La mondialisation des échanges, grâce à Internet, génère un accroissement du champ géographique d’application des règles destinées à protéger les ressortissants de l’Union européenne. « En 1998, le Conseil d’Etat assignait à son rapport consacré à “Internet et les réseaux numériques” un objectif tendant à faire de ses derniers un espace de “civilité mondiale”, la civilité étant ici entendue comme “l’art de vivre bien ensemble”. Près de 20 ans après l’adoption de cette étude, le formidable essor d’Internet, des réseaux sociaux et des plateformes numériques interroge toujours notre capacité à placer ces technologies au service de la collectivité, sans porter une atteinte excessive ou irréversible à certains droits fondamentaux ou intérêts légitimes publics ou privés » (La protection des droits fondamentaux à l’ère du numérique – Jean-Marc Sauvé, vice-président du Conseil d’Etat – Intervention du 12 décembre 2017).
Loin de vouloir faire obstacle à la réalisation de la civilisation du numérique, l’Union européenne veut au contraire responsabiliser tous les acteurs de l’utilisation des moyens numériques.
L’être humain reste malgré tout au centre de la vie et rien ne peut bafouer ses droits fondamentaux et sa liberté individuelle. Dès les premiers considérants, le règlement européen le rappelle :
« Le présent règlement vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur ainsi qu’au bien-être des personnes physiques. »
L’Europe continue à protéger ses ressortissants dont les données à caractère personnel sont traitées non seulement dans l’Union européenne mais également hors de l’Union européenne. Ainsi, le nouveau régime de la protection des données des personnes physiques de l’Union européenne s’inscrit parfaitement dans l’ouverture des échanges dans le monde entier.
Le règlement européen replace au centre de tous les référentiels la Charte des droits fondamentaux de l’Union européenne : « Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier, le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique » (considérant 4). Ainsi, les créateurs de services, les hébergeurs, les éditeurs d’outils informatiques et plus généralement toutes les personnes amenées à collecter, à mettre à jour, à diffuser, à stocker, à modifier des données de personnes physiques se doivent impérativement de connaître le contenu et la portée de chacun des droits fondamentaux consacrés par la Charte.
L’une des grandes innovations du règlement européen réside dans l’obligation de tous les acteurs qui traitent directement ou indirectement des données à caractère personnel de mettre en place un système permanent et récurrent de traçabilité des mesures appropriées pour protéger les libertés individuelles. Le règlement européen met fin au système de protection antérieur qui reposait sur des déclarations ou des demandes d’autorisation préalablement à la mise en œuvre des traitements des données à caractère personnel. Le règlement change totalement le modèle en transférant la responsabilité sur chacun des acteurs. Il leur incombe de procéder à une analyse des risques pour les personnes physiques dont les données sont traitées ou gérées sur le plan technique ou acheminées par les différents réseaux de communication. A chacun d’apprécier les moyens de protection à mettre en œuvre par rapport aux risques qu’il aura identifiés. Mais les décisions permettant d’aboutir à ces mesures devront être tracées pour être communiquées à une autorité de contrôle ou produites devant une juridiction.
La protection des libertés individuelles doit rester au centre des préoccupations dès la conception des traitements de données automatisées. De plus, les mesures prises doivent garantir que, par défaut, les personnes non autorisées ne peuvent pas accéder aux données personnelles.
Le règlement s’attache à forcer tous les acteurs à s’autodiscipliner. Loin d’interdire l’utilisation de données personnelles, le règlement insiste sur les valeurs qui doivent guider chacun lors de la collecte, du traitement, de l’utilisation, de la diffusion, de la cession, du stockage, voire de l’archivage de données personnelles.
Le principe dominant est celui de la loyauté. Cela signifie que les données doivent être collectées de façon transparente et avec le consentement des personnes sans abus de confiance. Le second principe rappelé dès les premiers considérants du règlement est la notion de proportionnalité par rapport à la finalité du traitement de ces données. Cette proportionnalité s’apprécie au cas par cas, en fonction des risques d’utilisation et de diffusion de données au-delà de ce qui est nécessaire pour le traitement annoncé.
