Protection des données personnelles - La version française du RGPD sensiblement modifiée par les sénateurs

La question de la sécurité des données personnelles à l'heure de l'hyperconnectivité devient critique. En témoigne le scandale planétaire qui a suivi de près la saisie, par l’équivalent britannique de la Cnil, des serveurs de Cambridge Analytica, la société impliquée dans la fuite des données de pas moins de 50 millions d’utilisateurs du réseau social Facebook.
Dans ce contexte, on comprend bien l’intensité du débat parlementaire autour de la transposition dans le droit français du règlement général sur la protection des données (RGPD), le nouveau cadre juridique européen dont les dispositions, qui imposent une protection accrue des données personnelles, seront applicables en France dès le 25 mai 2018.
Ce texte européen devait être transposé avant le 6 mai 2018, c’est pourquoi le gouvernement a engagé le 13 décembre dernier une procédure accélérée qui limite le nombre de lectures parlementaires du projet de loi d’application, en vue d’une adoption jugée urgente.

Un texte technique à enjeux sociétaux

Après son adoption par les députés le 13 février, c’était au tour des sénateurs de l’adopter dans la nuit du 21 au 22 mars, au détour de certains amendements substantiels. Ce projet de loi tire en effet parti de certaines marges de manœuvre laissées par le législateur européen à la discrétion des Etats, et le gouvernement a assumé le choix d’une application souple, autrement dit celui de ne pas "sur-transposer", là où les sénateurs se sont montrés légèrement plus sourcilleux.
La garde des Sceaux, Nicole Belloubet, et le président de la commission des lois, Philippe Bas, se sont accordés à reconnaître le caractère sensible d’un projet de loi qui, "d'apparence technique, recèle des enjeux politiques considérables". Il préfigure en effet un modèle de société digitalisée sur des questions comme la majorité numérique, fixée à 15 ans par les députés, et ramenée à 16 ans par les sénateurs, en accord sur ce point avec le gouvernement.
Le règlement poursuit trois objectifs, synthétise la rapporteure du texte, Sophie Joissains : "renforcer la protection avec le droit à l'oubli, la portabilité des données personnelles et les actions collectives ; responsabiliser les acteurs en graduant le risque, en privilégiant le droit souple, en passant du contrôle a priori au contrôle a posteriori et en mettant fin à l'essentiel des formalités préalables au bénéfice d'une obligation de conformité du traitement dès sa conception ; crédibiliser la régulation à la mesure des enjeux de souveraineté numérique en consacrant l'extra-territorialité et en prévoyant des sanctions réellement dissuasives".

Renforcer la protection des e-citoyens

Les sénateurs ont réintroduit le droit de récupération des données en l’étendant, au delà des données personnelles (comme prévu dans le RGPD) à tous les fichiers mis en ligne par l’utilisateur, notamment les photos. "Il est important que les citoyens s’emparent de leurs données", commentait Mounir Mahjoubi, secrétaire d’Etat chargé du numérique, qui s’est livré à l’exercice en récupérant toutes ses données compilées par Uber. Il s’est dit stupéfait de constater que l’opérateur connaissait systématiquement sa géolocalisation 5 minutes après la fin d’une course.
Le droit à l’oubli, consacré par le projet de loi, permet à chaque utilisateur de contraindre un opérateur de données (Amazon, Facebook, etc.) à supprimer toutes ses données sur l’ensemble des lieux de stockage connus, ce qui suppose une parfaite maîtrise des bases de données personnelles, une obligation potentiellement lourde pour de plus petites entreprises.
Les responsables de traitements ainsi que leurs sous-traitants auront l’obligation de "garantir un niveau de sécurité adapté au risque”. Le texte suggère la pseudonymisation ou le chiffrement des données personnelles dans ces systèmes et services de traitement. Les sénateurs ont préféré imposer le chiffrement des données "chaque fois que cela est possible"
La procédure de l’action de groupe en matière de protection des données personnelles avait fait l’objet d’un amendement en examen à l’Assemblée nationale, afin de la rendre plus opérationnelle et effective. Les sénateurs ont durci les conditions de mise en oeuvre de ce dispositif, par crainte d’une explosion de ses applications. La transformation de la procédure, quoique approuvée, n’interviendrait pas avant 2020.

Responsabiliser les acteurs

Le projet de loi vise ici aussi bien les entreprises que les administrations publiques. En contrepartie des nouveaux droits accordés aux particuliers, le système de contrôle des données est assoupli en vertu d’un principe de responsabilisation des opérateurs de données.
Les formalités déclaratives sont simplifiées - hormis pour les données sensibles (données de santé, biométriques ou génétiques) - tandis que le contrôle a priori est remplacé par un contrôle a posteriori, ce qui laisse au soin du responsable de traitement la définition du niveau de protection adapté, au regard des moyens, des enjeux et des risques relatifs aux données collectées.
Ce principe de "privacy par design", qui suppose d’intégrer par défaut et en amont des mesures de protection élevées, est adopté en particulier pour les collectivités qui devront désigner un délégué à la protection des données (DPD) à cette fin. Si les tâches de ce DPD seront soigneusement distinctes pour chaque collectivité, le poste pourra être mutualisé, sans doute à l'échelle de l’intercommunalité.
Les acteurs publics devront publier de manière lisible et accessible leurs règles de traitements algorithmiques, par exemple pour le calcul des impôts ou des droits d’allocations.
Pour disposer d’une vue d’ensemble des données recueillies et de leur lieu de stockage, un référentiel documentaire doit être élaboré (cf. les points de vigilance listés en fin d’article). Celui-ci tiendra registre notamment des sous-traitants en possession de données personnelles, une information transmise sur demande aux consommateurs.
Contre l’avis du gouvernement, qui jugeait la mesure inapplicable, les sénateurs ont introduit des dispositions en vertu desquelles les établissements d’enseignement scolaire devront mettre à la disposition du public "la liste des traitements automatisés de données à caractère personnel effectués sous leur responsabilité".

