6 questions autour des enjeux du GDPR posées à 2 experts [Compte-rendu Journée JDN « DMP »]

Le GDPR (General Data Protection Regulation) entrera en application le 25 mai 2018, c’est-à-dire demain ! Ce règlement va imposer de nouvelles règles, exigeantes, en matière de traitement des données. Toutes les entreprises faisant du traitement de données personnelles sur des citoyens européens sont concernées. Clémence Scottez, qui portait la voix de la CNIL, a listé les actions que les entreprises devront avoir réalisées d’ici au 25 mai 2018 :

• La cartographie des données et de leurs traitements : nature des données, flux, usages, destinataires, gestion des accès…
• La désignation d’un pilote de cette cartographie, idéalement ayant la fonction de Data Protection Officer.
• L’identification des traitements à risque pour les personnes (ou supposés tels). Les entreprises devront avoir enclenché des mesures sur les traitements à risque (ie, des études d’impact). Clémence Scottez a rappelé que la CNIL avait une vision assez large des « risques ». La pseudonymisation, par exemple, ne supprime pas le risque, dès lors qu’il y a du tracking.
• La constitution et la mise à jour d’une documentation consultable par la CNIL, dans laquelle sont répertoriés les traitements, les risques, les mesures prises.

Olivier Iteanu a, pour sa part, insisté sur l’importance de montrer aux autorités de contrôle qu’une démarche avait été initiée – via la documentation. Il a également rappelé que le RGPD était un « règlement » et non une directive, ce qui signifie que le texte sera applicable dès le 25 mai 2018.

La CNIL propose sur son site internet une démarche de mise en conformité en 6 étapes. Il s’agit d’une démarche très générale qui ne doit pas tromper, comme le souligne Olivier Iteanu : dans les faits, chaque démarche est spécifique, fonction de la taille de l’entreprise, de ses ressources, de son organisation, de son secteur d’activité (plus ou moins réglementé), de son implantation (nationale/internationale). Certaines entreprises disposent depuis longtemps d’un correspondant Informatique et Libertés (CIL) d’autres pas, certaines sont certifiées ISO 27 001, d’autres pas. Ces spécificités ont une incidence sur le design de la démarche. S’il n’y a pas de démarche « standard » au niveau de la mise en conformité, il est en revanche probable que se développent des outils standardisés pour opérer le contrôle et le suivi de la conformité.

Les nouvelles règles de traitement des consentements et de gestion des cookies vont avoir un fort impact sur le fonctionnement de la DMP. Pour Olivier Iteanu, le concept de « consentement » est le concept central du GDPR. L’avocat en a d’ailleurs profité pour rappeler qu’un règlement annexe au GDPR sur l’ «e-privacy », traitant spécifiquement de la question du consentement et des cookies, était actuellement en cours de discussion au sein des instances européennes. Une des idées développées par ce règlement, d’après les éléments connus, serait de donner la possibilité aux internautes de bloquer tous les cookies à partir des options de paramètrages du navigateur web. Clémence Scottez a ensuite apporté quelques éléments de précision, en commençant par rappeler que des règles européennes en matière d’« e-privacy » existaient déjà – comme par exemple l’obligation faite aux acteurs utilisant les cookies d’afficher un bandeau de consentement sur leur site. Cette possibilité offerte aux internautes de paramétrer leur navigateur pour bloquer les cookies doit être reliée, selon Clémence Scottez, au concept de Privacy By Design. Un logiciel conçu « By Design » doit donner aux internautes le pouvoir de contrôler leurs données et le traitement qui en est fait – et notamment de bloquer toute fuite d’informations. Les sites internet pourront demander le consentement au cas par cas à leurs internautes. Sur ce point, Clémence Scottez a longuement insisté sur les enjeux de communication. Selon la responsable de la CNIL, les entreprises doivent réfléchir dès maintenant au discours qu’elles tiendront aux internautes pour expliquer la finalité de la collecte de données et la justifier en termes économiques. Il reviendra aux entreprises de démontrer qu’elles s’inscrivent dans une démarche vertueuse si elles veulent emporter le consentement des internautes / utilisateurs. Clémence Scottez rappelle, pour finir, que l’utilisateur ou internaute aura la possibilité de s’opposer a posteriori au consentement. En clair, suite au dépôt d’un cookie, l’internaute pourra demander à tout moment à l’entreprise l’arrêt du tracking.

Le GDPR contient un volet important sur les enjeux autour de la responsabilité des entreprises. Pour Clémence Scottez, le GDPR opère un changement de paradigme. Le règlement européen prévoit la suppression du système de déclaration préalable aux autorités de contrôle et la suppression du système d’autorisation préalable qui permettait à la CNIL de vérifier en amont la conformité des traitements. Dorénavant, ce sera aux entreprises de documenter et de prouver par une documentation adéquate que les traitements sont conformes à l’ensemble des principes organisant le RGPD : pertinence des données collectées et traitées par rapport aux finalités (data minimization), durée limitée de conversation des données, respect du droit des personnes (mises en place de mécanismes pour répondre à leurs droits d’accès, d’opposition…), etc. La déclaration a priori est remplacée par l’éventualité du contrôle a posteriori. Ce principe de responsabilité permet de décharger les entreprises des formalités déclaratives, mais l’objectif poursuivi est surtout de développer une prise de conscience de la part des entreprises et de les conduire à améliorer la gestion de leurs données. Pour faire comprendre ce principe de responsabilité des entreprises, Olivier Iteanu a utilisé une métaphore intéressante. Il a comparé la responsabilité GDPR à la responsabilité comptable. Chaque entreprise doit, tous les ans et à date fixe, établir des bilans. Ces bilans doivent respecter un plan comptable « By Design ». Le plan comptable doit lui-même respecter des règles de droit comptable et des principes (principe de prudence, de sincérité, etc.). Tout doit être documenté (journal, factures…). Certaines entreprises ont obligation de désigner un commissaire aux comptes (comparé dans cette métaphore au DPO), d’autres non. L’entreprise qui ne respecte pas toutes ces règles finit un jour ou l’autre par être rattrapée : c’est cela que traduit le principe de responsabilité qui est mis en avant par le règlement RGPD.

Clémence Scottez et Olivier Iteanu ont apporté des éclairages très instructifs à cette question technique, mais importante, du partage des responsabilités entre les entreprises et les sous-traitants. Olivier Iteanu a commencé par expliquer que cette idée de partage des responsabilités était une innovation du GDPR. Il a ensuite rappelé quelques définitions utiles :

• Le responsable de traitement est la personne qui, dans l’entreprise, a un pouvoir de décision sur les données personnelles.
• Le sous-traitant (hébergeur, éditeur de logiciels, centre de contacts offshore…) n’a, quant à lui, pas de pouvoir de décision. Il agit sur instruction du responsable de traitement.

La réglementation RGPD a vocation à s’appliquer aux entreprises et à ses responsables de traitement, mais la responsabilité du sous-traitant pourra être engagée si ce dernier outrepasse son rôle et agit directement sur les données (pour son compte ou pour celui du responsable de traitement). Clémence Scottez a, quant à elle, insisté sur le fait que le travail de cartographie initiale comprenait aussi l’identification des sous-traitants et des prestataires. Les entreprises doivent être au clair sur la nature des relations qu’elles entretiennent avec leurs prestataires. Un prestataire qui agit / a agi sur les données traitées par l’entreprise doit être qualifié de responsable de traitement et non de sous-traitant. Lorsque par exemple une entreprise, via la DMP, récupère un fichier de données enrichies, le fournisseur du fichier ne peut pas être considéré comme un sous-traitant. Clémence Scottez a très pertinemment insisté sur la distinction qui doit être faite, dans l’optique du GDPR, entre « prestataire » et « sous-traitant ».

Vous êtes une entreprise, vous souhaitez vous lancer dans la démarche de mise en conformité. Par où commencer ? C’est la question que nous avons posée à nos deux intervenants pour conclure. Pour Clémence Scottez, le point de départ est la cartographie des traitements. Elle a rappelé qu’il ne s’agissait pas uniquement d’analyser les données stockées, mais aussi et surtout d’analyser les traitements opérés sur ces données. Ce travail initial suppose des compétences. C’est la raison pour laquelle désigner un Data Protection Officer (DPO) apparaît comme incontournable – indépendamment du caractère obligatoire ou non de sa désignation. Le DPO est l’acteur pivot du pilotage de la mise en conformité GDPR, il assure la cohérence de la démarche, fait sortir l’organisation du fonctionnement en silos et prémunit du risque de dispersion. Olivier Iteanu a exprimé le même avis, en recommandant le recours à un DPO interne lorsque l’entreprise en a les moyens. L’avocat a préconisé également un travail d’analyses juridiques, autour de trois groupes de questions :

• Est-ce que les traitements sont licites ? D’où viennent les données ? Quelle est leur durée de conservation ?
• Les traitements sont-ils ordinaires ou à risque ? Si certains traitements sont à risque, l’entreprise doit procéder à des études d’impact et, le cas échéant, consulter la CNIL.
• Quel est le statut de l’entreprise par rapport à ses traitements : responsable de traitement ? Sous-traitant ?