Bien sûr, la licéité prévaut à toutes opérations concernant des données à caractère personnel. Comme par le passé, les données utilisées doivent être exactes et mises à jour.
L’appréciation de l’adéquation du niveau de protection par rapport aux risques est tempérée par la faisabilité de la mise en place de moyens techniques de sécurité à un coût raisonnable. L’une des innovations du règlement européen repris par la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, est d’informer l’autorité compétente lorsqu’il y a une violation de la protection des données à caractère personnel.
Le règlement européen innove en rendant expressément responsables les responsables de traitement, les responsables conjoints de divers traitements ainsi que les sous-traitants, c’est-à-dire les prestataires qui effectuent des traitements pour le compte de donneurs d’ordres ou encore les prestataires informatiques.
Ainsi, cela va conduire à renforcer les clauses dans les contrats qui seront conclus entre les responsables de traitements et leurs sous-traitants.
Cela va conduire également à mieux organiser les règles de délégation de pouvoirs et de responsabilités au sein des entreprises.
Des clauses types sont en cours d’élaboration par les représentants des autorités de contrôle de différents pays de l’Union européenne qui se réunissent régulièrement au sein du G29(1).
En revanche, les délégués à la protection des données qui peuvent ou doivent être nommés par les institutions publiques ou les entreprises privées ne portent pas par eux-mêmes la responsabilité.
Le règlement prévoit des obligations particulières pour les personnes de droit public, notamment la désignation d’un délégué à la protection des données. Le règlement prévoit également des obligations spécifiques pour les entreprises privées en fonction du nombre de leurs salariés (seuil de 250 salariés) et de la fréquence des traitements, par exemple pour la tenue d’un registre. Des précautions particulières doivent être prises lorsque des traitements de données touchent des consommateurs ou des mineurs de moins de 16 ans.
Le règlement européen a renforcé l’obligation d’obtenir le consentement des personnes physiques dont les données sont traitées et a consacré de nouveau le droit d’opposition de ces personnes. Le règlement a rappelé le droit d’accès et de rectification des données personnelles pour les personnes physiques concernées.
La durée de conservation des traitements est toujours un point important à gérer puisque les personnes ont droit à l’effacement de leurs données personnelles. A ces droits, le règlement a ajouté un droit de portabilité des données. Ce nouveau droit permet aux personnes physiques d’exiger du responsable de traitement la communication ou la transmission à un tiers des données structurées les concernant.
Le règlement reste dans la droite ligne des textes précédents concernant le traitement de données sensibles (race, religion, opinions politiques, philosophiques, orientations sexuelles et bien sûr les données de santé).
Chacun des Etats membres de l’Union européenne doit disposer d’une autorité de contrôle, à savoir une autorité publique indépendante qui travaillera en coordination avec celle des autres pays. Une autorité supérieure européenne doit être instituée. Cette coopération intermembre de l’Union européenne est un gage de meilleures régulations coordonnées de tous les Etats.
Les autorités de contrôle ont plusieurs missions.
→ Favoriser la sensibilisation du public à la protection des données personnelles et sa compréhension des règles applicables.
→ Conseiller les institutions publiques et les entreprises qui les consultent pour les aider à mieux orienter et mieux encadrer les opérations de traitement des données.
→ Conseiller le Parlement, le gouvernement et autres institutions et organismes.
Des documents tels que :
→ des clauses types à insérer dans les contrats entre les responsables de traitement conjoint ou entre responsables de traitement et sous-traitants ;
→ un modèle de registre ;
→ des conseils sur le profil du délégué à la protection des données ;
→ des conseils sur la rédaction des règles d’entreprises contraignantes ;
→ des critères d’agrément d’un organisme chargé du suivi des guides de bonne conduite.
Dans le cadre de sa mission, l’autorité de contrôle peut :
→ instruire les réclamations ;
→ rappeler à l’ordre le responsable du traitement ou le sous-traitant ;
→ ordonner la rectification, l’effacement ou la limitation du traitement ;
→ ordonner la suspension des flux ;
→ retirer une certification ;
→ imposer une amende administrative.
Responsables de traitement et sous-traitants vont devoir mettre en place un certain nombre d’éléments permettant de démontrer les mesures prises pour respecter les libertés individuelles.
Il s’agit de :
→ la nomination, le cas échéant, d’un délégué à la protection des données ;
→ la tenue d’un registre répertoriant les traitements, les types de données traitées, la finalité des traitements, la durée de conservation principalement ;
→ l’élaboration de règles internes contraignantes ;
→ la rédaction de clauses contractuelles adaptées ;
→ la pseudonymisation de données pour certains traitements ;
→ la signature d’engagements de confidentialité ;
→ la sensibilisation de toutes les personnes appartenant à une entité publique ou une entreprise qui pourraient être amenées à traiter des données personnelles.
Avant le 25 mai 2018, les entités publiques et les entreprises doivent faire la cartographie de leur traitement de données à caractère personnel ainsi que l’analyse des risques. Ils doivent déterminer s’ils sont dans l’obligation de désigner un délégué à la protection des données et, dans l’affirmative, ils doivent le choisir et définir sa mission.
Il est fortement recommandé qu’elles établissent un registre qui leur permettra, qu’elles soient responsables de données ou sous-traitants, d’avoir un outil de partage de la connaissance au sein de leur entité et un élément probatoire en cas de contrôle.
Les personnes de droit public doivent maintenant introduire dans les cahiers des clauses administratives particulières, voire dans les cahiers des clauses techniques particulières, des clauses relatives à la protection des données à caractère personnel. Les entreprises privées doivent faire un inventaire de tous leurs contrats et s’interroger sur la nécessité d’introduire de telles clauses, soit par le biais d’un avenant au contrat encore en cours, soit par une clause à insérer dans tout nouveau contrat.
Tous les acteurs ont intérêt à mettre en place des séances de sensibilisation de leur personnel pour attirer leur attention sur les éléments clefs de cette nouvelle réglementation. Les entreprises pourront renforcer cette connaissance par l’établissement de règles de bonne conduite à valeur contraignante.
Pour les sites marchands, des clauses spécifiques doivent être introduites dans les conditions générales d’utilisation et les conditions générales de vente. Les mentions d’informations des personnes physiques figurant sur les formulaires d’inscription en ligne doivent être mises à jour.
Après le 25 mai 2018, les responsables de traitements et les sous-traitants devront maintenir leur conformité, non seulement au règlement européen, mais également aux lois nationales qui vont être adoptées pour traiter des éléments particuliers.
En effet, le règlement européen ouvre la voie à l’adaptation de certaines règles par chacun des Etats membres. A titre d’exemple : « Le droit des Etats membres devrait concilier les règles régissant la liberté d’expression et d’information, y compris l’expression journalistique, universitaire, artistique ou littéraire, et le droit à la protection de données à caractère personnel en vertu du présent règlement. Dans le cadre du traitement des données à caractère personnel uniquement à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et le droit à la liberté d’expression et d’information, consacré par l’article 11 de la Charte. Tel devrait notamment être le cas des traitements de données à caractère personnel dans le domaine de l’audiovisuel et dans les documents d’archives d’actualités et bibliothèques de la presse » (considérant 153).
Les acteurs devront également procéder à une veille réglementaire permanente. Ils devront s’approprier les lignes directrices, des guides de bonnes pratiques, des procédures et plus généralement des recommandations qui émaneront du Comité européen de la protection des données, instance instituée par le règlement.
Sur un plan opérationnel, tous les acteurs devront maintenir, mettre à jour, voire renforcer toutes les mesures qu’ils auront mises en place avant le 25 mai 2018.
Quelques lignes directrices de cette analyse sont proposées, sachant que la démarche ci-dessous devra être documentée. Chaque entité concernée mettra en place sa méthode de travail ; elle pourra utiliser des outils informatiques pour recenser l’existant. Elle aura intérêt à s’appuyer sur les connaissances de gestionnaires de risques tels que les « risk managers ».
→ Faire la liste de tous les sous-traitants des entreprises ou des personnes publiques qui sont amenées à manier des données à caractère personnel pour le responsable du traitement. Il peut s’agir d’entreprises auxquelles le responsable du traitement confie l’organisation d’une base de données, la collecte de données personnelles, l’envoi de mailing pour des raisons marketing, le stockage des données sur un serveur et un centre de secours, etc.
→ Faire la liste de tous les traitements de données à caractère personnel mis en place et utilisés tels que la liste des contacts clients, la liste des contacts fournisseurs, les données du personnel de l’entreprise ou de l’institution, etc.
→ Définir la finalité pour laquelle chacun des traitements de données personnelles a été mis en place telle que l’envoi d’informations, la livraison de produits, l’émission d’une fiche de paye, la gestion de la carrière des salariés ou des fonctionnaires, les utilisateurs d’un outil d’assistance informatique, la gestion des encaissements (coordonnées bancaires), etc.
→ Faire la liste de chaque type de données collectées et traitées, en vérifiant leur nature : données de base telles que nom, prénom, adresse, numéro de téléphone, adresse de messagerie électronique. Données indirectement personnelles telles que le numéro d’immatriculation d’un véhicule automobile ou d’un bateau. Données sensibles telles que l’appartenance syndicale pour l’organisation d’élections à l’intérieur de l’entreprise, les opinions religieuses pour le fichier des membres une congrégation religieuse, les opinions politiques pour le fichier des membres d’un parti politique. Données de santé pour un hôpital, par exemple.
→ Apprécier pour chaque donnée son utilité pour effectuer un traitement.
→ Apprécier pour chaque traitement la proportionnalité des données collectées et traitées par rapport à sa finalité. Par exemple, le numéro de sécurité sociale d’un salarié est mentionné de façon obligatoire sur sa fiche de paye. En revanche, ce numéro est inutile pour envoyer par messagerie électronique au salarié des informations sur la restructuration de l’entreprise.
→ Apprécier les risques d’utilisation de ces données personnelles par rapport au respect des libertés fondamentales de chaque personne physique telles qu’énoncées par la Charte des droits fondamentaux de l’Union européenne. Etablir une nomenclature du type risque très élevé, risque élevé, risque faible, aucun risque.
→ Définir les moyens de protection des libertés. Quelle personne et quel service de l’entreprise ou de l’institution collectent des données ? Quelles personnes les traitent ? Quelles personnes les stockent et par quels moyens ? Quelles personnes mettent à jour les données ? Quelles personnes effectuent les modifications demandées par des personnes physiques et les leur communiquent ? Quels outils informatiques utiliser pour traiter, stocker les données ? Quels moyens et niveaux de sécurité informatique et réseaux sont mis en œuvre pour éviter la transmission de données à des tiers ou l’attaque des fichiers par des tiers ?
→ Ecrire tout le raisonnement qui a conduit à faire des choix sur un document qui est conservé de façon sécurisée. Ce document devra être produit pour expliquer les choix et les décisions lors une vérification diligentée par une autorité de contrôle ou en cas de litige devant une juridiction administrative ou judiciaire, civile ou pénale.
→ Remplir le registre, si l’entité a l’obligation d’en tenir. En tout état de cause, garder la preuve sur des fichiers sécurisés.
Tous les traitements doivent être analysés, y compris ceux qui faisaient l’objet de déclaration simplifiée ou d’exemption car le système déclaratif ou de demande d’autorisation va disparaître et tous les traitements devront être gérés au même niveau.
Ce document de traçabilité et ce registre doivent être mis en place avant le 25 mai 2018 pour la première fois. Après le 25 mai 2018, date d’entrée en vigueur de la mise en conformité aux exigences du règlement européen, le registre et le document de traçabilité du raisonnement ayant abouti à la décision devront être mis à jour et complétés.
