01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Vie Privée, Protection des données : ce qui va changer en 2016 – Partie 3 – Une obligation de sécurité renforcée

Fotolia 91674648 Subscription Monthly M
  • Actualité juridique, Avertissement public, Base de données, CGV, CNIL, Contrat informatique, Contrats, Cybercriminalité, Cybermarchand, Cybersurveillance, Data, Données personnelles, Droit communautaire, Droit de l'Internet, Droit des Affaires, Droit des contrats, E-Commerce, E-marketing, E-Réputation, Ecommerce, Fichier informatique, Information et libertés, INPI, Libertés individuelles, Loi Informatique et libertés, Site internet, Vie privée

Par Gérard HAAS et Stéphane ASTIER, avocats à la Cour

2016 s’annonce comme l’année de tous les changements en matière de législation pour la protection des données à caractère personnel.

Précurseur en la matière avec sa loi de 1978 « informatique et libertés »[1], l’Etat Français se prépare activement à une nouvelle étape déterminante dans la construction d’un droit à part entière ; un droit tourné vers une conciliation nécessaire entre le développement des nouvelles technologies et la préservation des libertés publiques des citoyens.

Le projet de règlement Européen[2] du 25 janvier 2012 modifié le 11 juin 2015 constitue le moteur de cette grande réforme qui devrait bouleverser de nombreux secteurs.

A l’heure du déploiement des technologies dites de Big Data[3], de la mutation accélérée des solutions de marketing comportemental et des transferts de fichiers, un ensemble de règles nouvelles s’apprête à être adopté.

Après avoir détaillé les importantes modifications attendues concernant le consentement de la personne et le profilage (Partie 1 – le consentement de la personnePartie 2 – Quel droit pour le profilage ?), il convient d’aborder une autre obligation renforcée de manière substantielle par le législateur Européen : l’obligation de sécurité.

 

Quelles obligations pour garantir la sécurité des données ?

Le projet de Règlement européen a considérablement renforcé l’obligation de sécurité[4] à la charge du responsable du traitement.

Plusieurs éléments viennent en effet confirmer cette volonté du législateur Européen :

  • Nature de l’obligation

Si la Cnil a eu à plusieurs reprises l’occasion de confirmer que l’obligation de sécurité figurant à l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée n’était pas une obligation de résultat, la Commission a également précisé que l’obligation de moyens imposée au responsable de traitement pouvait tendre vers l’obligation de résultat en fonction de plusieurs critères : nature des données traitées, risques encourus par les personnes visées par les traitements au regard de leur vie privée, moyens humains, matériels et financiers dont dispose le responsable de traitement pour lui permettre d’assurer la sécurité de ses Systèmes d’Information etc.[5]

Madame Toutlemonde qui vient d’ouvrir sa boutique en ligne de vente de bijoux fantaisie ne va ainsi pas se voir opposer la même obligation de sécurité que l’hôpital de sa commune qui traite des données sensibles au sein d’un système d’informations complexe géré par une Direction des Systèmes d’Information de plusieurs personnes ou que d’un groupe international collectant des données comportementales à grande échelle. Madame Toulemonde se verra appliquer une obligation de moyens limitée par exemple aux engagements figurant dans la Norme Simplifiée 48 (norme encadrant les traitements standards relatifs aux clients/prospects), tandis que l’hôpital ou le groupe international se verront appliquer une obligation de moyens renforcée tendant vers une obligation de résultat et pourront voir leur responsabilité engagée faute de justifier de la mise en place de dispositifs irréprochables tant au niveau technique qu’au niveau organisationnel.

L’importance du projet de Règlement dans sa version consolidée du 11 juin 2015 résulte dans l’ajout d’un paramètre important : l’anticipation du risque. Ainsi, selon le législateur Européen, les mesures techniques et organisationnelles devant être mises en place pour assurer la sécurité des données devront désormais tenir compte de « la nature, la portée, le contexte et les finalités du traitement ainsi que [de] la probabilité et [de] la gravité du risque pour les droits et libertés des personnes physiques (…) »

Cette logique d’anticipation du risque et d’appréciation de sa probabilité fait directement écho au principe de Privacy By design introduit à l’article 23 du Règlement[6]. En application de ce principe, le responsable de traitement a pour obligation de mettre en place en amont les actions juridiques et techniques adéquates afin de diminuer les risques portant sur la sécurité et la confidentialité des données à caractère personnel.

 

  • Portée de l’obligation

Le projet de Règlement impose ainsi plusieurs actions directement liées à l’obligation générale de sécurité et à la nécessaire mise en place de mesures techniques et organisationnelles adéquates.

Ainsi en est-il de la pseudonymisation des données, de l’élargissement de l’obligation de notification des failles de sécurité[7], de l’adhésion à des codes de bonnes conduites[8], ou encore à la mise en place d’une analyse d’impact lorsque le traitement expose les personnes visées à des risques particuliers[9].

L’obligation de sécurité est en outre diffusée dans le cadre des relations entre responsables de traitement et sous-traitants avec une obligation de contractualisation généralisée et renforcée[10]

Pour l’ensemble de ces mesures, l’aspect juridique constitue un rouage essentiel. Chaque responsable de traitement devra ainsi s’assurer de la mise en place :

  • D’un registre des traitements[11], la tenue de ce registre ayant vocation à remplacer certaines formalités préalables. Notons sur ce point que cette obligation est également mise à la charge des sous-traitants ce qui constitue une nouveauté particulièrement importante du dispositif prévu par le Règlement[12]. Or, la mise en place d’un tel registre supposera en amont la réalisation d’une cartographie des traitements en cause, cartographie impliquant la réalisation d’un audit de traitement tant sur le plan juridique que technique.
  • La mise en œuvre des différentes mesures et obligations visées ci-avant devra être actée par le responsable de traitement qui devra être en mesure d’en justifier. Cela supposera notamment de traiter juridiquement, s’agissant de l’obligation générale de sécurité :
  1. La formalisation d’un « référentiel sécurité» incluant entre autre une politique de gestion des incidents liés aux systèmes d’information, une politique d’habilitation, une politique d’archivage et de conservation des données ou encore une Charte dédiée à l’encadrement de l’utilisation des Systèmes d’information de l’entreprise.
  2. Le déclenchement régulier et l’analyse de tests d’intrusion
  3. La mise en place de clauses contractuelles contraignantes imposant entre autre une procédure d’audit dans les contrats de sous-traitance
  4. La sensibilisation du personnel aux enjeux de sécurité et de confidentialité des données (sessions de formation, rédaction de notes de services, de livres blancs et autres communications internes à l’entreprise)

 

*******

Une fois adopté, le Règlement Européen sera d’application immédiate. Il importe donc, pour chaque responsable de traitement de prendre les mesures adéquates pour s’assurer de la sécurité et de la confidentialité des données traitées et d’être en mesure d’en justifier.

Pour ce faire, les professionnels du droit sont amenés à intervenir aux côtés des responsables de traitement dans le cadre d’audits et d’études d’impact consistant à :

  • délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  • identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  • apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées,
  • formuler des recommandations de consolidation afin de traiter ces impacts de manière proportionnée et accompagner les responsables de traitement dans la mise en œuvre de ces recommandations.

Vous souhaitez en savoir plus sur les prestations d’audit et d’étude d’impact ? Cliquez ICI

Lire la suite : « Vie privée, Protection des données : ce qui va changer en 2016 (partie 4 : un champ d’application élargi) Cliquez ICI ( non disponible, en cours de rédaction).

[1] Cf. http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

[2] Cf.

[3] Cf. https://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/?nabe=5279665716461568:1&utm_referrer=https%3A%2F%2Fwww.google.fr%2F

[4] Cf. sur ce thème https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

[5] Cf. par exemple délibéré du 12 juin 2014,

[6] Pour un exemple d’application de ce principe au domaine de l’actuariat et des assurances : https://www.haas-avocats.com/actualite-juridique/actuariat-big-data-quels-enjeux-juridiques/

[7] Cf. art. 31 du projet de Règlement

[8] Cf. art.30 §2 du projet de Règlement

[9] Cf. Art. 33 du projet de Règlement

[10] Cf. Art. 26 du projet de Règlement

[11] Cf. Art. 28 du projet de Règlement

[12] Cf. Art. 28 2bis du projet de Règlement

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com