Loi pour une République numérique : le RGPD avant l’heure ?

La loi pour une République numérique [1], publiée le 8 octobre 2016, vient sur certains aspects anticiper le règlement européen sur la protection des données personnelles [2] (RGPD) et organiser une phase de transition.

Aussi, à l’heure où les entreprises commencent à intégrer dans leurs réflexions et dans leurs process les dispositions du RGPD qui entrera en application le 25 mai 2018, les incidences de la loi pour une République numérique en matière de protection des données à caractère personnel ne doivent pas être minorées, et ce d’autant que ces dispositions sont (du moins en partie) d’application immédiate !

 

Pour vous convaincre de la nécessité de prendre les mesures qui s’imposent, voici un récapitulatif de ces nouvelles dispositions et des outils et process à déployer dès à présent pour une mise en conformité sans délai.

 

1/ La consécration du droit général pour les personnes concernées de disposer et de contrôler les usages qui sont faits de leurs données

Ce principe est intégré dans l’article premier de notre loi « Informatique et libertés » [3] et ainsi érigé au rang des droits et libertés fondamentaux en matière de protection des données personnelles. Il ne doit donc pas être entendu comme une simple déclaration de principe mais doit impliquer la mise en place d’actions concrètes. Notamment, cela implique que les responsables de traitement donnent aux personnes concernées les moyens techniques et pratiques de choisir l’utilisation qui est faite de leurs données.

Une telle consécration s’inscrit dans la droite ligne de l’esprit du RGPD qui vise, entre autres, à un renforcement des droits des personnes concernées sur leurs données.

 

Actions pratiques

Déployer des outils permettant aux personnes concernées d’administrer et de piloter l’utilisation de leurs données, de type VRM (vendor relationship management) par exemple

 

2/ La création d’un droit à l’oubli pour les mineurs

La loi pour une République numérique vient introduire dans la loi « Informatique et libertés » une nouvelle hypothèse du droit à l’effacement de leurs données par les personnes concernées comme suit :

« Sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte ».

 Selon les termes des travaux parlementaires, sont visées par cette nouvelle hypothèse les informations collectées sur les réseaux sociaux, les plateformes d’échange en ligne, les moteurs de recherche, les services d’annuaire et de référencement, les fonctionnalités de liens hypertextes ou encore la presse en ligne.

Ces dispositions vont même plus loin en ce qu’elles imposent au responsable de traitement, s’il a transmis ces données à des tiers, de prendre :

les « mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci ».

Par ailleurs, contrairement aux autres droits consacrés dans la loi « Informatique et libertés » (droit d’interrogation, d’accès, de rectification, d’opposition) pour lesquels le responsable de traitement dispose généralement d’un délai de deux mois pour adresser sa réponse, le responsable de traitement se voit imposer, pour ce « droit à l’oubli », un délai d’un mois seulement à compter de la demande pour s’exécuter.

Ce nouveau droit, qui souffre toutefois de certaines exceptions, n’est en tout état de cause qu’un prélude au droit d’effacement plus général intégré dans le RGPD…

Actions pratiques

Intégrer la gestion de ces demandes d’effacement dans la procédure actuelle de gestion des demandes d’exercice de leurs droits (interrogation, accès, rectification, opposition) par les personnes concernées ou en créer une le cas échéant

S’assurer que les process et outils utilisés en interne permettent, s’agissant des demandes d’effacement, de :

(i) faire remonter ces demandes aux personnes en charge de leur traitement (cf. procédure courrier) ;

(ii) répondre à ce type de demandes dans le délai imparti (cf. effacement) ;

(iii) tracer l’origine et les destinataires des données afin de pouvoir informer ces derniers en cas de réception d’une telle demande.

 

3/ L’avènement d’un droit à la maîtrise de ses données port-mortem

Un nouvel article inséré dans la loi « Informatique et libertés » par la loi pour une République numérique vient désormais préciser que les droits d’interrogation, d’accès, de rectification et d’opposition des personnes concernées s’éteignent avec le décès de ces dernières. Toutefois :

« Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières. »

A cet égard, si la mise en pratique des directives générales (cf. directives qui s’appliqueront à l’ensemble des responsables de traitement) demeure subordonnée à la publication de textes d’application, les dispositions relatives aux directives particulières sont d’ores et déjà applicables.

En outre, afin de permettre à la personne concernée d’évaluer l’opportunité de la formalisation de directives particulières :

« Tout prestataire d’un service de communication au public en ligne doit informer l’utilisateur du sort des données qui le concernent à son décès et lui permettre de choisir de communiquer ou non ses données à un tiers qu’il désigne ».

