Protection des données personnelles, la tâche de mise en conformité au nouveau règlement est immense

Les régimes complémentaires, détenteurs des données personnelles de 30 millions d’actifs et retraités, ont jusqu’au mois de mai 2018 pour se mettre en conformité avec le nouveau règlement européen relatif à la protection des données à caractère personnel.

Le 27 avril 2016, les autorités commu-nautaires ont adopté un règlement relatif à la protection des données à caractère personnel(1). Ce texte abroge la directive de 1995, transposée en droit français par une loi en 2004, qui avait complété la loi Informatique et Libertés du 6 janvier 1978(2). Le nouveau règlement apporte des modifications substantielles au droit applicable en la matière. Son entrée en vigueur a ouvert une période transitoire de 24 mois, au cours desquels les acteurs (entreprises, administrations, associations…) qui collectent et traitent des données seront tenus de se mettre en conformité avec les nouvelles règles. Les fédérations et institutions de retraite complémentaire Agirc et Arrco y travaillent activement. Leurs bases de données comportent plusieurs dizaines de millions de données personnelles (comme les noms, prénoms, numéros de Sécurité sociale, éléments de carrière…) qui font l’objet de traitements automatisés au sens de la loi Informatique et Libertés : consultation, rectification, transmission de données…

Un changement de logique

La loi comme le règlement du 27 avril 2016 ont pour raison d’être la protection des données à caractère personnel. Pour ce faire, de grands principes s’appliquent au traitement : licéité et loyauté de la collecte, limitation de la finalité du traitement qui doit être déterminée, explicite et légitime, minimisation des données – nécessairement adéquates, pertinentes et non excessives –, limitation de la conservation, exactitude des données. Des mesures appropriées sont mises en œuvre pour garantir la sécurité et l’intégrité des données. L’essentiel des nouveautés ne réside pas là : l’apport majeur est celui d’un changement de logique. La loi Informatique et Libertés avait été adoptée pour garantir les droits des citoyens à l’égard de l’administration, qui commençait à s’informatiser. Jusqu’à aujourd’hui et pour encore quelques mois, la logique à l’œuvre est celle des formalités préalables à la mise en œuvre des traitements, qu’il s’agisse de déclarations « normales » auprès de la Commission nationale de l’informatique et des libertés (Cnil) ou bien de demandes d’autorisation pour les traitements les plus sensibles. À ces formalités – purement déclaratives –, peu adaptées au traitement massif de données, le règlement est venu substituer une logique de responsabilisation des acteurs, sous le contrôle et avec l’accompagnement de la Cnil. De nouveaux principes traduisent cette évolution. Ainsi, les responsables des traitements et les sous-traitants devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données, dès la conception du projet informatique et par défaut (privacy by design). La limitation de la quantité de données traitées, la limitation de la durée de conservation ou des conditions d’accès illustrent les mesures susceptibles d’être adoptées. L’obligation de documentation et d’audit des mesures prises pour maintenir la conformité (accountability) se trouve au cœur du nouveau dispositif. À tout moment, l’entreprise doit être en mesure d’apporter la preuve du respect des règles relatives à la protection des données. Ceci, au moyen de mécanismes et procédures internes appropriées. Ce processus est par nature dynamique et permanent, en ce sens que les règles et outils internes doivent pouvoir être audités et faire l’objet, si nécessaire, de mesures correctives dont la mise en œuvre doit également être contrôlée, et ainsi de suite. La responsabilisation des acteurs constitue en quelque sorte la contrepartie de l’allègement des formalités déclaratives préalables, dont il ne devrait plus rester à terme – pour les traitements à risques – qu’un régime d’autorisation. Pour ces traitements à risques pour les droits des personnes (destruction, perte ou altération des données, accès ou divulgation non autorisés…), le règlement impose la réalisation préalable d’études d’impact sur la vie privée. D’ores et déjà, les traitements « à grande échelle » de données sensibles (comme les données de santé) figurent dans le périmètre de ces études qui doivent recenser les caractéristiques de ces traitements, leurs risques et les mesures prises pour traiter ceux-ci.

Le rôle central du correspondant à la protection des données

Pour permettre la mise en œuvre de cette nouvelle logique de conformité, le règlement généralise le recours au correspondant informatique et libertés, désormais dénommé correspondant à la protection des données (ou DPO, data protection officer). De facultative, la nomination d’un DPO devient, pour beaucoup de structures, obligatoire. Garant de la conformité des traitements au droit de la protection des données, il est associé, dès la conception, aux projets informatiques impliquant le traitement de données personnelles. Il occupe une fonction de conseil dans le cadre des études d’impact sur la vie privée, dont il veille à l’exécution. Le DPO est l'interlocuteur privilégié de la Cnil, des personnes dont les données sont traitées lors de l’exercice des droits qu’elles tiennent du règlement, du responsable de traitement qu’il conseille. Il occupe une place centrale dans le dispositif de conformité et exerce ses fonctions en toute indépendance, en rapport direct avec le chef d’entreprise ou le directeur de l’entité, qu’elle soit responsable de traitement ou bien sous-traitante. La tâche de mise en conformité, au regard de toutes ces nouveautés, est immense et deux ans suffiront à peine pour atteindre cet objectif. Difficulté supplémentaire : les auto-rités de contrôle européennes travaillent également à l’interprétation des nouvelles règles. À cet égard, les attentes des entreprises et administrations sont à la hauteur des enjeux, notamment financiers puisque les amendes administratives, en cas de graves violations du règlement, peuvent atteindre de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires mondial des entreprises.

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques et à la libre circulation de ces données et abrogeant la directive 95/46/CE.
(2) Loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés.