Par Marc-Antoine Ledieu, avocat à la Cour, spécialiste du droit des nouvelles technologies et des contrats et Frans Imbert-Vier, Président Directeur Général d’Ubcom
Le règlement européen 2016 / 679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ?
1. QUELS SONT LES RÈGLES D’APPLICATION TERRITORIALE ?
Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en "écrasant" les différentes législations nationales existantes en la matière.
Concrètement, que prévoit ce Règlement ?
Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s'appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées.
Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE :
le Règlement 2016/679 s'appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.
2. QUELS SONT LES DROITS ET OBLIGATIONS DES ENTREPRISES QUI COLLECTENT ET TRAITENT DES DONNÉES PERSONNELLES SUR LE TERRITOIRE
L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre "traitement" des données personnelles. Chaque “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures "effectives" de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.
3. EXISTE-T-IL UN REGIME PARTICULIER APPLICABLE AUX “SOUS-TRAITANTS” ?
Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son "sous-traitant" respecte ses directives ainsi que les obligations spécifiques qui s'imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.
4. QUELS SONT LES DROITS DES “PERSONNES CONCERNÉES” (CELLES DONT LES DONNÉES SONT COLLECTÉES ET TRAITÉES) ?
Les personnes physiques dont les données sont collectées doivent d'abord pouvoir s'assurer qu'elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : "toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l'objet d'un traitement". Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l'opt-out) mais bien exigé de manière positive et au préalable (principe de l'opt-in).
Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière "licite, loyale et transparente" pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées "pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités".
Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l'existence du droit d'accès, du droit à la rectification et du droit à s'opposer à un traitement. Sont nouveaux le droit à l'effacement (droit à l'oubli), le droit à la limitation du traitement et le droit à la portabilité des données.
Enfin, le Règlement consacre de nouvelles dispositions sur le "profilage" des personnes dont les données sont traitées et encadre à ce titre de manière originale les "décisions individuelles automatisées" comprenant un "profilage".
5. Y A-T- IL UN DURCISSEMENT DES OBLIGATIONS DE SECURITÉ ?
Tout à fait ! Et c'est une des grandes nouveautés du Règlement 2016/679. En parallèle de l'obligation de tenue d'un "registre des activités de traitement" de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent.
A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre "les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque".
Ces mesures techniques peuvent prendre plusieurs formes :
la pseudonymisation et le chiffrement des données ;
des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
des moyens permettant de rétablir la disponibilité des données en cas d'incident physique ou technique ;
une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.
Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C'est pourquoi le Règlement impose aux responsables de traitement une obligation d'information des autorités de contrôle en cas d'atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.
Cette obligation d'information en cas d'atteinte aux conditions normales de stockage et d'accès aux données s'impose à l'identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l'obligation d'informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d'en informer à son tour son autorité de contrôle.
