A l’occasion du « Sweep Day », la Commission nationale de l’informatique et libertés (dite « Cnil ») a dressé un état des lieux de la mise en œuvre de la nouvelle réglementation applicable en matière de protection des données, et en particulier du règlement général sur la protection des données dit « RGPD ». Cette opération a notamment permis de rappeler, dans un communiqué qu’elle vient de publier, les axes de progression et les actions demeurant à mener pour les organismes mettant en œuvre des traitements de données à caractère personnel.
Les principaux constats de la Cnil
Un bilan encourageant
L’édition 2018 du « Sweep Day » (i.e. action coordonnée des autorités de protection des données membres du Global Privacy Enforcement Network ayant pour objet d’auditer, sur un plan international, une pratique ou un secteur présentant un intérêt quant à la protection des données à caractère personnel) a été l’occasion pour la Cnil de souligner les bonnes pratiques déployées par les organismes mettant en œuvre des traitements de données à caractère personnel, et en particulier par les prestataires de services informatiques. En effet, la Cnil relève que :
- l’ensemble des organismes sollicités a mené une analyse afin de déterminer la nécessité de désigner un délégué à la protection des données (également appelé Data protection officer) ;
- la grande majorité des organismes a mené une analyse en vue de déterminer sa qualification au regard du RGPD (cf. qualité de responsable de traitement ou de sous-traitant) ;
- les structures d’envergure ont mis en place des procédures documentées pour diffuser une culture de la protection des données ;
- les structures les plus avancées ont introduit la protection des données dès la phase de conception dans leurs méthodologies de projet (cf. principe de Privacy by design consacré par le RGPD) ;
- la majorité des organismes audités a déclaré avoir mis en œuvre des actions de sensibilisation des collaborateurs à la protection des données, aux moyens de documentations appropriées ou de sessions de formation.
Des efforts demeurant à fournir
Ce bilan dressé par la Cnil moins d’un an après l’entrée en application du RGPD le 25 mai 2018 est encourageant et témoigne du dynamisme des organismes traitant des données à caractère personnel.
Toutefois, certains axes de progression ont été identifiés par la Cnil. Cette dernière insiste sur certains points de vigilance en vue du respect de la réglementation applicable en matière de protection des données à caractère personnel, en particulier pour ce qui concerne :
- l’élaboration et la mise en œuvre d’une procédure de gestion des incidents de sécurité (en ce incluant notamment les violations de données à caractère personnel) ;
- l’organisation de la coopération entre les différents acteurs en vue de la réalisation d’analyses d’impact des traitements sur la protection des données à caractère personnel lorsqu’elle est requise ;
- l’élaboration et la mise en œuvre d’une procédure de gestion et de traitement des demandes d’exercice des droits des personnes concernées.
Un rappel opportun s’agissant de certaines actions à mener
Cet état des lieux de la Cnil est l’occasion de rappeler que, pour les sous-traitants comme pour les responsables de traitement, un certain nombre d’actions structurantes doivent être menées, par tout organisme mettant en œuvre des traitements de données à caractère personnel, en vue de se mettre en conformité à la règlementation applicable en ce domaine.
La cartographie des traitements
La mise en conformité au regard de la réglementation en matière de protection des données à caractère est un vaste chantier qui doit s’inscrire dans la durée. A cet égard, les opérations de recensement des traitements de données à caractère personnel mis en œuvre et leur intégration dans les registres des activités de traitements (cf. article 30 du RGPD) constituent un préalable nécessaire et prioritaire pour tout organisme. Il convient en effet de dresser un état des lieux fidèle des traitements de données à caractère personnel mis en œuvre afin (1) d’identifier les éventuelles non-conformités et les actions correctrices à déployer, (2) d’élaborer le(s) registre(s) des traitements ainsi que les procédures et process internes à formaliser et (3) d’en tenir compte dans le cadre des contrats conclus avec les différents acteurs intervenant dans le cadre des traitements de données à caractère personnel, et ce en vue d’assurer une mise en œuvre concrète et effective des principes applicables en matière de protection des données à caractère personnel.
La formalisation de procédures et de process internes
Par ailleurs, les constats réalisés par la Cnil mettent en lumière la nécessité d’élaborer et de déployer des procédures et process internes dont l’objectif est de permettre à chacune des parties prenantes de respecter ses obligations en matière de protection des données à caractère personnel, en formalisant en particulier :
- pour tout nouveau projet, une démarche Privacy by design, nécessitant en amont du projet, de procéder à une réflexion et à une analyse visant à prévenir toute atteinte à la vie privée des personnes concernées (minimisation des données collectées, limitation des durées de conservation des données, information voire recueil du consentement des personnes concernées, mesures techniques et organisationnelles permettant d’assurer la sécurité et notamment la confidentialité des données,…). Cette démarche doit bien entendu être assortie, pour les projets existants, des actions à mener en vue de la régularisation des pratiques effectives au regard des exigences de la réglementation applicable en matière de protection des données à caractère personnel ;
- une procédure d’analyse d’impact relative à la protection des données permettant notamment de déterminer, pour tout projet ou traitement en cours, si une telle analyse d’impact est requise (cf. notamment les opérations pour lesquelles la Cnil considère qu’elle est requise), de s’assurer de l’existence de moyens et informations appropriés à cette fin et d’expliciter la méthodologie à suivre pour y procéder le cas échéant ;
- une procédure d’information et de recueil du consentement des personnes concernées. A cet égard, il convient a minima de formaliser et/ou mettre à jour les mentions d’information et de recueil du consentement appropriées ou encore les politiques de protection des données “online” ayant vocation à informer les internautes et plus généralement tous contacts des traitements mis en œuvre concernant leurs données à caractère personnel;
- une procédure de gestion des demandes d’exercice de leurs droits par les personnes concernées (droit d’accès, d’opposition, à l’effacement, à la portabilité,…) ;
- une procédure de sécurité des données à caractère personnel visant à définir les principes appliqués et mesures techniques et opérationnelles prises par l’organisme en matière de sécurité des données à caractère personnel et une procédure de gestion des violations de données à caractère personnel exposant les actions à mener en cas de failles de sécurité impactant des données à caractère personnel ;
- un code de bonne conduite en matière de protection des données à l’attention des collaborateurs amenés à traiter des données à caractère personnel au sein de l’organisme, dont l’objectif est de diffuser une culture “protection des données” et d’exposer les bonnes pratiques en la matière qu’il convient de respecter.
Le déploiement d’une politique de contract management
Enfin, la mise en œuvre des principes applicables en matière de protection des données à caractère personnel implique d’organiser la répartition des rôles et responsabilité en matière de protection des données entre les différents acteurs intervenant dans le cadre du traitement de telles données, ainsi que les modalités de leur coopération. Pour mémoire, ces éléments doivent être contractualisés (cf. articles 26 et 28 du RGPD), d’où l’importance de formaliser une politique de contract management et d’anticiper la formalisation de clausiers adaptés (cf. modèles de clauses).
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate