Données personnelles : des pratiques administrées aux pratiques de responsabilité

Le Règlement Général sur la Protection des Données personnelles (RGPD) est l’occasion d’un changement de paradigme pour les entreprises, qui deviennent responsables de la protection des données personnelles qu’elles traitent.

Le Règlement Général sur la Protection des Données entre en vigueur en mai 2018. Beaucoup d’auteurs se demandent combien d’entreprises seront prêtes à cette date. Un point clé est certainement l’inversion du régime juridique des traitements de données personnelles. Jusqu’à ce jour, le principe général était celui de l’autorisation. Les entreprises devaient déclarer les traitements de données personnelles qu’elles projetaient de faire. L’autorité nationale, la Commission nationale de l’informatique et des libertés (CNIL) en France, délivrait une autorisation ou une interdiction pour chaque traitement. Des régimes dérogatoires de simple déclaration ou d’autorisation a priori permettaient de couvrir les traitements de données les plus courants, par exemple ceux des prospects personnes privées.

Dans le futur, la responsabilité du bon traitement des données personnelles est confiée aux entreprises elles-mêmes. Chacune doit se préoccuper de la qualité des traitements de données personnelles comme s’il s’agissait des qualités cruciales de ses propres produits, et doit prouver, en cas de contrôle, qu’elle a défini les objectifs de traitement et leur protection. Apparemment le nouveau règlement n’impose plus d’autorisation préalable. Mais l’engagement de l’entreprise est en réalité bien plus fort : celle-ci, en tant que « responsable de traitements » de données personnelles, doit définir explicitement l’objectif de chaque traitement et les mesures raisonnables prises afin que soient préservés les intérêts des personnes concernées et surtout que leurs exigences de protection et de confidentialité soient respectées. Le risque en cas de carence est lui aussi plus fort. L’administration peut à tout moment auditer les traitements, et les sanctions encourues sont beaucoup plus importantes que dans le régime actuel : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise prise en défaut.

Les faiblesses du régime actuel

Le régime d’autorisation présentait à notre sens deux faiblesses majeures que nous constations en entreprise.

En premier lieu le régime d’autorisation aurait transformé la CNIL en une énorme machine à octroyer des droits, si la Commission n’avait elle-même identifié des cas de traitement de données justiciables de mesures semblables. C’est ainsi que les traitements de fichiers d’employés, de prospects, de membres d’associations, se sont trouvé normalisés et font déjà l’objet de simples déclarations voire de dispense de déclaration sous réserve de respecter des contraintes essentielles. Toutefois, la CNIL reste très sollicitée par des questions sur des traitement à la frontière de ce qui est autorisé d’office. Les entreprises peuvent se retrouver sans réponse. In fine, les intérêts de certains citoyens peuvent être compromis sans que la responsabilité de l’entreprise ne puisse être engagée.

En second lieu le régime de sous-traitance des traitements de données personnelles était très encadré, limitant le choix de la sous-traitance du seul fait de sa non appartenance du sous-traitant à l’Union européenne. Non seulement ce régime limite la liberté d’entreprendre, mais de plus il déresponsabilise le responsable de traitement du contrôle de son sous-traitant, sur le seul critère de sa territorialité.

La responsabilité du donneur d’ordre

Le régime futur met la responsabilité du responsable de traitement de données en première ligne. A lui de choisir ses sous-traitants de gestion de données en sorte d’atteindre les objectifs de protection mentionnés dans le règlement. Le responsable de traitement doit définir les traitements et choisir ses sous-traitants comme si la protection des données personnelles était la prunelle de ses yeux.

Dans le cadre particulier du choix de sous-traitants et des relations avec eux, un certain nombre de pratiques de base reflètent ce nouveau devoir de client qui incombe au responsable de traitement donneur d’ordre.

1. Le responsable de traitement doit définir, par un cahier des charges, ce qu’il attend de son sous-traitant en vu d’attendre les objectifs de protection des données. Même si ces attentes sont largement dictées par le règlement lui-même, le responsable de traitement est désormais tenu de les notifier à son sous-traitant, et les deux parties doivent collaborer à l’atteinte des objectifs de protection.

2. Le responsable de traitement doit choisir ses sous-traitants en considérant leurs capacités et leurs références en matière de protection des données. Le caractère européen du sous-traitant n’est plus un critère en soi.

3. Le responsable de traitement définira des processus de contrôle portant sur les pratiques du sous-traitant ayant pour objectif la protection des données personnelles.

4. À la cessation de la prestation, le responsable de traitement veillera à ce que la protection des données personnelles continue d’être assurée, par exemple par le retrait des données d’archives et des copies de sécurité.

Ce changement de perspective est certainement l’enjeu le plus important de l’évolution de la mission de correspondant CNIL en celle d’administrateur de la protection des données (Data Protection Officer, DPO), pour les entreprises qui choisissent cette voie.

D’autres articles vous permettront de partager nos points de vue sur la protection des données.

 

Louis-Aimé de Fouquières

Diplômé de l’école Polytechnique et de Télécom ParisTech, Louis-Aimé de Fouquières commence sa carrière comme ingénieur en logiciel de télécommunications, puis s’oriente vers le conseil en organisation et systèmes d’information. Il possède une expérience de plus de vingt ans en conception de schémas directeurs, préparation et direction de projets, conduite de consultation et de contrats pour le secteur public, le secteur social et les services. Il a rejoint ISlean consulting en 2012 et est aujourd'hui Senior Advisor. Il est par ailleurs administrateur de Télécom ParisTech alumni et ancien trésorier d’Ingénieurs et Scientifiques de France.


Louis-Aimé de Fouquières

Diplômé de l’école Polytechnique et de Télécom ParisTech, Louis-Aimé de Fouquières commence sa carrière comme ingénieur en logiciel de télécommunications, puis s’oriente vers le conseil en organisation et systèmes d’information. Il possède une expérience de plus de vingt ans en conception de schémas directeurs, préparation et direction de projets, conduite de consultation et de contrats pour le secteur public, le secteur social et les services. Il a rejoint ISlean consulting en 2012 et est aujourd'hui Senior Advisor. Il est par ailleurs administrateur de Télécom ParisTech alumni et ancien trésorier d’Ingénieurs et Scientifiques de France.

Leave A Comment