Newsletter n°29 | Règlement général sur la protection des données : anticipez !

Le nouveau règlement européen sur la protection des données personnelles n°2016/679 du Parlement européen et du Conseil voté le 27 avril 2016 entrera en application le 24 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Ce règlement vise à remplacer la directive européenne de 1995 sur la protection des données à caractère personnel (95/46/CE), par une législation unique, afin de mettre fin à la fragmentation actuelle entre les Etats membres.

Outre la mise en place d’un cadre juridique unifié au niveau européen, les objectifs du RGPD sont :

• Un renforcement des droits des personnes, déjà amorcé par des décisions emblématiques comme l’arrêt GOOGLE SPAIN de la CJUE (13 Mai 2014 affaire C‑131/12), consacrant le droit à l’oubli ;
• Une conformité basée sur la transparence et la responsabilisation ;
• Des responsabilités partagées et précisées (le sous-traitant devient responsable comme le donneur d’ordre) ;
• Le cadre des transferts hors de l’Union mis à jour ;
• Des sanctions encadrées, graduées et renforcées.

Ce règlement, applicable dans tous les états membres dès le 24 mai 2018, nécessite de repenser complètement l’approche du traitement des données personnelles. Nous passons d’un régime déclaratif avec sanction a posteriori, à un régime d’anticipation et de responsabilisation. Ce changement de paradigme se traduit concrètement par un allégement des obligations déclaratives, mais un renforcement, voire la création,  de certaines obligations pour les entreprises. Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information et la transparence, et la sécurité.

• Anticipation : les entreprises devront être en mesure de justifier en cas de plainte, de faille ou de contrôle de la CNIL, de la licéité du traitement, des études d’impact préalable lorsqu’elles sont nécessaires, du consentement de la personne physique dont la donnée a été récoltée, et de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée.
• Information : une obligation de transparence va désormais s’imposer aux sociétés qui gèrent, stockent, hébergent, traitent, vendent, etc… des données à caractère personnel. Les personnes physiques dont les données sont récoltées vont devoir être informées de la finalité du traitement, de leur droit d’accès, de rectification, droit à l’oubli et à la portabilité
• Sécurisation : l’entreprise va devoir tout mettre en œuvre pour sécuriser les données qu’elle détient, selon un principe de « Security by default ». Elle va devoir permettre une traçabilité de la donnée, déclarer toute faille de sécurité à la CNIL dans un délai très bref (72h selon le règlement) et les sanctions en cas de manquement à ces obligations seront  renforcées (jusqu’à 4% du CA mondial et 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction.Tous les domaines peuvent être impactés : l’organisation et les systèmes d’information mais également la gestion RH, la gestion commerciale (prospection, marketing, gestion des fichiers clients,…), la gestion des fournisseurs, et bien entendu la gestion informatique des entreprises.

Un avant-goût de l’application du RGPD ?

La CNIL par délibération du 13 avril 2017 vient d’épingler la société Allocab en souhaitant sensibiliser les responsables de traitement. Allocab, société française, fondée en 2011, fonctionne sur le même principe qu’Uber : elle propose des services VTC au travers d’un réseau de chauffeurs partenaires. Outre les partenariats signés avec ses chauffeurs partenaires, la principale valeur de ce type de société réside dans sa base client ainsi que dans sa plateforme de réservation de courses. Le traitement de données à caractère personnel est donc essentiel dans l’activité d’Allocab.

La plainte à l’encontre de cette société a été adressée à la CNIL par l’un de ses clients, soucieux de la conservation de ses coordonnées bancaires. Le contrôle de la Commission, en 2015 , a constaté par procès-verbal plusieurs manquements de la part de la société Allocab, dont notamment :

• absence de détermination de durées de conservation (et notamment en matière de cryptogrammes de cartes de paiement) sur le fondement de l’article 6-5° de la loi du 6 janvier 1978 modifiée ;
• mesures de sécurité inadéquates, notamment en matière de gestion des mots de passe (conservation en clair, communication en clair dans le courrier électronique de confirmation de création de compte, absence de robustesse imposée) sur le fondement de l’article 34 de la loi du 6 janvier 1978 modifiée.

Un nouveau contrôle en 2016 a été opéré par la CNIL, afin de vérifier si la société avait mis à profit le délai imposé, pour se mettre en conformité. Mais les manquements subsistaient. Ce n’est qu’à compter du 13 février 2017, qu’Allocab sera pleinement en conformité, ce qui a conduit la CNIL – un peu à titre d’avertissement –à rendre publique sa décision. D’autres entités ont également fait l’objet d’avertissements publics précédemment,  pour ce même grief, comme la Fnac qui conservait dans sa base de données plus de 780 000 cryptogrammes visuels de cartes bancaires en cours de validité, ou encore Cdiscount, qui faisait figurer des données bancaires (cryptogramme inclus) en clair dans les champs commentaires de sa base de données…

Il est donc fortement conseillé de prendre dès que possible les mesures adaptées à votre entreprise, en commençant dès aujourd’hui à intégrer les préconisations du  Règlement Général Européen de Protection des Données (RGPD/DGPR) dans vos process, de manière à anticiper le 25 mai 2018.

Pour une lecture de la délibération CNIL intégrale : Délibération n°SAN 2017-002 du 13 avril 2017.