Si des correctifs s’avèrent nécessaires pour respecter les libertés individuelles, il est bien sûr temps de les corriger et de modifier le registre et le document de traçabilité en ce sens.
De plus, l’entité est amenée à procéder à la mise à jour des formulaires de collecte de données personnelles qu’il convient d’actualiser. Il est rappelé que chaque personne physique dont les données sont collectées et traitées disposent des droits d’accès, de rectification, d’effacement et de portabilité.
L’entité devra également conserver la preuve du consentement de la personne concernée lorsqu’il est obligatoire. Il est rappelé que la demande de consentement doit apparaître clairement, être facilement accessible et compréhensible par toute personne.
Quelques lignes directrices de cette analyse sont proposées, sachant que la démarche ci-dessous devra être documentée. Chaque entité concernée mettra en place sa méthode de travail et approfondira ses recherches en fonction de la complexité de son système d’information. L’intervention de l’équipe de la direction des systèmes d’information (DSI) est requise.
Les données personnelles collectées sont enregistrées dans des bases de données numériques, sont acheminées par des réseaux de communication électronique. Il conviendra de s’assurer que ces données ne sont accessibles que par des personnes autorisées.
→ Identifier le système par l’intermédiaire duquel les données sont collectées : par exemple, messagerie électronique, site web, réseaux sociaux.
→ Identifier la base de données dans laquelle les données sont stockées.
→ Identifier les outils logiciels qui permettent de traiter les données en vue de remplir la finalité du traitement.
→ Identifier les réseaux par l’intermédiaire desquels les données sont acheminées.
→ Identifier le type d’équipement informatique sur lequel les données sont stockées, voire archivées.
→ Analyser les outils informatiques de protection contre les autres intrusions qui ont été mis en place et déterminer s’ils sont suffisants ou s’ils doivent être renforcés.
→ Regardez quel type de protection permet d’éviter l’accès aux données par des personnes autorisées.
→ Vérifier si les consignes données aux utilisateurs des outils informatiques concernant les mots de passe sont claires et suffisantes.
Le registre mentionné ci-dessus devra être complété par l’identification des mesures de sécurité prises. Ce document de traçabilité et ce registre doivent être mis en place avant le 25 mai 2018 pour la première fois. Après le 25 mai 2018, date d’entrée en vigueur de la mise en conformité aux exigences du règlement européen, le registre et le document de traçabilité devront être mis à jour et complétés.
Si des correctifs s’avèrent nécessaires pour respecter les libertés individuelles, il est bien sûr temps de les corriger, de modifier le registre et le document de traçabilité en ce sens.
Le règlement européen responsabilise, d’une part, le responsable du traitement et, d’autre part, le sous-traitant.
Le responsable du traitement doit donc établir, pour chaque traitement, la liste des sous-traitants qui interviennent.
→ Faire la liste des prestataires chargés de la collecte d’informations, de leur ordonnancement dans des bases de données, de leur exploitation.
→ Faire la liste des prestataires techniques tels qu’éditeurs de progiciels, intégrateurs, hébergeurs, mainteneurs, infogérance.
→ Identifier l’Etat dans lequel les informations sont données de façon ponctuelle ou définitive en précisant si cet Etat est membre de l’Union européenne ou non.
Ces listes devront être prêtes avant le 25 mai 2018 puis, postérieurement, mises à jour régulièrement, dès qu’un changement interviendra.
Des clauses particulières dans la sensibilisation des traitements de données à caractère personnel et sur le mode de protection mise en œuvre seront établies dans chacun des contrats passés entre le responsable du traitement et l’un de ses prestataires. Les parties pourront s’appuyer sur les clauses types qui seront élaborées par les autorités de contrôle.
Pour les contrats en cours au 25 mai 2018, les parties peuvent apporter des aménagements avant cette date par la voie d’un avenant. Cette technique d’avenant peut s’appliquer aussi bien aux contrats privés qu’aux marchés publics.
Le responsable du traitement met en place les mesures appropriées sur les plans technique et organisationnel. Il conserve la preuve afin de pouvoir se justifier à la demande de l’autorité de contrôle ou dans le cadre d’une action en responsabilité en justice.
Le responsable du traitement attribue des droits et donne des missions à certaines personnes appartenant à des services identifiés. Il appartient au dirigeant de désigner les personnes ou les fonctions :
→ ayant l’autorisation d’accéder aux données à caractère personnel dans le cadre de l’exercice de leur propre activité (gestion des ressources humaines, traitement de la paye, gestion des encaissements, DSI, direction marketing, services généraux, responsable de sécurité, etc.) ;
→ ayant pour mission de répondre aux demandes formulées par les personnes physiques dont les données sont traitées ;
→ ayant pour mission de mettre à jour les données personnelles ;
→ ayant le droit de procéder à l’effacement des données personnelles… Le dirigeant de l’entreprise ou de l’institution fait établir des règles de procédure interne écrites, accessibles à tout le personnel concerné de l’entreprise ou de l’institution. Il procède à leur diffusion et organise leur mise à jour. Il fait en sorte qu’elles soient accessibles en permanence, en particulier au délégué à la protection des données.
Le dirigeant organise :
→ les délégations de pouvoir sur le plan civil et sur le plan pénal ;
→ la fréquence et les modalités de contrôle interne du respect des procédures pour la protection et la sécurisation des données personnelles ;
→ la rédaction et la signature d’engagements de confidentialité adaptés…
Un inventaire de tous les documents à mettre à jour est à programmer.
Pour les contrats en ligne, une mise à jour des conditions générales d’utilisation (CGU), des conditions générales de vente (CGV) et des mentions légales s’impose.
Les mentions figurant sur les formulaires en ligne doivent être adaptées aux droits des personnes dont les données sont collectées et traitées tels que fixés par le règlement européen.
Il convient de vérifier si la demande de consentement est claire et compréhensible, facile à exécuter.
Il est important de mettre en place un programme de sensibilisation du personnel.
Toutes les personnes qui peuvent être amenées à accéder aux données personnelles : DSI, ressources humaines, facturation, encaissement, marketing, services généraux, responsable sécurité… sont concernées. Cette sensibilisation peut porter sur les points qui suivent.
→ Les principes fondamentaux de l’Union européenne concernant les libertés individuelles : l’article 6 de la Charte des droits fondamentaux de l’Union européenne ainsi que l’article 16 du Traité sur le fonctionnement de l’Union européenne visent la protection des données à caractère personnel.
(Articles 6 à 19 de la charte : droit à la liberté et à la sûreté, respect de la vie privée et familiale, protection des données à caractère personnel, droit de se marier et de fonder une famille, liberté de pensée, de conscience et de religion, liberté d’expression et d’information, liberté de réunion et d’association, liberté des arts et des sciences, droit à l’éducation, liberté professionnelle et droit de travailler, liberté d’entreprise, droit de propriété, droit d’asile, protection en cas d’éloignement, d’expulsion et d’extradition.)
→ Les principes régulateurs : licéité, loyauté et transparence de la collecte de données ; proportionnalité ; adéquation, pertinence et limites des données ; exactitude et mise à jour des données ; durée de conservation des données ; sécurité : protection contre le traitement non autorisé ou illicite, contre la perte, la destruction ou les dégâts d’origine accidentelle ; cas particulier : archives dans l’intérêt public, recherche scientifique ou historique, statistiques.
→ Le champ d’application : traitements dans l’Union européenne, traitements hors Union européenne.
→ Les droits des personnes dont les données sont collectées et traitées : le consentement ; le droit d’opposition ; les droits d’accès, de rectification, d’effacement et de portabilité.
→ Le respect des règles de l’entreprise : adoption de mesures techniques ou organisationnelles appropriées pour préserver l’intégrité et la confidentialité des données personnelles ; analyse des risques ; la sécurité sur le plan technique.
→ Les données. Cas particuliers : les enfants, les origines raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques et les données biométriques, la vie sexuelle ou l’orientation sexuelle, les condamnations pénales et les infractions.
→ Les informations à fournir aux personnes dont les données sont collectées et traitées : les coordonnées du responsable de traitement, les coordonnées du délégué à la protection des données, la finalité du traitement, le ou les destinataires des données, l’intérêt légitime poursuivi par le responsable de traitement ou par un tiers, le cas échéant, le transfert de données vers un pays tiers ou une organisation internationale, le profilage, etc.
→ La constitution et la conservation des modes de preuve : le registre ; les documents de traçabilité des raisonnements et des décisions prises.
→ Le délégué à la protection des données : son rôle ; son indépendance.
→ Les autorités de contrôle : dans chaque Etat membre de l’Union européenne ; le Comité européen de la protection des données.
→ Les sanctions : l’autorité de contrôle ; le pourcentage du chiffre d’affaires ; les sanctions pénales.
Le règlement impose la rédaction de clauses spécifiques dans les contrats privés et les marchés publics conclus entre responsable du traitement et sous-traitant. Il est donné mission aux autorités de contrôle nationales de rédiger des clauses types. Rien n’empêche aux parties de les personnaliser et de les compléter.
Mais il est utile de mettre en garde les rédacteurs de telles clauses. Si la coopération entre les parties s’avère particulièrement nécessaire et si le responsable du traitement aura souvent besoin de l’aide du sous-traitant, cette aide ne s’assimile pas à une prestation de service gratuite et sans limites. De plus, l’aide apportée ne conduira pas à supprimer la propre responsabilité du responsable du traitement.
Si le sous-traitant fait lui-même appel à un ou plusieurs autres prestataires ou fournisseurs, des clauses spécifiques à la protection des données personnelles devront également figurer dans les contrats passés avec ces entités.
(Exemple)
• Traitement : accès par les visiteurs aux locaux d’une entreprise ou d’une entité publique.
• Finalité du traitement de données personnelles : sécurité des locaux contre les intrusions de personnes, les vols d’informations ou de matériel, les menaces…
• Données personnelles nécessaires à collecter : nom, prénom, entité représentée, numéro de téléphone, le cas échéant.
• Données personnelles réellement collectées : outre les informations ci-dessus, une pièce d’identité peut être demandée (certaines entités en font une photocopie, d’autres la conservent pendant que la personne est dans les locaux). La justification la plus commune est que la pièce d’identité est remise en échange d’un badge et permet de s’assurer que le badge sera restitué lors de la sortie des locaux par la personne. Cette exigence est-elle proportionnée avec le risque de non-remise du badge ? En effet, beaucoup d’autres données personnelles figurent sur une pièce d’identité : date et lieu de naissance, autres prénoms que le prénom usuel, adresse personnelle, nationalité, taille, photographie, numéro de la pièce d’identité.
• Flux : traitement manuel ou enregistrement dans un fichier informatique sur le poste de l’accueil. Les données traitées par informatique sont envoyées sur un serveur. Où est-il situé ? Quels sont les modes de protection anti-intrusion ? Qui a accès au fichier ? Qui est chargé d’effacer les données personnelles ?…
• Durée de conservation : pendant que le visiteur est dans les locaux et combien de temps après sa sortie des locaux ? Un jour, un mois, la durée de prescription des actions en responsabilité si l’on découvrait ultérieurement que ce visiteur a commis une infraction ou violé une obligation contractuelle ?
(1) Le groupe de travail « Article 29 » sur la protection des données sera remplacé en mai par le Comité européen de la protection des données.
Pour plus d’informations sur le règlement général sur la protection des données personnelles, voir Protection des données personnelles – Se mettre en conformité d’ici le 25 mai 2018 – Editions législatives – Décembre 2017.