20 Conformité Informatique et Libertés : l`étude d`impact ou l
Transcription
20 Conformité Informatique et Libertés : l`étude d`impact ou l
Cahiers pratiques DIRECTION DES SYSTÈMES D’INFORMATION 20 Conformité Informatique et Libertés : l’étude d’impact ou l’approche par les risques Cahier pratique rédigé par : Merav Griguer, avocat associée du cabinet Dunaud Clarenc Combles et Associés POINTS-CLÉS ➤ Actuellement, la Commission, le Parlement et le Conseil européen recherchent un consensus sur le projet de règlement européen du 25 janvier 2012, réformant de manière globale le droit européen de la protection des données personnelles ➤ D’après le nouveau calendrier prévisionnel publié par la Commission Nationale de l’Informatique et des Libertés (CNIL), le texte définitif sera adopté en janvier 2016. Outre le renforcement des droits des individus (dont la consécration du droit à l’oubli), l’augmentation des sanctions administratives qui peuvent être prononcées par les autorités de contrôle (avec une amende pouvant atteindre 100 millions d’euros ou au maximum 5 % du chiffre d’affaire annuel mondial), l’obligation de désigner un délégué à la protection des données personnelles et le partage des responsabilités entre le responsable de traitement et le sous-traitant, le projet de règlement européen prévoit l’allégement des formalités préalables. En contrepartie, les responsables de traitement de données à caractère personnel devront faire la preuve de la conformité de leurs traitements aux dispositions du règlement européen par la réalisation d’analyses d’impact. Dans son considérant 71 bis, le projet de règlement européen définit les analyses d’impact en ces termes : « Les analyses d’impact sont l’essence même de tout cadre viable de protection des données. Elles garantissent que les entreprises soient conscientes dès le départ de toutes les conséquences possibles de leurs traitements. Des analyses d’impact approfondies permettent de limiter le risque de violation des données ou de traitements portant atteinte à la vie privée. Les analyses d’impact relatives à la protection des données devraient, dès lors, porter sur la gestion des données à caractère personnel tout au long de leur cycle de vie, depuis la collecte jusqu’au traitement et à l’effacement des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour réduire ces risques, ainsi que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement. » Le projet de règlement européen exige donc en sus d’une approche globale et en amont de conformité au droit européen 66 CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015 de la protection des données personnelles, une approche plus ciblée d’analyse et de prévention des risques. Il en résulte que les audits visant à vérifier et à mettre en conformité les traitements de données à caractère personnel au droit de la protection des données personnelles doivent désormais être doublés d’une étude d’impact pour chacun des traitements identifiés dans le cadre de l’audit. L’audit dit « CNIL » ou de conformité à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, dite « Informatique et Libertés » n’est donc plus suffisant. La Commission recommande même d’anticiper sur l’adoption et l’application directe du projet de règlement européen par la mise en place de PIA (Privacy Impact Assessment) ou EIVP (Etude d’impact sur la vie privée). 1. L’audit de conformité préalable à l’étude d’impact L’analyse d’impact ne peut s’opérer sans un audit de conformité préalable reposant sur la vérification du respect et de l’application des principes fondamentaux intangibles du droit de la protection des données personnelles, à savoir : – la poursuite de finalités légitimes ; – la collecte et le traitement de données pertinentes ; – la durée de conservation limitée et proportionnée des données ; – la sécurité et la confidentialité des données ; – l’information des personnes concernées ; – le respect des droits des personnes concernées ; – les éventuelles formalités auprès de l’autorité de contrôle. La méthode de l’audit de conformité à la loi « Informatique et Libertés » permet d’atteindre ce premier pallier de confor- mité, à condition d’anticiper et d’intégrer les nouvelles règles posées par le projet de règlement européen. Une attention plus particulière doit être portée à la vérification de la validité du consentement des personnes concernées, lorsque le recueil de celui-ci est requis, ainsi qu’aux contrats avec les tiers (tout particulièrement avec les sous-traitants afin de tenir compte notamment du partage de responsabilité prévu par le projet de règlement). La difficulté dans les audits de conformité « Informatique et Libertés » réside dans l’identification des traitements de données à caractère personnel au sens légal du terme (notion large, dont le critère réside davantage dans la finalité poursuivi que dans l’outil ou le support technologique y afférent). La méthode d’audit de conformité suppose la centralisation d’un certain nombre d’informations. Exemple d’outil d’audit simplifié : Audit conformité protection des données personnelles Traitement identifié Quelques exemples : – recrutement ; – contrôle de l’utilisation des ressources technologiques par les employés ; – marketing ; – contrôle des exportations Finalité(s) poursuivie(s) (actuellement et à moyen terme) Catégories de données collectée / traitées (contrôle de la pertinence, adéquation et proportionnalité des données) Durée de conservation des données (à apprécier au regard de la finalité) Sécurité physique, technique et organisationnelle des données (en ce compris la gestion des habilitations et autorisations informatiques) Informations des personnes concernées : qualité de la mention ; modalité de transmission de l’information : voie d’affichage, clause dans le contrat, mention sur le formulaire, notice d’information, mention sur site web, clause dans CGU ou CGV, lettre, email, etc. Respect des droits des personnes concernées : adresse mail dédiée, délais de réponse, etc. Formalités CNIL : vérification de la nécessité d’établir la formalité ; vérification, le cas échéant, de la complétude de la formalité accomplie Etc. 2. L’étude d’impact ou l’approche par les risques L’étude d’impact sur la vie privée des traitements de données à caractère personnel identifiés dans le cadre de l’audit conformité tend à gérer les risques sur la vie privée des personnes liés aux traitements en question. L’objectif sous-jacent est de déterminer les mesures techniques et organisationnelles appropriées pour assurer la meilleure protection aux données à caractère personnel en fonction de l’environnement dans lequel la donnée est collectée et traitée. Le projet de règlement européen précise que les responsables du traitement doivent « procéder, de manière périodique, à un examen de conformité concernant la protection des données, attestant que les mécanismes de traitement en place sont conformes aux engagements pris dans l’analyse d’impact relative à la protection des données ». L’analyse d’impact doit être réalisée au minimum une fois par an. Ainsi, le règlement européen, qui devrait entrer en vigueur début 2016, impose aux entreprises de se doter d’un nouvel outil de conformité et de RSE, l’étude d’impact sur la vie privée des traitements de données à caractère personnel mis en œuvre par l’entreprise ou pour le compte de l’entreprise. CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015 67 Exemple d’outil d’analyse d’impact simplifié : Étude d’impact sur la vie privée (ou Privacy Impact Assessment) Traitement à risques spécifiques Description du identifié contexte, des enjeux et des différents traitements envisagés Mesures mises en place ou prévues pour gérer les risques (clauses de sauvegarde, mesures de sécurité et dispositifs mis en œuvre) Évaluation des risques sur la vie privée, appréciation du niveau de sécurité et de la proportionnalité du traitement et des données (analyse au niveau de la collecte, du traitement et de l’effacement des données) Validation (la CNIL recommande ici de « décider de valider la manière dont il est prévu de respecter les exigences légales et de traiter les risques ou bien faire une itération des étapes précédentes ») Préconisations et mesures complémentaires visant à prévenir les risques Exemple de traitement : Recrutement Contexte : Évaluation des qualités et compétences des candidats à l’embauche sur la base de leur CV complété par les informations rendues publiques par le candidat sur Internet et les réseaux sociaux (LinkedIn, Facebook, Twitter, Instagram, etc.) Mesures en place : Collecte uniquement des informations rendues publiques par le candidat sur les réseaux sociaux professionnels Risques : Prise de connaissance par incidence d’informations à caractère non professionnel susceptibles d’impacter la décision d’embaucher ou pas (situation familiale, loisirs et habitudes de vie, photographies, etc.), collecte d’informations relative à des homonymes, collecte d’informations erronées diffusées par des tiers (détracteurs, usurpateurs d’identité ayant créé un faux profil, etc.) Validation ? Non validation : insuffisance des mesures de protection et garanties Préconisations : Mise en place d’une procédure de consultation et d’utilisation des informations sur les réseaux sociaux et Internet dans le cadre des opérations de recrutement : – collecte uniquement des informations après vérification ; – information préalable du candidat des autres sources d’informations sur la base desquelles la décision d’embaucher ou pas sera prise ; – etc. Exemple de traitement : Marketing Contexte : Envoi de newsletter et d’informations ciblées au regard du profil du contact ou client Mesures en place : – Faculté de se désabonner à la newsletter – Information des personnes concernées Risques : Défaut de recueil du consentement préalable pour profiler les personnes concernées et leur communiquer de la publicité ciblée Validation ? Non validation : manquement à l’obligation de recueillir le consentement express, spécifique, libre et informé Préconisations : – Revoir la politique de cookies – Mettre en place un dispositif de recueil préalable du consentement des personnes au profilage et à la publicité ciblée – Prévoir la faculté pour les personnes concernées d’exercer le droit de retrait de leur consentement 68 CAHIERS DE DROIT DE L’ENTREPRISE N° 4, JUILLET-AOÛT 2015