En l’absence de directives, certains droits peuvent être exercés par les héritiers (par exemple pour l’organisation et le règlement de la succession ou en vue de de la prise en compte du décès de la personne concernée par les responsables de traitement disposant des données de cette dernière).

 

Actions pratiques

Définir des principes régissant le sort des données personnelles en cas de décès de la personne concernée

Déployer des outils de stockage, de référencement et/ou d’indexation des « directives », et prévoir un process adapté permettant la prise en compte de ces directives dès la connaissance de l’information portant sur le décès d’une personne concernée

 

4/ L’obligation de mettre à jour les mentions d’information

Si sur ce point le RGPD impose, à compter du 25 mai 2018, de nombreuses mentions obligatoires (complémentaires à celles existant à ce jour) à l’attention des personnes concernées, la loi pour une République numérique vient, pendant la phase de transition, déjà ajouter certaines mentions supplémentaires par rapport à celles qui étaient jusqu’alors mises à la charge des responsables de traitement.

Ainsi, les éléments complémentaires suivants doivent désormais être intégrés dans les mentions d’information, afin d’informer la personne concernée :

« Des droits qu’elle tient […] dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort » ;

« De la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ».

 

Actions pratiques

Cartographier l’ensemble des supports à l’attention des personnes concernées et devant comporter une mention d’information (formulaires de collecte, conditions générales et contrats, mentions légales sur site internet,…)

Mettre à jour les mentions d’information y figurant en distinguant, conformément à la loi française, les mentions à intégrer sur les questionnaires de collecte de données et les autres mentions

 

5/ La facilitation de l’exercice de leurs droits par les personnes concernées

Toujours dans une optique de renforcement des droits des personnes concernées, la loi pour une République numérique prévoit que lorsque le responsable d’un traitement a collecté des données personnelles par voie électronique, il doit permettre à toute personne d’exercer les droits dont elle dispose par la même voie lorsque cela est possible.

 

Actions pratiques

S’assurer qu’en cas de collecte de données personnelles en ligne, il existe une possibilité pour les personnes concernées d’exercer leurs droits via un formulaire en ligne ou par courrier électronique

Mettre à jour les mentions d’information à l’attention des personnes concernées pour y insérer cette précision (adresse email de contact ou lien vers un formulaire en ligne dédié)

 

6/ L’augmentation des sanctions encourues

Enfin, le renforcement des droits des personnes concernées passe également par un renforcement des pouvoirs de sanction de la Cnil qui se traduit par :

  • une possibilité de prononcer des sanctions pécuniaires sans mise en demeure préalable ;
  • une réduction du délai minimum de mise en conformité suite à une mise en demeure (cf. 24 heures en cas d’extrême urgence contre 5 jours auparavant) ;
  • une augmentation du plafond des sanctions pécuniaires encoures, qui passe de 150 000 euros (300 000 euros en cas de réitération) à 3 millions d’euros, cette sanction devant toutefois être modulée en fonction du comportement du responsable de traitement (intention ou non, mesures prises pour atténuer les dommages, degré de coopération,…) ;
  • une possibilité d’imposer au responsable de traitement, en sus de la publicité / publication de la sanction prononcée, une information individuelle de chacune des personnes concernées.

L’augmentation du montant maximum des sanctions pécuniaires encourues va également dans le sens de la lettre du RGPD, ce montant ayant vocation pour un certain nombre de manquements à passer, le 25 mai 2018, à 20 millions d’euros ou 4% du chiffre d’affaire annuel total mondial de l’organisme en cause.

 

Actions pratiques

Déployer une procédure permettant de s’assurer des remontées d’information aux services concernées, par exemple en cas de réception d’une mise en demeure, d’une information sur un contrôle (passé ou à venir) ou de toute autre demande en provenance de la Cnil (cf. procédure courrier)

Formaliser un guide sur les opérations de contrôle de la Cnil et sur la procédure de sanction afin de déterminer les actions à déployer (mesures correctrices immédiates ou visant à limiter l’impact d’un non-respect des dispositions applicables, coopération avec la Cnil,…) en fonction des hypothèses pouvant se présenter (réception d’une mise en demeure ou d’une demande d’information de la Cnil, contrôle sur place, convocation à une séance de la formation restreinte de la Cnil,…)

Par AGIL’IT – Pôle IT & Data protection
Laure Landes-Gronowski, Avocate associée

 

Références

Loi 2016-1321 du 7-10-2016 pour une République numérique, dite loi Lemaire

Règlement UE 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés