A moins de 500 jours de la date d’applicabilité du RGPD (Règlement Général sur le Protection des Données), le 25 janvier 2016, s’est tenu la 11ème université des CIL, le plus grand rassemblement français ayant pour thématique la protection des données personnelles.
Suite à notre participation à cet évènement, voici quelques thématiques abordées au cours de cette journée riche de partage d’information et de perspectives pour la mise en conformité règlementaire.
La personne concernée reprend possession de ses données
Après un combat pour le droit à l’intimité au cours du 20ème siècle, le Docteur en psychologie, psychiatre, et psychanalyste français Serge Tisseron, indique que les préoccupations des nouvelles générations sont très différentes. L’immédiateté et l’hyper-connectivité les conduisent à considérer leurs données comme un vêtement (quelque chose que l’on peut donner, vendre, prêter) plutôt que comme un organe (partie intrinsèque de soi-même dont on ne peut se séparer). Hier les collectes de données étaient « explicites et ponctuelles », elles tendent à devenir « implicites et permanentes », à l’instar des objets connectés « écoutant » de manière continue son utilisateur pour lui apporter le service le plus personnalisé possible. En fin de conférence, le Dr Tisseron a abordé avec l’audience, le besoin de vigilance lié au placement de robots en assistance de personnes vulnérables : leurs utilisateurs peuvent ne pas comprendre ou oublier à l’usage qu’ils sont téléopérés ; les robots pourraient dans l’avenir interpréter des gestes du quotidien comme un consentement (geste de la main, hochement de la tête, etc).
Dans ce contexte, le RGPD vise à redonner aux personnes concernées le contrôle de leurs données personnelles, en introduisant de nouveaux droits (droit à la limitation, à l’effacement, à la portabilité) et en renforçant les anciens (droit d’accès, de rectification, d’opposition) . Le Député Belot parle à ce sujet de loi « d’empowerment » et de « libre disposition de ses données ». Il indique que le législateur a d’ailleurs souhaité prendre de l’avance en raison des préoccupations remontées par les citoyens, en faisant passer la Loi pour une République Numérique sans attendre l’application du RGPD. Cette loi permet notamment de donner dès à présent plus de pouvoir à la CNIL, qui peut désormais sanctionner les manquements à la loi d’amendes pouvant atteindre 3 millions d’euros.
Le règlement européen en ligne de mire, le rôle du DPO toujours incertain
Après une première modification de la Loi Informatique et Liberté par les dispositions introduites dans la Loi pour une République Numérique, et à 16 mois de sa date d’application, le RGPD est dans tous les esprits. Le Député au Parlement Européen Jan Philipp Albrecht nous met en garde sur la nécessité d’être conformes dès le 25 mai 2018 , et donc de commencer les travaux sur le sujet au plus tôt, en s’appuyant sur les ressources compétentes que sont les CIL, futurs DPO.
Pourtant, dès le début de journée, les premières questions - voire inquiétudes - sur le rôle des DPO sont exprimées par l’audience, malgré les premières lignes directrices publiées par le G29. L’AFCDP, comme le rappelle son Président, s’était positionnée en faveur d’une « clause du grand-père » qui aurait facilité la transformation des postes de CIL en fonction de DPO, ce qui ne s’est finalement pas matérialisé. Ce qui est confirmé par l’annonce de la cheffe du service des CIL : dès le début 2018, un formulaire de déclaration DPO sera mis à disposition des responsables de traitement sur le site Internet de la CNIL.
L’obligation de nommer un DPO n’a pas été reprise dans la Loi pour une République Numérique , car, comme le précise le Député Belot, les discussions n’ont pas permis d’aboutir à des critères : nombre de salariés d’une entreprise ? nombre de traitements ? existence de traitements de données sensibles ? Le RGPD introduit des critères qui restent larges (autorités/organismes publics, suivi régulier et systématique à grande échelle, traitements à grande échelle de données sensibles/condamnations/infractions) et porte à penser que la désignation d’un DPO va se révéler incontournable pour beaucoup.
Tout le monde sur le pont
Le Président de l’AFCDP fournit des indicateurs représentatifs de l’engouement pour le RGPD : en 3 mois, l’association a enregistré autant d’offres d’emploi/de stage que sur les trois dernières années. Le nombre d’adhésions à l’association a quant à lui explosé.
