Le RGPD, comment s'y préparer ?

LE RGPD, Comment ?

Par Jessica FARGEON, Avocat au Barreau de Paris et Margaux MEUNIER, Juriste

Se préparer concrètement au nouveau cadre réglementaire européen applicable au traitement de vos données personnelles

Le 27 avril 2016, l’Union européenne adoptait le Règlement Général sur la Protection des Données (RGPD), règlement (UE) n°2016/6791 abrogeant la directive 95/46/CE2 du 24 octobre 1995. Applicable à compter du 25 mai 2018, les entreprises disposent d’un délai de deux mois pour se mettre en conformité avec le nouveau cadre juridique européen.

Confronté aux mutation d’une économie numérique, plus ouverte et intégrée, le RGPD tend à instaurer un climat de confiance en s’adaptant aux nouvelles réalités du numérique en Europe. Modernisant le cadre juridique relatif à la protection des données personnelles, le règlement restitue aux citoyens européens la maîtrise de leurs données tout en simplifiant le cadre réglementaire imposé aux entreprises.

En consacrant un nouveau mode de régulation des données personnelles, le règlement entend responsabiliser les entités économiques pour assurer une protection optimale des données à chaque instant reposant sur une documentation précise et actualisée.

Les professionnels devront désormais être guidés par un principe d’accountabilityqui impose la mise en œuvre effective de mesures techniques (II) et organisationnelles (I).

I) Les mesures organisationnelles de protection des données à caractère personnel
A quelques semaines de l’entrée en vigueur du Règlement, les organismes qui traitent des données personnelles doivent se préparer activement en instaurant dès à présent un véritable dynamisme de mise en conformité. Pour ce faire, le Règlement recommande l’adoption de nouveaux process (B) et l’inclusion de nouveaux acteurs (A) dans l’organisation interne de l’entreprise.

1 Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119.
2 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, 23 novembre 1995.

A) L’inclusion de nouveaux acteurs dans l’organisation interne de l’entreprise

1) La nomination d’un Délégué à la Protection des Données
Situé au cœur de la réforme relative à la protection des données personnelles en Europe, le Data Protection Officer, plus communément appelé DPO conseille et accompagne les opérateurs économiques dans leur démarche de conformité au règlement européen.
« Chef d’orchestre » de la conformité, le DPO s’impose aujourd’hui en tant que successeur naturel du Correspondant Informatique et Libertés (CIL) bien que ses prérogatives soient renforcées et ce notamment au regard de son champ d’activité.Le délégué à la protection des données est-il obligatoire ?
L’article 37 du Règlement européen rend obligatoire la désignation d’un délégué à la protection des données dans un certain nombre d’hypothèses.

Aussi, tout responsable de traitement ou sous-traitant se doit de désigner un délégué à la protection des données lorsque :
- le traitement est effectué par une autorité publique ou un organisme public
- les activités de base de l’entreprise consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
- les activités de base de l’entreprise consiste en un traitement à grande échelle de données dites « sensibles » ou relatives à des condamnations pénales ou à des infractions.

La désignation d’un délégué à la protection des données ne revêt donc pas de portée générale et reste facultative dans les cas autres que ceux visés au paragraphe 1 de l’article 37, sauf à ce que le droit de l’Union ou d’un état membre ne l’impose.

En tout état de cause, il n’en demeure pas moins important, en pratique, de désigner un tel organe et ce notamment au regard de l’interprétation extensive qui pourra être faite du texte. Rédigé en des termes très généraux, il semble a priori certain que les conditions d’application de l’article 37 du règlement encadreront un très grand nombre de traitements de données personnelles. En effet, qu’entendons-nous exactement par traitement exigeant un suivi régulier et systématique ? Comment quantifier un traitement et à quel stade pouvons-nous considérer le traitement à grande échelle ? Autant de questions qui laisseront place à l’interprétation des autorités de contrôles.

Que la désignation soit obligatoire ou non, il est donc fortement recommandé aux entreprises de poursuivre leur activité de traitement de données accompagnée d’un DPO. Sensibilisant les opérateurs économiques sur les nouvelles obligations imposées par la législation européenne, le DPO procure un gage de confiance quant
à la collecte des données personnelles et répond ainsi au principe d’accountabilityvalorisé par le règlement.
Quelles sont les missions du Délégué à la protection des données ?

En tant que contrôleur de la conformité au sein de chaque entité économique, le DPO s’impose comme un élément clé de la gouvernance d’entreprise relative à la protection des données personnelles. A cette fin, le nouveau cadre réglementaire missionne, à titre principal, le Délégué à la Protection des Données de répondre à un certain nombre de prérogatives, à savoir :

- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du règlement européen et des dispositions du droit de l'Union ou du droit des États membres en matière de protection des données
- contrôler le respect des dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci
- coopérer avec l'autorité de contrôle
- faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement
- répondre aux questions et demandes d’exercice de leur droit par les personnes concernées par le traitement.

En pratique, le Délégué à la Protection des Données dispose d’une intervention globale de mise en conformité des traitements en intervenant tant en amont de la mise en œuvre d’un nouveau traitement que durant le cycle de vie de ces traitements.

A ce titre, le DPO se doit de parfaire ses connaissances spécialisées à la protection des données personnelles et se familiariser en continue aux nouvelles réglementations en vigueur tant nationales qu’européennes.

Qui peut être désigné Délégué à la Protection des Données ?

Le délégué à la Protection des Données est, au titre du règlement, désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données »3.

3 Article 37, alinéa 5, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119.

N’imposant aucun profil type quant au choix du DPO, le cadre règlementaire s’efforce d’encourager la désignation d’un tel organe par les entités mettant en œuvre des traitements de données. Aussi, les organismes pourront préférer s’orienter vers un profil juridique disposant de connaissances techniques ou au contraire un profil plus technique justifiant d’une formation juridique, la seule exigence étant « sa capacité à accomplir les missions visées à l’article 39 »4 du Règlement. Néanmoins, rien n’empêche le DPO de se faire assister dans sa mission par une équipe d’experts qualifiée venant compléter ses connaissances en la matière.

Pour mener à bien sa mission, le DPO doit bénéficier d’une connaissance parfaite du secteur d’activité et de l’organisation de l’entité pour laquelle il travaille et ce en particulier au regard des besoins de protection et des risques de sécurité auxquels elle est exposée. Aussi, le Délégué à la Protection des Données doit disposer d’un positionnement interne adéquate pour être en capacité de communiquer rapidement et efficacement avec tous les membres composant le réseau conformité au sein de l’organisme.

Enfin, le choix du DPO devra être réalisé en considération des fonctions déjà exercées par la personne au sein de l’entreprise. Le DPO doit mener sa mission en toute indépendance et ne peut à ce titre occuper un poste au sein de l’organisme pour lequel il doit déterminer les finalités et les moyens des traitements de données.

Quelle est la responsabilité du Délégué à la Protection des Données ?

En cas de non-respect des dispositions prévues par le règlement, le DPO ne pourra être tenu responsable. En effet, les lignes directrices du G29 précisent que le respect de la protection des données relève de la responsabilité du responsable du traitement ou sous-traitant, qui devront seuls démontrer la conformité du traitement au regard des exigences imposées par le règlement. Aussi, il ne sera en aucun cas possible, pour le responsable du traitement ou le sous-traitant de transférer au délégué, par délégation de pouvoir, la responsabilité qui leur incombe.

Enfin, le règlement octroie une protection au Délégué à la Protection des Données dans le cadre de l’exercice de ses missions, celui-ci ne pouvant être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant.

2) La collaboration de l’entreprise avec l’autorité de contrôle
Dans le cadre d’une application cohérente du Règlement Général sur la Protection des Données, les Etats Membres de l’Union européenne sont tenus de nommer en leur sein, une ou plusieurs autorités de contrôle indépendantes et compétentes pour exercer les missions dont elles sont investies conformément au présent règlement sur le territoire de l’Etat membre dont elle relève.

4 Article 37, alinéa 5, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions »5.

Quelles sont les missions de l’autorité de contrôle ?

En tant qu’interlocuteur privilégié des responsables de traitement ou sous- traitants, l’autorité de contrôle supervise les activités de traitement des données à caractère personnel mises en place par les entités économiques et sensibilise les opérateurs en ce qui concerne les obligations qui leur incombent en vertu du présent règlement.

L’autorité de contrôle accompagne les responsables de traitement ou sous-traitants dans leur mise en conformité avec le Règlement en fournissant une véritable assistance sur les opérations de traitement et en proposant des mesures en adéquation avec le nouveau cadre règlementaire. A ce titre, l’autorité de contrôle encourage l’élaboration de codes de conduite et la mise en place de mécanismes de certification qui fournissent des garanties suffisantes pour les entreprises en charge de traitements de données personnelles.

