Le 25 mai 2018, le Règlement Général sur le Protection des Données (RGPD) entrait en application, changeant par la même occasion le paysage juridique mondial. Cependant, la protection des données personnelles n’étant pas un domaine figé, une fois le texte en vigueur, il est nécessaire de poursuivre les efforts dans le maintien de la sécurité du système d’information, de la mise en conformité et de la gouvernance. Comme la crise du corona virus l’a démontrée, la société actuelle repose en majeure partie sur les outils informatiques, qui traitent un nombre croissant de données à caractère personnel. À l’heure où la délimitation entre sphère privée et professionnelle n’a jamais été aussi ténue, où la technologie envahit les espaces publics et privés, le RGPD est indispensable à la sauvegarde de la vie privée des individus. Ainsi, il est possible de mettre en lumière les cinq leçons suivantes tirées de la mise en application du Règlement de ces 2 dernières années.
1. L’importance de l’indépendance du Data Protection Officer
Le poste de Data Protection Officer (DPO) ou Délégué à la Protection des Données, a été consacré par le RGPD. Néanmoins, cette fonction n’est pas nouvelle et regroupe des compétences dans les domaines de la qualité, la sécurité et le juridique. Par cet aspect pluridisciplinaire, la fonction de DPO est très spécifique, de surcroît, le Règlement impose aux personnes exerçant cette profession des exigences particulières d’indépendance au sein de l’entité.[1] Cette obligation implique que le DPO ne dispose pas de pouvoir de décision, mais simplement de conseil et d’avis. L’autorité de contrôle Autrichienne a ainsi sanctionné un hôpital d’une amende de 50.000€ pour non-désignation d’un DPO, alors que l’établissement, au vu des données traitées, en avait l’obligation. Afin d’éviter une telle sanction et du fait des besoins spécifiques tant en matière de compétences que d’indépendance, il peut être judicieux pour les organismes, tant privés que publics, de faire appel à un service de DPO externe professionnel, plutôt que de désigner en interne un DPO exerçant déjà une autre activité ou encore n’ayant pas toutes les compétences requises pour remplir ses fonctions.
2. La réaction tardive des sites web
Malgré des efforts fournis par les organismes et sociétés, il reste encore du chemin à parcourir avant d’atteindre un niveau satisfaisant de conformité des sites internet. En cause, des politiques de protection des données ou de « confidentialité » non mises à jour ou difficilement accessibles,[2] voire inexistantes, une gestion des cookies non-conforme[3] et des mesures de sécurité non adéquates des données personnelles des utilisateurs. Il peut arriver que des sites internet rendent publiques des informations qui ne devraient pas pouvoir être accessibles, et nécessiteraient des mesures de sécurité renforcées : l’autorité de contrôle italienne a sanctionné d’une amende de 10.000€ une commune sur ce dernier fondement. Il était possible d’avoir accès sur son site internet des informations concernant des décisions de justice, incluant des données médicales de ses habitants.
3. La Protection des données dès la conception, trop souvent oubliée
La Protection des données dès la conception et par défaut ou Data Protection by Design and by default consiste à prendre en considération la protection des données et de mettre en place les mesures techniques et organisationnelles dès les premières étapes et tout au long d’un traitement. Ce principe est d’autant plus important qu’il est plus complexe d’implémenter ces mesures a posteriori que dès la conception d’un service ou idée. Aussi cela réduit les chances d’erreurs techniques pouvant impacter la protection des données telle que celle rencontrée par un fournisseur de service télécom grec qui s’est vu sanctionné d’une amende de 200.000€.[4] De même, une entreprise immobilière allemande a été sanctionnée d’une amende d’un montant de 1.400.000€, notamment pour l’impossibilité technique de supprimer les données stockées dans sa base de données lorsque celles-ci n’étaient plus nécessaires à l’accomplissement de leur finalité. Ces exemples démontrent que la protection des données doit s’intégrer à toutes les étapes d’un projet, avant la mise en production. Cela est d’autant plus sérieux dans le contexte actuel de la crise sanitaire, où le nombre de solutions développées en urgence et traitant des données sensibles est important.
