Plan vigilance orange pour les données personnelles... ou comment assurer leur traitement
Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur les Règlement européen Général de Protection des Données et la sécurité et ur les clauses relatives à la protection des données personnelles dans le contrat de sous-traitance ainsi qu’au suivi effectif des engagements pris au titre de la sécurité.
Ce que dit la Loi "Informatique et Libertés"
Le principe posé par les articles 34 et 35 de la loi "Informatique et Libertés" est que l’obligation de sécurité (empêcher que les données ne soient "déformées ou endommagées") et de confidentialité des données (empêcher que des "tiers non autorisés accèdent aux données") s’impose non seulement au responsable de traitement mais également à son (ses) sous-traitant(s). Légalement, il est question d’une obligation de moyens (des mesures de sécurité appréciées compte tenu de l’état de l’art…), mais les récentes sanctions de la CNIL en la matière attesteraient plutôt d’une très nette orientation vers une obligation de résultat…
De fait, la CNIL n’a pas manqué de sanctionner les manquements du responsable de traitement…
A titre d’illustration, la CNIL a déjà considéré que le manquement à l’obligation de sécurité était caractérisé par la faiblesse des mots de passe (5 chiffres au lieu de 16) et par l’absence de politique de sécurité [Délibération° 2013-139 du 30 mai 2013 prononçant une sanction pécuniaire de 10.000 euros à l’encontre de la société PS Consulting, sanction confirmée par le Conseil d’Etat]. Elle a également sanctionné, en tant que défaut de sécurité des données, l’absence de politique de gestion des mots de passe (accès aux comptes clients et aux postes des salariés), leur vulnérabilité (robustesse insuffisante) et les lacunes du contrat de sous-traitance (aucune clause sur la sécurité) [Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire de 50.000 euros à l'encontre de la société Optical Center].
… mais également les défauts de sécurité imputables au sous-traitant
Le responsable de traitement est tenu de s’assurer de l’effectivité de la sécurité des données personnelles de la part de ses sous-traitants. Avons-nous des exemples de défaillance, du moins sanctionnés comme tels ? D’après vous ?
On pourrait citer l’avertissement public de la CNIL à l’encontre de la société DHL pour ne pas avoir vérifié la sécurité de l’ensemble de l’application créée par un sous-traitant à l’origine de la diffusion des données des clients sur internet via leur adresse IP [Délibération n°2014-238 du 12 juin 2014]. Dans le même sens, l’avertissement de la CNIL a été confirmé par le Conseil d’Etat pour sanctionner la société Orange, la CNIL ayant relevé, outre les défauts de sécurité (accès illicite à plus de 1,3 M de données), l’absence d’audit de sécurité des sous-traitants, l’utilisation de moyens de communication non sécurisés, des mentions contractuelles insuffisantes et l’absence de suivi des dispositions contractuelles [Délibération de la formation restreinte n° 2014- 298 du 7 août 2014]. Enfin, très récemment, la CNIL a prononcé un avertissement public à l’encontre de la société Ricard après avoir constaté que l’existence d’une sous-traitance (hébergement et gestion du site) n’exonérait pas ladite société de ses obligations légales liées à la sécurité et la confidentialité des données [Délibération n°2016-108 du 21 avril 2016].
A la lecture de ces diverses décisions, il semblerait que la CNIL anticipe les changements induits par le Règlement européen de Protection des Données (« RGPD »), finalement adopté le 27 avril dernier et qui sera directement applicable à tous les Etats membres de l’UE à partir du 25 mai 2018.
Quelle sécurité pour les données, demain ?
La PIA, une nouvelle assurance préventive
La sécurité des traitements est prévue par l’article 32 du RGPD qui expose en premier lieu différents critères à prendre en compte par le responsable de traitement et le sous-traitant pour déterminer le niveau de sécurité à adopter (contexte du traitement, probabilité et gravité du risque). A l’instar de la réglementation actuelle, la logique est donc d’adapter les mesures de sécurité aux risques identifiés.
En amont, le règlement impose au responsable de traitement de réaliser une PIA (Privacy Impact Assessment ou étude d’analyse d’impact) pour tous les traitements susceptibles d’engendrer un risque élevé sur la vie privée des personnes concernées. Le RGPD identifie certains traitements comme étant risqués, du fait de la nature des données traitées ou de leur finalité, et les soumet obligatoirement à une PIA. Notons que la liste des traitements concernés pourra être complétée par les autorités de contrôle au fil du temps …
La mise en place de garanties sources d’innovation
L’article 32 énonce un certain nombre de mesures susceptibles d’être utilisées par le responsable de traitement en fonction du niveau de risque identifié (recours à la pseudonymisation et au chiffrement des données, adoption de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes, …). Les codes de bonne conduite (conformes à l’article article 40 du RGPD) et les certifications (conformes à l’article 42 du RGPD) sont des solutions susceptibles d’être valablement envisagées en matière de sécurité.
En application de l’article 36 du RGPD, la consultation de l’autorité de contrôle étant un préalable à la mise en œuvre d’un traitement pour lequel le PIA aura révélé un niveau de risque élevé, les mesures choisies afin de garantir la sécurité du traitement devront être communiquées à l’autorité de contrôle compétente. Un traitement qui ne disposerait pas de garanties suffisantes au regard du risque présenté pourra donc exposer le responsable de traitement ou le sous-traitant en cause aux sanctions prévues par l’article 83-4 (amende jusqu’à 10 000 000 euros, et pour les entreprises, jusqu’à 2% du CA mondial).
Extension du domaine de la sécurité
Le RGPD consacre la généralisation de la notification des violations de données personnelles à l’autorité de contrôle dans la limite de 72 heures après en avoir eu connaissance (article 33) et à la personne concernée (article 34) ou encore, l’extension de la responsabilité du sous-traitant au même titre que le responsable de traitement.
Ce qu’il faut retenir
Le responsable de traitement n’est jamais déchargé de son obligation de sécurité et de confidentialité des données personnelles, y compris en cas de sous-traitance. Un soin particulier doit être apporté aux clauses relatives à la protection des données personnelles dans le contrat de sous-traitance ainsi qu’au suivi effectif des engagements pris au titre de la sécurité.
La sécurité est et sera une dimension incontournable de la protection des données personnelles.
Isabelle Cantero, Avocat, cabinet Caprioli & Associés, Responsable du pôle Vie privée et données personnelles
SUR LE MÊME SUJET
Plan vigilance orange pour les données personnelles... ou comment assurer leur traitement
Tous les champs sont obligatoires
0Commentaire
Réagir