforcée de sécurité des traitements Éditions Larcier - © Groupe Larcier - 16/11/2018
178 LARCIER
la protection des données à caractère personnel et à apporter la preuve du respect du […] Règlement » 151. Cependant, il convient de rappeler si que le Registre doit être mis à disposition de l’autorité de contrôle sur demande, il n’est par contre pas destiné aux personnes concernées ni au public en général. De même, il n’y a pas d’obligation légale de publier une AIPD. C’est le responsable du traitement qui décide lui-même de la publier ou non, quand bien même cette publication est encouragée par le Groupe 29 152. Du point de vue des personnes concernées, l’obligation de sécurité de leurs débiteurs reste donc essentiellement une obligation de moyens même si les exigences documentaires susmentionnées contribue-ront solidement à l’évaluation des éventuels manquements par les autori-tés de contrôle, voire judiciaires 153.
19. En revanche, dans les relations entre le responsable du traitement
et le sous-traitant, le principe de convention-loi ne s’oppose pas à ce que le contrat régissant leurs rapports contienne des obligations addition-nelles de résultat en matière de sécurité informationnelle (par exemple en matière de contrôle des accès physiques et logiques, de journalisation, de techniques cryptographiques spécifiques, d’interdiction du BYOD, etc.). Dans cette éventualité, ces obligations de résultat permettront au respon-sable du traitement de mettre en jeu la responsabilité du sous-traitant par la simple constatation que le résultat n’a pas été atteint, sans avoir à prou-ver une quelconque faute. Le sous-traitant ne pourra alors se dégager de sa responsabilité que s’il parvient à prouver l’existence d’une cause étrangère comme la survenance d’un cas de force majeure, la faute du responsable du traitement ou le fait d’un tiers.
151 Art. 35, § 7, d), du RGPD.
152 « La publication peut accroître la confiance dans les opérations de traitement du responsable du traitement et donner des gages de transparence. Il est notamment de bonne pratique de publier une AIPD lorsque des citoyens sont affectés par l’opération de traite-ment. tel peut en particulier être le cas lorsqu’une autorité publique réalise une AIPD. L’AIPD publiée n’a pas besoin d’inclure l’intégralité de l’analyse, notamment lorsque celle-ci pourrait donner des informations spécifiques relatives à des risques en matière de sécurité concernant le responsable du traitement ou divulguer des secrets d’affaires ou des informations com-mercialement sensibles. Dans pareille situation, la version publiée peut consister simplement en un résumé des principales constatations de l’AIPD, ou même uniquement en une décla-ration selon laquelle une AIPD a été effectuée ». Groupe 29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, WP 248, 4 avril 2017, p. 22.
153 Art. 77 du RGPD.
francois.xavier@unamur.be
Chapitre 3. - L’obligation renforcée de sécurité des traitements Éditions Larcier - © Groupe Larcier - 16/11/2018
LARCIER 179