4. La sécurité des données, le mot d’ordre
Comme récemment publié dans l’actualité,[5] les données personnelles sont au cœur des cyber-attaques. Au-delà de l’intérêt commercial et réputationnel de protéger les données d’une entité, il existe une obligation règlementaire pour chaque responsable de traitement de protéger par des mesure techniques et organisationnelles appropriées.[6] Cette obligation requiert de préalablement catégoriser les données personnelles au sein de l’organisme afin de déterminer les mesures les plus appropriées selon les catégories de données. De plus, il est nécessaire de régulièrement tester et améliorer son infrastructure tant physique qu’informatique, puisque le responsable de traitement devra répondre de toute atteinte à la confidentialité, l’intégrité et la disponibilité des données personnelles qu’il traite. C’est notamment sur ce dernier fondement que l’autorité de contrôle britannique a notifié une compagnie aérienne de son intention de la sanctionner à hauteur de plus de 204.000.000€. L’établissement de mesures appropriées n’est pas suffisant, il faut constamment tester, vérifier et améliorer autant que faire se peut la sécurité afin d’éviter toute violation de données personnelles.
5. L’importance des campagnes de formation et sensibilisation
Enfin, toutes les violations de données personnelles ne résultent pas d’une cause externe à l’organisme, en réalité la majorité de celles-ci ont une origine interne et non-malveillante. L’une des missions du DPO est aussi de former et sensibiliser tous les acteurs de son entité sur la protection des données personnelles. L’un des points d’attention est la marche à suivre ou procédure d’alerte en cas de violation de données personnelles, sans oublier les principes relatifs à la protection des données tels que la minimisation des données, la limitation de la conservation ou la limitation des finalités. Aussi, il est important de rappeler qu’il est préférable de se référer à la personne en charge de la protection des données en cas de doute et qu’il est obligatoire de le consulter avant chaque projet de nouveau traitement.
Pour conclure
Tous les éléments cités précédemment étaient déjà connus en mai 2018, et les sanctions ainsi que les violations de données durant les deux dernières années ont simplement permis de confirmer et mettre en lumière leur importance. Même en période de crise sanitaire, les autorités de contrôle restent actives et les sociétés, à l’instar des humains avec le Coronavirus (bien malheureusement), ne sont pas immunisées contre les incidents de sécurité… il est encore temps d’agir pour votre mise en conformité RGPD !
A suivre en 2020
- Suite du bras de fer lancé par Max Schrems contre Facebook : le 16 juillet 2020 la CJUE rendra son arrêt sur la validité (ou non) des clauses contractuelles types.
- Sanction record de 204 millions d’euros : confirmation (ou non) par l’ICO de son intention de sanctionner British Airways alors que le secteur de l’aviation a gravement souffert du coronavirus ?
- Après la remise de commentaires par les Etats membres à la Commission Européenne, celle-ci doit présenter un rapport sur l’évaluation et le réexamen du Règlement (Article 97 RGPD). Ce rapport devrait être rendu le 25 mai 2020, mais étant donné la crise sanitaire, il sera certainement reporté de quelques semaines voire mois.
[1] L’article 38(6) RGPD dispose que « Le délégué à la protection des données peut exercer d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêt. » De plus, Le Groupe de Travail 29 a adopté des lignes directrices sur le DPO abordant ce sujet, disponibles ici : https://cnpd.public.lu/dam-assets/fr/dossiers-thematiques/Reglement-general-sur-la-protection-des-donnees/wp243rev01-fr.pdf
[2] La notice d’information sur la protection des données doit être accessible de n’importe quelle page web via un lien. Elle ne doit pas être accessible en plus de « deux clics », cf. la Décision de le CNIL de sanctionner Google Inc. à une amende de 50.000.000€ disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf
[3] La collecte de cookies non nécessaires ne peut se faire qu’après acceptation explicite (opt-in) de l’utilisateur et non par défaut.
[4] Du fait de la non prise en considération de la protection des données dès la conception, les demandes d’opt-out n’avait pas pu être prises en compte.
[5] EasyJet a subi une cyber-attaque résultant en une violation de données personnelles de plus de 9 millions de personnes concernées, incluant plus de 2.000 données bancaires. https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card
[6] Article 32 RGPD.