Aussi, l’autorité de contrôle émet, de sa propre initiative ou sur demande, des avis à l’attention des organismes sur toute question relative à la protection des données et établit annuellement un rapport d’activité informant le public des types de traitements considérés comme illicites et les mesures nécessaires pour y remédier.

Comment identifier son autorité de contrôle ?

Pour identifier aisément son autorité de contrôle en charge de la coopération, l’article 56 du Règlement prévoit que c’est l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant qui est compétente.

Par établissement principal, l’article 4 du Règlement dispose que, concernant un responsable de traitement établi dans plusieurs Etats membres, il faut entendre le lieu de son administration centrale dans l’Union, « à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal »6.

Aussi, les responsables de traitement ou sous-traitant ayant leur établissement principal ou établissement unique sur le territoire français auront pour seul interlocuteur la Commission nationale de l'informatique et des libertés (CNIL).

5 Article 31, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
6 Article 4, paragraphe 16, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.

Comment la CNIL accompagne-t-elle les professionnels dans leurs démarches de conformité ?
Afin d’assurer une transition parfaite vers le nouveau cadre règlementaire, la CNIL accompagne les professionnels en charge de traitements de données à caractère personnel dans leurs démarches de mise en conformité.

A ce titre, la CNIL met d’ores et déjà à disposition des entités économiques de nombreux outils de conformité pour guider les professionnels et les sensibiliser aux actions spécifiques à mener.
Quelques exemples d’outils proposés par la CNIL :
- Les lignes directrices du G29 pour une compréhension et une interprétation commune du RGPD ;
- Les 6 étapes pour se préparer à l’entrée en vigueur du RGPD ;
- Les FAQ disponibles sur le site de la CNIL pour prendre connaissance
simplement des principales nouveautés ;
- Les modèles-type de formulaires et registres mises en ligne par la CNIL ;
- La rédaction de référentiels pour guider les professionnels dans leurs démarches de conformité ;
- Le « pack TPE-PME » pour tenir compte de la complexité du texte pour les petites et moyennes entreprises 
- Les ateliers à Station F organisés par la CNIL de sensibilisation générale et sectorielle.

Comment la CNIL contrôlera-t-elle la mise en conformité avec le RGPD à partir du 25 mai 2018 ?

A compter du 25 mai 2018, la présidente de la CNIL rappelle aux opérateurs économiques qu’elle fera preuve d’indulgence dans le cadre des contrôles de conformité. « Le 25 mai ne sera pas une date couperet annonciatrice d'une pluie de sanctions »7 assurait Isabelle Falque-Pierrotin dans un entretien consacré par le quotidien les Echos.

Dans ce contexte, et notamment face au renforcement du montant des sanctions, la CNIL distinguera les obligations qui s’imposent aux opérateurs. A ce titre, elle rappelle que les principes fondamentaux liés à la protection des données restant de manière générale inchangés, ils continueront donc de faire l’objet d’un contrôle accru. Néanmoins, en ce qui concerne les nouvelles obligations issues du

7 La Tribune, « RGPD : la position de la CNIL sera souple au début », 18 février 2018, latribune.fr
Règlement, les contrôles réalisés par la CNIL auront pour intérêt d’accompagner et d’informer les entités dans la mise en œuvre pratique du cadre règlementaire.

« En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »

B) L’adoption de nouveaux process dans l’organisation interne de l’entreprise

Avant-Propos : il ne faut pas perdre de vue que la notion de finalité du traitement des données s’impose en tant que fil conducteur dans la détermination de la licéité du traitement. Tout traitement doit répondre à « des finalités déterminées, explicites et légitimes »9, et porter sur un objet proportionné. Les opérateurs économiques se doivent donc de cantonner le traitement aux données strictement nécessaires pour atteindre le but souhaité. Aussi, il semble nécessaire de déterminer et d’encadrer strictement les processus à adopter pour parvenir à une mise en conformité efficace.

1) ETAPE 1 - Le recensement des types de données traitées

Afin de connaître précisément les types de données contenues dans leur système d’information, les opérateurs économiques doivent en premier lieu s’attraire à identifier et à cartographier les traitements de données réalisés.

En effet, pour protéger correctement les types de données traitées par le responsable du traitement, il est notamment nécessaire de connaître le format sous lequel est catégorisée la donnée ainsi que son contenu exact.

