Pour faire face à l’évolution des technologies, comme à l’explosion du volume des données et de leurs usages, le RGPD n’a pu se contenter des outils de la législation précédente.
La mutation la plus importante qu’apporte le RGPD concerne les mécanismes mis à la disposition des Responsables de Traitement des données.
De nouveaux outils à la disposition des Responsables de Traitement
Le nouvel outil le plus important est celui d’accountability. Mais il faut aussi découvrir la Privacy by desing, la Privacy by default, la minimisation….
Le principal nouvel instrument : l’accountability
Auparavant, le principal outil de contrôle de l’application des obligations légales consistait en une obligation de procéder à des déclarations des traitements. Le Règlement supprime cette obligation.
C’est avec l’accountability que le responsable du traitement va devoir désormais, par lui-même, créer les éléments qui permettront de vérifier qu’il respecte ses obligations.
L’accountability n’est pas une notion issue de la culture juridique française, c’est néanmoins un concept à comprendre d’urgence car il s’impose comme un instrument de plus en plus fréquemment utilisé.
On sort d’une logique ou le contrôle est réalisé sous la forme d’une enquête et on bascule dans une logique d’autocontrôle.
On doit à tout moment être à même de présenter une documentation, réalisée en interne, par soi-même et avec un maximum de formalisme.
L’accountability consiste donc à documenter et tenir à jour ce qui permettra, à tout moment, de justifier du respect des obligations qui ressortent du Règlement.
Des logiciels et des web services existent et se développent pour faciliter et, en partie, automatiser cette démarche.
La loi précédente autorisait déjà, depuis 2004, les entreprises effectuant de nombreux traitements de données personnelles à se dispenser des déclarations en nommant un Correspondant Informatique et Libertés (CIL) qui, en remplacement, tenait un registre des traitements.
Ce système est repris, complété et renforcé par le Règlement : le Registre des traitements devient obligatoire pour certains et conseillé pour tous. Une nouvelle fonction est aussi créée avec des prérogatives, des pouvoirs et des moyens beaucoup plus importants que ceux du CIL (qui lui disparaît) : le Data Protection Officer (DPO), dont le statut sera détaillé dans un prochain article.
Le fait d’avoir respecté toutes les obligations de cette méthode s’exprime avec le terme de compliance ou si on ne le traduit pas en étant « compliant ».
La mise en œuvre de l’accountability se fait avec des outils qui sont proposés par le Règlement :
La Privacy by Design
Cela peut être traduit par la protection de la vie privée dès la conception du traitement.
Il faut néanmoins toujours se méfier du terme privacy en fonction de l’interlocuteur car il n’a pas la même signification dans la législation américaine.
En droit américain, la Privacy correspond à la défense d’un domaine plus réduit de la vie ou de l’activité des gens, alors que la notion française de vie privée est plus large et inclut des pans entiers de l’existence des personnes, quand bien même ils ne se passent pas hors du regard des autres. Les deux notions se croisent sans se rencontrer complètement.
Dans le cadre du RGPD, il s’agit de la protection de la vie privée, au sens français de ce terme ; tel que protégé par la Convention Européenne des Droits de l’Homme*.
La vie privée, dont font partie les données personnelles, doit donc être protégée dès la conception des outils technologiques.
La privacy by design est une notion qui a été définie au Canada et qui, selon ses concepteurs, induit de respecter une liste d’impératifs ; c’est telle qu’elle a été définie par les Canadiens qu’elle s’impose dans le Règlement :
- Proactive not Reactive; Preventative not Remedial : mettre en œuvre des mesures préventives et ne pas simplement réagir ou corriger.
- Privacy as the Default Setting : que les fonctionnalités du traitement protègent la vie privée par défaut, sans qu’elles aient à être activées.
- Privacy Embedded into Design : intégrer la protection de la vie privée dans la conception des systèmes et des pratiques.
- Full Functionality – Positive-Sum, not Zero-Sum : que toutes les fonctionnalités soient concernées et veiller à ce que le résultat soit bénéfique à la vie privée et non simplement à somme nulle.
- End-to-End Security – Full Lifecycle Protection : assurer la sécurité pendant toute la durée du traitement et toute la période de conservation des données.
- Visibility and Transparency – Keep it Open : assurer la visibilité et la transparence. Qu’il soit possible de contrôler les mécanismes de protection de la vie privée.
- Respect for User Privacy – Keep it User-Centric : respecter la vie privée des utilisateurs et que ce soit au cœur des préoccupations des responsables des traitements.
La Privacy by default
En français, il vaut mieux éviter une traduction littérale et plutôt comprendre « la sécurité par défaut » des traitements de données personnelles.