Côté législation, le Député Belot confirme que les décrets d’application de la Loi pour une République Numérique sont en cours de rédaction et devraient être soumis pour avis au public, comme l’a été la Loi. La CNIL quant à elle, a lancé 3 actions, comme nous l’indique son Secrétaire Général :
- la sortie de lignes directrices,
- le projet de loi nationale, prévu pour fin juin, et qui précisera les parties du RGPD qui sont laissés à l’appréciation des Etats membres (revue des sanctions pénales par exemple),
- la communication autour du règlement, notamment via le site Internet de la CNIL.
Enfin 3 CIL ont témoigné au cours d’une table rondes : les CIL d’ArgoSyn, de AG2R La Mondiale et du Département des Alpes Maritimes.
Selon eux, il est important tout d’abord de faire de la veille, via l’AFCDP, via les réseaux sociaux, via les publications internationales (notamment belges, australiennes, canadiennes et anglaises), pour identifier les changements et obtenir une bonne visibilité de ce qui va impacter son périmètre.
Ils ont ensuite partagé les premières actions à mettre en œuvre : convaincre la Direction puis les équipes opérationnelles, prioriser les chantiers à mener, sensibiliser les sous-traitants et leur demander de se mettre en conformité.
Enfin, ils nous ont donné les erreurs à ne pas commettre : « ne rien faire » pour se mettre en conformité, « être pessimistes » vis-à-vis du travail à réaliser et de l’objectif de conformité à atteindre, « tout commencer en même temps » et « ne pas nommer un DPO ».
Les sous-traitants comme partenaires dans la conformité au RGPD
Le RSSI GFI a commencé sa présentation en nous confirmant que les définitions des rôles de « responsable de traitement » et de « sous-traitant » ne sont pas modifiées par le RGPD. Ce qui est renforcé c’est la notion d’« accountability », le principe de notification des violations, la quasi-obligation de nommer un DPO et la nécessité de définir les responsabilités de chacune des parties de manière plus poussée. Ainsi, avec la Loi Informatique et Libertés, le sous-traitant avait des obligations contractuelles mais ne pouvait pas être sanctionné par la CNIL, le RGPD permettra aux autorités de contrôle de sanctionner à la fois le Responsable de Traitement et le Sous-Traitant, chacun sur leur périmètre de responsabilité. De même, les personnes concernées pourront également demander un dédommagement aux sous-traitants et non plus seulement aux responsables de traitement. Dans ce contexte il sera impératif pour les DPO côté RT et côté ST de travailler de concert pour assurer la conformité sur toute la chaine de traitement de la donnée à caractère personnel.
Les CIL du Département des Alpes-Maritimes et d’AG2R La Mondiale s’accordent à dire qu’un travail est nécessaire pour vérifier et renforcer la conformité des sous-traitants. La CIL du Département des Alpes-Maritimes a notamment constaté sur son périmètre, que certains sous-traitants n’avaient pas conscience de la charge de travail induite par le RGPD.
Quant au CIL de CNP Assurance et au RSSI de l’Agence de la Biomédecine, ils prévoient d’importantes campagnes de sensibilisation et de mise en conformité des sous-traitants par les responsables de traitement.
Les outils de conformité
La Cheffe du service des CIL a attiré l’attention de l’auditoire sur les outils existants et à venir pour aider les CIL/DPO :
- le référentiel du label gouvernance d’une part,
- les actions de communications qui vont être réalisées notamment via l’envoi de courriers de sensibilisation, à destination des responsables de traitement et des sous-traitants.
Les packs de conformité sont quant à eux maintenus, nous indique le Secrétaire Général de la CNIL. Ils ne permettront plus d’alléger les formalités préalables, cette disposition n’étant pas maintenue par le RGPD mais permettront de formaliser les bonnes pratiques sectorielles . Ces packs ont d’ailleurs retenu l’attention des homologues européens de la CNIL car c’est une démarche encore inédite dans les autres pays de l’UE.
Le discours est moins concret concernant les labels CNIL (une centaine de labels délivrés/renouvelés à ce jour !), les certifications et les règles contraignantes d’entreprise (ou BCR – Binding Corporate Rules). Ces pratiques devraient être maintenues ou transformées, les détails restant à venir.
Par Adèle Adam Data Protection Officer chez Claranet