Dans le cadre d’une documentation interne ou plus particulièrement d’un registre des traitements comme l’impose désormais le règlement, les organismes doivent alors recenser clairement:
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées tout en mettant en évidence les données susceptibles de soulever des risques en raison notamment de leur sensibilité particulière,
- Les objectifs poursuivis par les opérations de traitements de données,
- Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité,
- Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne,
8 CNIL, « RGPD : comment la CNIL vous accompagne dans cette période transitoire », 19 février 2018 », cnil.fr
9 Article 6, paragraphe 2, de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés10 CNIL, « Cartographier vos traitements de données personnelles », 09 mars 2017, cnil.fr

- La durée de conservation des données,
- Les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données.

Pour ce faire, les opérateurs économiques devront adoptés des schémas de structuration de données et élaborer un véritable répertoire des données complet et précis dans son contenu.
A ce titre, la CNIL accompagne les entreprises dans leur mise en conformité au règlement européen en proposant un modèle de registre des traitements (se reporter au site de la CNIL11).

2) ETAPE 2 - L’identification des actions de conformité à mener

En s’appuyant sur le registre des traitements de l’entreprise, les opérateurs économiques se voient dans l’obligation d’identifier clairement les actions à mener afin de se conformer au nouveau règlement. Au titre d’un travail préparatoire réalisé par la CNIL, celle-ci indique aux entreprises les 2 principaux plans d’action à mettre en œuvre.
D’une part, un plan d’action qui se veut général et qui concerne l’ensemble des traitements. A ce titre, la CNIL rappelle l’importance :
- d’identifier la base juridique sur laquelle se fonde le traitement,
- de réviser les mentions d’information afin qu’elles soient conformes aux
exigences de règlement,
- de vérifier que les sous-traitants connaissent les nouvelles obligations et
leurs responsabilités. A ce titre, il semble important d’inclure des clauses contractuelles rappelant les obligations du sous-traitant notamment en matière de sécurité, confidentialité etc...,
- de prévoir les modalités d’exercice des droits des personnes concernées,
- de vérifier les mesures de sécurité mises en place.

D’autre part, un plan d’action concernant les traitements nécessite une vigilance particulière. Entre notamment dans le champ d’application de cette action, toutes données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ; les données concernant la santé ou encore les mineurs. Aussi, les traitements ayant pour objet ou pour effet la surveillance systématique à grande échelle d’une zone accessible au public ou encore l’évaluation systématique et approfondie d’aspects personnels. Enfin, tous les transferts de données hors UE relèveront aussi d’une attention particulière.

Dans ce cas, les opérateurs économiques doivent veiller à gérer prioritairement ces types de traitements susceptibles d’engendrer des risques élevés en les soumettant à un processus de conformité particulier.

11 CNIL, « Prioriser les actions à mener », 02 mars 2017, cnil.fr

3) ETAPE 3 - La gestion prioritaire des traitements susceptibles d’engendrer des risques élevés

En toute logique, les acteurs économiques devront prioriser les actions à mener au regard du niveau de risque que fait peser le traitement des données personnelles sur les droits et libertés des personnes physiques concernées.

En cas d’identification de traitements de données susceptibles d’engendrer des risques élevés, les opérateurs se voient dans l’obligation de mettre en œuvre des mesures spécifiques nécessitant une vigilance particulière.

A ce titre, le règlement prévoit que le responsable du traitement ou le sous- traitant doit « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques (...) mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »12.

Soumis à une véritable obligation générale de sécurité, les opérateurs économiques se voient dans l’obligation d’instaurer une véritable politique de sécurité dédiée à la protection des données à caractère personnel. A ce titre, il semble alors nécessaire d’établir des actions concrètes d’évaluation des risques d’atteinte aux données, adaptées au niveau de risque identifié et ce notamment en terme « de confidentialité, d’intégrité, de disponibilité et de résilience constante des systèmes et des services de traitement »13.

Plus précisément, en cas de faille de sécurité affectant des données à caractère personnel, le responsable du traitement le notifie à l’autorité de contrôle dans les meilleurs délais et si possible dans les 72 heures après en avoir pris connaissance, sauf à démontrer qu’il est peu probable que la violation de données engendre un risque pour les droits et libertés des personnes physiques.

Si la notification ne peut avoir lieu dans les 72 heures, le responsable du traitement devra assortir sa notification de motifs justifiant son retard.

Le règlement impose une notification claire et détaillée, le responsable du traitement devant décrire la nature de la violation des données et formuler des recommandations à la personne physique concernée pour qu’elle puisse prendre les précautions qui s’imposent.

En pratique, il est nécessaire que les entités économiques formalisent de véritables procédures de gestion des failles de sécurité qui décrivent précisément la marche à suivre. A ce titre, il est grandement recommandé d’élaborer des modèles types de notification à l’autorité de contrôle par exemple ainsi que des registres spécifiquement dédiés aux failles de sécurité énumérant les erreurs à ne plus commettre.
12 Article 32, paragraphe 1, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.13 Idem

4) ETAPE 4 - La détention d’une documentation actualisée

Dans le but d’assurer une protection des données en continu, les acteurs économiques doivent être en mesure de constituer une documentation claire et précise prenant systématiquement en compte l’ensemble des évènements survenant au cours de la vie du traitement des données. A ce titre, l’ensemble des actions réalisées et documents rédigés à chaque étape du traitement d’une donnée personnelle doit faire l’objet d’une réactualisation régulière afin d’assurer une protection effective des données personnelles.
Aussi, les entreprises se verront donc dans l’obligation d’instaurer des processus internes permettant un réexamen constant des modifications survenues à l’occasion du traitement d’une donnée.

L’organisation de processus internes au sein des entreprises concernées permettra une véritable anticipation quant à la gestion des risques relative au traitement des données personnelles et ce notamment au regard des violations de données.

II) Les mesures techniques de protection des données à caractère
personnel

Dans le cadre d’une augmentation accrue des échanges de données à caractère personnel, le Règlement Général de Protection des Données impose à toute entité économique en charge du traitement de données personnelles d’intégrer, en interne, des mesures techniques, qu’elles soient juridiques (A) ou informatiques (B) pour assurer la protection des données et sécuriser les échanges sur le territoire de l’Union européenne.
A) Les mesures juridiques de sécurisation des données

➢ La certification de traitement

De manière générale, le règlement européen soutient les mécanismes de certification en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par le responsable de traitement ou le sous- traitant respectent les dispositions du nouveau texte.
Volontaire, le mécanisme de certification repose sur un processus transparent, le responsable du traitement ou sous-traitant devant soumettre à l’autorité en charge de la certification toutes informations ainsi que l’accès à ses activités de traitement nécessaire à la procédure.

La certification est délivrée par l’autorité de contrôle de l’Etat membre ou par un organisme national d’accréditation14 sur la base de critères approuvés et ce pour une durée de trois ans. Celle-ci pourra être renouvelée dans les mêmes conditions si les modalités d’application continuent d’être satisfaites ou au contraire retirée lorsque les exigences applicables à la certification ne sont plus satisfaites.

➢ L’adhésion à des codes de conduites

Le règlement encourage l’adhésion de codes de conduites contribuant à la bonne application du nouveau cadre législatif en vigueur. Aussi, toutes associations ou autres organismes représentant des catégories de responsable du traitement ou sous-traitant « peuvent élaborer des codes de conduites, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement ».

En pratique, les codes de conduites devront au préalable être soumis à l’approbation de l’autorité de contrôle compétente qui l’enregistrera et le publiera. Aussi, toute entreprise adhérant à un code de conduite sera surveillée par des organismes accrédités qui, en cas d’infraction du responsable du traitement, pourront suspendre ce statut.

En cas de traitements transfrontaliers, l’adhésion à un code de conduite de la part du responsable du traitement ou du sous-traitant situé en dehors de l’Union européenne peut constituer un élément de preuve permettant de démontrer que l’opérateur a mis en œuvre des mesures de protection adéquates pour permettre le transfert de données. Dans ce cas, le code de conduite devra être soumis à l’avis du Comité européen de la protection des données.

➢ Les études d’impact sur la vie privée (EIVP)

Qu’est-ce qu’une analyse d’impact sur la vie privée ?

L’article 35 du Règlement prévoit la nécessité de mettre en œuvre une analyse d’impact relative à la protection des données « lorsqu’un type de traitement [...] est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’étude d’impact reposera sur une évaluation juridique et technique pour comprendre au mieux les risques que fait peser le traitement sur la sécurité des données15 et les conséquences de ces risques pour les droits fondamentaux des personnes concernées. A ce titre, le responsable du traitement devra notamment prendre en compte la nature, la portée, le contexte ainsi que la finalité du traitement.

Cette analyse d’impact doit être effectuée avant la mise en œuvre des opérations de traitement et peut porter sur un ou plusieurs traitements constituant un ensemble similaire. Il est en effet souhaitable de mettre en place l’analyse

14 L’organisme national d’accréditation est désigné conformément au Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93.
15Constituent notamment des risques : les accès non autorisés, les modifications et disparitions de données ainsi que leurs impacts potentiels sur la vie privée.

d’impact le plus en amont possible et de la réactualiser régulièrement pour s’assurer que le niveau de risque reste acceptable.