Il s’agit pour chaque collecte de permettre systématiquement le plus haut niveau possible de sécurité dans la protection des traitements de données personnelles.
Il ne s’agit pas, comme l’erreur est souvent commise, d’envisager cette obligation comme la seule nécessité d’appliquer les meilleurs standards de sécurité informatique.
La mise en œuvre du Règlement doit toujours être à la fois technique et juridique.
L’esprit du Règlement est de réaliser des traitements dans lesquels il sera pris le moins de risques possibles, juridiques ou techniques, avec les données personnelles des titulaires de droits.
Cela rejoint un des autres instruments que le Règlement met à la disposition des responsables de traitement, la minimisation.
La minimisation
Cela signifie que l’on ne doit utiliser pour les traitements que des données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire.
Elles ne doivent faire partie du traitement que si elles sont en lien avec la finalité pour laquelle elles sont traitées : si vous voulez souhaiter leur anniversaire à une liste de personnes, vous n’avez pas besoin de connaître leur poids !
Il ne faut collecter que les informations strictement nécessaires, les traiter avec précaution, limiter le nombre de personnes ou organisations qui y auront accès et ne les traiter ou les conserver que pour le temps strictement nécessaire à l’objet du traitement.
Lorsque la justification d’une parfaite application des principes et des notions ne pourra être présentée comme une évidence, le responsable du traitement devra alors procéder à une démarche qui est définie par le Règlement, une analyse d’impact.
L’analyse d’impact ou PIA « Personal impact assessment »
L’analyse d’impact sera obligatoire à chaque fois que le responsable de traitement ou le DPO, s’il y en a un, identifiera des risques élevés pour les droits et libertés des personnes concernées.
Le Règlement ne vise que trois catégories de traitements comme devant faire systématiquement et obligatoirement l’objet d’une analyse d’impact :
- Les évaluations systématiques,
- Les traitements à grande échelle,
- Les traitements de données particulières (sensibles).
Les cas où les analyses d’impact seront nécessaires vont, dans les faits, être assez nombreux et ils vont croître avec l’amélioration et la multiplication des outils de traitement des données (algorithmes). Le G29 identifie dix catégories de critères à prendre en compte.
Quant à la méthode, chaque analyse d’impact devra contenir :
- Une description systématique des opérations de traitement,
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
- Une évaluation des risques pour les droits et les libertés des personnes concernées,
- Les mesures existantes ou prévues pour faire face aux risques et pour être en conformité avec la loi.
Il n’y aura pas d’analyse d’impact lorsque le traitement sera perçu comme ne pouvant pas engendrer des risques élevés ou lorsqu’il aura déjà été autorisé dans le cadre des formalités, de la législation précédente ; sous la réserve, bien sûr, que ces conditions de mise en œuvre ne soient pas modifiées.
En résumé, l’analyse d’impact doit permettre de vérifier le respect des principes fondamentaux décrits dans l’article précédent et la bonne gestion des risques liés à la sécurité des données.
Lorsque l’étude d’impact fera apparaître l’existence de risques dont la maîtrise ne pourra être justifiée par une solution claire et évidente, alors la consultation de l’Autorité de Contrôle sera nécessaire (la CNIL en France) pour solliciter une autorisation qui devra, bien sûr, être obtenue avant la mise en œuvre du traitement concerné.
Pour cette maîtrise des risques, outre la meilleure rédaction possible de tous les documents juridiques liés au traitement et la mise en œuvre d’une stricte sécurité informatique, trois techniques sont particulièrement mises en avant par le Règlement : l’anonymisation, la pseudonymisation et le chiffrement.
L’anonymisation
Cela consiste à supprimer tout caractère identifiant aux données.
Tous les identifiants sont supprimés ou modifiés, rendant impossible toute ré-identification des personnes.
Cela n’est donc utilisable que lorsqu’il est ensuite possible de se passer de relier les données à leurs titulaires.
La pseudonymisation
Cela consiste à remplacer un identifiant par un pseudonyme. Cette technique permet une ré-identification.
Cela sera par exemple utile pour transmettre des données à un sous-traitant ou à un prestataire, qui les retournera avec les résultats de ses opérations de traitement spécifique, en limitant les risques pour les titulaires de ces données. Même si elles doivent ensuite, sous le contrôle du responsable de traitement, retrouver leur lien avec les personnes pour être utilisées.
Le chiffrement
Parfois appelé cryptage, c’est un procédé cryptographique permettant de garantir la confidentialité d’une information.
Le chiffrement est à mettre en place à chaque fois que cela sera possible.
Sur ces bases, il va être possible d’entrer un peu plus dans le détail sur la mise en œuvre d’un registre des traitements et des études d’impact.
* ARTICLE 8 – Droit au respect de la vie privée et familiale.
“1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.“