20 Conformité Informatique et Libertés : l`étude d`impact ou l

Cahiers pratiques
DIRECTION DES SYSTÈMES D’INFORMATION
20
Conformité Informatique et Libertés :
l’étude d’impact ou l’approche par les
risques
Cahier pratique rédigé par :
Merav Griguer,
avocat associée du cabinet Dunaud Clarenc
Combles et Associés
POINTS-CLÉS ➤ Actuellement, la Commission, le Parlement et le Conseil européen
recherchent un consensus sur le projet de règlement européen du 25 janvier 2012,
réformant de manière globale le droit européen de la protection des données personnelles
➤ D’après le nouveau calendrier prévisionnel publié par la Commission Nationale de
l’Informatique et des Libertés (CNIL), le texte définitif sera adopté en janvier 2016.
Outre le renforcement des droits des individus (dont la
consécration du droit à l’oubli), l’augmentation des sanctions
administratives qui peuvent être prononcées par les autorités
de contrôle (avec une amende pouvant atteindre 100 millions
d’euros ou au maximum 5 % du chiffre d’affaire annuel mondial), l’obligation de désigner un délégué à la protection des
données personnelles et le partage des responsabilités entre le
responsable de traitement et le sous-traitant, le projet de règlement européen prévoit l’allégement des formalités préalables.
En contrepartie, les responsables de traitement de données à
caractère personnel devront faire la preuve de la conformité de
leurs traitements aux dispositions du règlement européen par
la réalisation d’analyses d’impact.
Dans son considérant 71 bis, le projet de règlement européen définit les analyses d’impact en ces termes : « Les analyses
d’impact sont l’essence même de tout cadre viable de protection
des données. Elles garantissent que les entreprises soient
conscientes dès le départ de toutes les conséquences possibles de
leurs traitements. Des analyses d’impact approfondies permettent de limiter le risque de violation des données ou de
traitements portant atteinte à la vie privée. Les analyses d’impact
relatives à la protection des données devraient, dès lors, porter sur
la gestion des données à caractère personnel tout au long de leur
cycle de vie, depuis la collecte jusqu’au traitement et à l’effacement des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes
concernées, les mesures envisagées pour réduire ces risques, ainsi
que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement. »
Le projet de règlement européen exige donc en sus d’une
approche globale et en amont de conformité au droit européen
66
CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015
de la protection des données personnelles, une approche plus
ciblée d’analyse et de prévention des risques.
Il en résulte que les audits visant à vérifier et à mettre en
conformité les traitements de données à caractère personnel au
droit de la protection des données personnelles doivent désormais être doublés d’une étude d’impact pour chacun des traitements identifiés dans le cadre de l’audit.
L’audit dit « CNIL » ou de conformité à la loi n° 78-17 du
6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés modifiée, dite « Informatique et Libertés » n’est donc
plus suffisant. La Commission recommande même d’anticiper
sur l’adoption et l’application directe du projet de règlement
européen par la mise en place de PIA (Privacy Impact Assessment) ou EIVP (Etude d’impact sur la vie privée).
1. L’audit de conformité préalable à
l’étude d’impact
L’analyse d’impact ne peut s’opérer sans un audit de conformité préalable reposant sur la vérification du respect et de
l’application des principes fondamentaux intangibles du droit
de la protection des données personnelles, à savoir :
– la poursuite de finalités légitimes ;
– la collecte et le traitement de données pertinentes ;
– la durée de conservation limitée et proportionnée des
données ;
– la sécurité et la confidentialité des données ;
– l’information des personnes concernées ;
– le respect des droits des personnes concernées ;
– les éventuelles formalités auprès de l’autorité de contrôle.
La méthode de l’audit de conformité à la loi « Informatique
et Libertés » permet d’atteindre ce premier pallier de confor-
mité, à condition d’anticiper et d’intégrer les nouvelles règles
posées par le projet de règlement européen. Une attention plus
particulière doit être portée à la vérification de la validité du
consentement des personnes concernées, lorsque le recueil de
celui-ci est requis, ainsi qu’aux contrats avec les tiers (tout
particulièrement avec les sous-traitants afin de tenir compte
notamment du partage de responsabilité prévu par le projet de
règlement).
La difficulté dans les audits de conformité « Informatique et
Libertés » réside dans l’identification des traitements de données à caractère personnel au sens légal du terme (notion large,
dont le critère réside davantage dans la finalité poursuivi que
dans l’outil ou le support technologique y afférent).
La méthode d’audit de conformité suppose la centralisation
d’un certain nombre d’informations.
Exemple d’outil d’audit simplifié :
Audit conformité protection des données personnelles
Traitement identifié
Quelques exemples :
– recrutement ;
– contrôle de l’utilisation
des ressources technologiques par les employés ;
– marketing ;
– contrôle des exportations
Finalité(s)
poursuivie(s)
(actuellement
et à moyen
terme)
Catégories de
données collectée / traitées (contrôle
de la pertinence, adéquation
et
proportionnalité
des
données)
Durée
de
conservation
des données
(à apprécier
au regard de
la finalité)
Sécurité physique, technique
et
organisationnelle des données (en ce
compris
la
gestion des
habilitations
et autorisations informatiques)
Informations
des personnes
concernées :
qualité de la
mention ;
modalité de
transmission
de l’information :
voie
d’affichage,
clause dans le
contrat, mention sur le
formulaire,
notice
d’information, mention
sur site web,
clause dans
CGU
ou
CGV, lettre,
email, etc.
Respect des
droits
des
personnes
concernées :
adresse mail
dédiée, délais
de réponse,
etc.
Formalités
CNIL :
vérification
de la nécessité
d’établir
la
formalité ;
vérification,
le cas échéant,
de la complétude de la formalité
accomplie
Etc.
2. L’étude d’impact ou l’approche par les
risques
L’étude d’impact sur la vie privée des traitements de données à caractère personnel identifiés dans le cadre de l’audit
conformité tend à gérer les risques sur la vie privée des personnes liés aux traitements en question. L’objectif sous-jacent
est de déterminer les mesures techniques et organisationnelles
appropriées pour assurer la meilleure protection aux données
à caractère personnel en fonction de l’environnement dans
lequel la donnée est collectée et traitée.
Le projet de règlement européen précise que les responsables du traitement doivent « procéder, de manière périodique,
à un examen de conformité concernant la protection des données,
attestant que les mécanismes de traitement en place sont
conformes aux engagements pris dans l’analyse d’impact relative
à la protection des données ».
L’analyse d’impact doit être réalisée au minimum une fois
par an.
Ainsi, le règlement européen, qui devrait entrer en vigueur
début 2016, impose aux entreprises de se doter d’un nouvel
outil de conformité et de RSE, l’étude d’impact sur la vie privée
des traitements de données à caractère personnel mis en œuvre
par l’entreprise ou pour le compte de l’entreprise.
CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015
67
Exemple d’outil d’analyse d’impact simplifié :
Étude d’impact sur la vie privée (ou Privacy Impact Assessment)
Traitement à risques spécifiques Description
du
identifié
contexte,
des
enjeux et des différents
traitements envisagés
Mesures mises en
place ou prévues
pour gérer les
risques (clauses de
sauvegarde,
mesures de sécurité et dispositifs
mis en œuvre)
Évaluation
des
risques sur la vie
privée, appréciation du niveau de
sécurité et de la
proportionnalité
du traitement et
des données (analyse au niveau de
la collecte, du traitement et de l’effacement
des
données)
Validation
(la CNIL recommande ici de
« décider de valider la manière
dont il est prévu
de respecter les
exigences légales
et de traiter les
risques ou bien
faire une itération
des étapes précédentes »)
Préconisations et
mesures complémentaires visant à
prévenir
les
risques
Exemple de traitement :
Recrutement
Contexte :
Évaluation
des
qualités et compétences des candidats à l’embauche
sur la base de leur
CV complété par
les informations
rendues publiques
par le candidat sur
Internet et les
réseaux sociaux
(LinkedIn, Facebook, Twitter, Instagram, etc.)
Mesures en place :
Collecte uniquement des informations
rendues
publiques par le
candidat sur les
réseaux sociaux
professionnels
Risques :
Prise de connaissance par incidence
d’informations à
caractère non professionnel susceptibles d’impacter
la
décision
d’embaucher ou
pas
(situation
familiale, loisirs et
habitudes de vie,
photographies,
etc.),
collecte
d’informations
relative à des
homonymes, collecte d’informations
erronées
diffusées par des
tiers (détracteurs,
usurpateurs
d’identité ayant
créé un faux profil, etc.)
Validation ?
Non validation :
insuffisance des
mesures de protection et garanties
Préconisations :
Mise en place
d’une procédure
de consultation et
d’utilisation des
informations sur
les
réseaux
sociaux et Internet
dans le cadre des
opérations
de
recrutement :
– collecte uniquement des informations
après
vérification ;
–
information
préalable du candidat des autres
sources d’informations sur la
base desquelles la
décision d’embaucher ou pas sera
prise ;
– etc.
Exemple de traitement :
Marketing
Contexte :
Envoi de newsletter et d’informations ciblées au
regard du profil
du contact ou
client
Mesures en place :
– Faculté de se
désabonner à la
newsletter
– Information des
personnes concernées
Risques :
Défaut de recueil
du consentement
préalable
pour
profiler les personnes concernées
et leur communiquer de la publicité ciblée
Validation ?
Non validation :
manquement
à
l’obligation
de
recueillir
le
consentement
express,
spécifique, libre et
informé
Préconisations :
– Revoir la politique de cookies
– Mettre en place
un dispositif de
recueil préalable
du consentement
des personnes au
profilage et à la
publicité ciblée
– Prévoir la faculté
pour les personnes concernées
d’exercer le droit
de retrait de leur
consentement
68
CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015