Crédibiliser la régulation

Tout d’abord, le cadre protecteur est unifié à l’échelle européenne avec une coopération renforcée des autorités de protection, afin de pouvoir appliquer les dispositions du RGPD quelle que soit la localisation du stockage des données.
La Cnil est au coeur de cette nouvelle législation : toute violation des données personnelles devra lui être signalée (ainsi qu’aux personnes concernées en cas de risque élevé), avec une amende en cas de manquement. Des sanctions sont prévues jusqu’à 4% du chiffre d’affaires mondial de la société, avec un plafond de 20 millions d’euros. Un amendement sénatorial prévoit que les collectivités soient exemptées de ces sanctions.
Le Sénat a par ailleurs confié à la Cnil l’établissement d’une "charte de déontologie", recensant les meilleures pratiques en matière de gestion de données, afin d’accompagner les DPD.
Enfin, la Cnil est chargée par les sénateurs d’une fonction de certification aux limites assez floues (personnes, produits, systèmes). Le domaine des objets connectés est particulièrement ciblé, avec une labellisation par la Cnil des objets répondant aux exigences de sécurité des données. En somme, la Cnil pourra signaler les objets connectés n’offrant pas la possibilité de désactiver la collecte de données de l’utilisateur, si elle parvient à assumer cette lourde charge de labellisation.

Une dotation pour soutenir la mise en conformité des collectivités

D’après Sophie Joissains, seules 15% des collectivités seraient au fait du nouveau règlement et de ses dispositions. Elles sont pourtant concernées au premier chef par les nouvelles exigences, même si le Sénat leur a assuré l’impunité financière en cas de manquement à leurs obligations. Le Conseil d’Etat avait d’ailleurs émis un avis défavorable le 7 décembre dernier, estimant que les conséquences budgétaires de cette loi pour les établissements publics et collectivités territoriales avaient été insuffisamment analysées.
Pour soutenir les collectivités dans l’effort de mise en conformité qui les attend, la rapporteure a fait adopter une dotation aux collectivités de 170 millions d’euros par an, qui serait attribuée dès 2019. Cette subvention - qui serait financée au moins partiellement par les amendes imposées par la Cnil aux entreprises défaillantes en matière de gestion des données - s'élèverait à 5 euros par habitant pour les villages de moins de 1.000 habitants, pour descendre dégressivement à 1 centime par habitant pour les villes de plus de 100.000 habitants.

Examen imminent en commission mixte

La nouvelle version du projet de loi diffère assez nettement de celle des députés. Les parlementaires se réuniront prochainement en commission mixte paritaire, afin d’élaborer une version commune entre députés et sénateurs. Issue probable, au vu des nombreux points de débat soulevés par le texte, un désaccord entre les deux chambres relancerait la navette parlementaire.

Les points de vigilance pour une mise en conformité aux dispositions du RGPD

ecommercemag.fr a identifié les points critiques de la mise en conformité au RGPD pour les e-commerçants, un mini-guide qui se transpose aisément aux obligations incombant aux collectivités.

- Identifier l’ensemble des données personnelles stockées appartenant à des citoyens de l’Union européenne, leur lieu de stockage dans les systèmes, mais aussi les process de transfert de la data vers et en dehors de l’UE. Il est fortement recommandé de tenir un registre de la data. Il doit contenir les différentes typologies de data conservées, leur lieu de stockage, leur propriétaire, leur durée de conservation légale, le but de leur collecte, si elles sont transférées à un tiers, les mesures de sécurité, les différents responsables du traitement…
- Identifier tous les tiers qui manipulent les données personnelles de ses clients et les obliger à se conformer aux obligations du RGPD en signant avec eux un document contractuel spécifique au traitement et au transfert de la donnée.
- En fonction des résultats obtenus en 1 et 2, concevoir un plan de mise en conformité.
- Mettre à jour sa politique de sécurité et de confidentialité en tenant compte des nouveautés évoquées ci-dessus et en prenant en compte notamment les sous-traitants.
- Obtenir de manière certaine le consentement de ses clients (ndlr : et de ses administrés) pour toutes les utilisations de leurs données personnelles. Si le consentement n’a pas été obtenu la donnée doit être obligatoirement supprimée.
- Être sûr de la sécurité de ses moyens de stockage pour éviter les fuites de données.
- Identifier et inscrire dans des documents légaux les conditions de transfert et de traitement de la data par des tiers, ainsi que pour tout transfert de la donnée vers un pays extérieur à l’UE.