Le Règlement précise qu’il revient à l’autorité de contrôle d’établir et de publier

« une liste des types d’opération de traitement pour lesquelles une analyse d’impact [...] est requise »16, qui sera ensuite communiquée au comité européen.

Aussi, le Règlement rappelle qu’une telle analyse sera nécessaire en cas :
a) « d'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
b) de traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 ;
c) de surveillance systématique à grande échelle d'une zone accessible au public »17.
Traitements concernés par l’EIVP
16 Article 35, paragraphe 5 du Règlement (UE) 2016/679 du 27 avril 2016, préc.17 Article 35, paragraphe 3 du Règlement (UE) 2016/679 du 27 avril 2016, préc.
Traitements présentant des risques particuliers du fait de :
leur nature
leur portée
leur contexte
leurs finalités

Traitements présentant des risques particuliers du fait du règlement :
évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé
traitement de catégories particulières ou relatives à des infractions ou condamnations pénales
surveillance systématique à grande échelle d’une zone accessible au public.

Traitements présentant des risques particuliers du fait de l’autorité de contrôle pour les droits et libertés des personnes concernées

Quel est le processus à adopter pour la mise en œuvre d’une analyse d’impact ?

En collaboration avec le Délégué à la Protection des Données, si un tel organe existe au sein de l’entreprise, le Responsable du traitement doit formaliser précisément une procédure pour la réalisation de l’analyse d’impact et déterminer ses modalités d’application.

A minima, il s’agira de dresser une description systématique des opérations de traitements envisagées et des finalités du traitement. A cette liste, s’ajoute une évaluation relative à la nécessité et à la proportionnalité des opérations de traitement au regard de ses finalités ainsi qu’une analyse des risques que pourrait engendrer le traitement sur les droits et libertés des personnes concernées. Enfin, il sera nécessaire d’envisager un ensemble de mesures visant à faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

Quelles conséquences en cas de traitement présentant un risque élevé pour les droits et libertés des personnes concernées ?

Dans le cas où l’analyse d’impact conclurait que le traitement présente un risque élevé, et si le responsable du traitement ne prend aucune mesure d’atténuation du risque, alors celui-ci devra consulter l’autorité de contrôle avant la mise en œuvre du traitement. A ce titre, le responsable du traitement communique notamment à l’autorité les finalités et les moyens du traitement envisagé, l’analyse d’impact réalisée ou encore les mesures et garanties prévues afin de protéger les droits et libertés des personnes concernées.
Dans le cadre de cette consultation préalable, l’autorité de contrôle peut admettre que le traitement effectué par le responsable du traitement respecte les dispositions du règlement et qu’il est à ce titre légitime.

Néanmoins, lorsque l’autorité de contrôle estime que le traitement constitue une violation du règlement, celle-ci doit fournir par écrit et ce dans un délai maximum de 8 semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement. A ce titre, l’autorité est en droit d’user des pouvoirs prévus à l’article 58 du règlement.

B) Les mesures informatiques de sécurisation des données

➢ Les techniques de pseudonymisation et de chiffrement

Mise en évidence par le RGPD, le mécanisme de pseudonymisation s’impose aujourd’hui comme l’une des principales mesures techniques pour se conformer aux nouveaux principes de Privacy by design (protection dès la conception) et Privacy by default (protection par défaut).

Définie à l’article 4 du Règlement, la pseudonymisation est une méthode de « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable »18.

Aussi, la pseudonymisation consiste à remplacer un attribut, généralement une donnée à caractère personnel, par un pseudonyme c’est-à-dire un identifiant aléatoire pour rompre le lien permettant l’identification de la personne. Cette technique s’impose ainsi comme une garantie efficace du droit au respect de la vie en assurant « un niveau de sécurité adapté au risque de destruction, de perte, d’altération ou de divulgation non autorisée de données personnelles »19.

Exemple de technique de pseudonymisation : la pseudonymisation est une méthode couramment utilisée dans l’industrie des cartes de paiement. Il s’agit de remplacer des données sensibles par des données de substitution dans l’objectif de sécuriser les transactions électroniques. A ce titre, les numéros de cartes bancaires sont remplacés par des numéros aléatoires afin de prévenir les risques de fraudes.

TECHNIQUES DE PSEUDONYMISATION

⇨ Système cryptographique à clé secrète
18 Article 4, paragraphe 5, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.19 Article 32, alinéa 2, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.