La lourde charge des responsables du traitement
Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER
Le RGPD mise sur la responsabilisation des acteurs. À la différence de la directive de 1995 (premier grand texte européen sur la protection des données), il ne prévoit pas de demande d’autorisation ou de déclaration préalable. C’est astucieux de la part des concepteurs : l’absence de contrôle a priori aide à rendre acceptables les efforts demandés pour se mettre en conformité avec les nouvelles règles.
Nous l’avons vu, le RGPD identifie un « responsable du traitement » dans chaque structure, qui doit être garant de la mise en conformité requise, puis du bon fonctionnement du traitement des données. Les tâches de celui-ci sont lourdes : non seulement il met en œuvre les mesures appropriées, mais il doit en plus être capable de « démontrer » que le traitement est effectué conformément au règlement (art 24-1). Ce n’est pas une obligation, mais la référence à un code de conduite (art. 40) ou à une certification (art. 42) prônés par les autorités de contrôle peut faciliter la démonstration exigée.
Le principe directeur du responsable de traitement est simple : utiliser le moins possible les données personnelles. L’article 25 recommande ainsi la « pseudonymisation » et la « minimisation », déjà évoquées plus haut. Il ajoute le principe de protection des données par défaut : « Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (art 25-2). À l’inverse des pratiques actuelles, où l’on « prend tout » sauf mentions contraires expresses, on doit désormais n’utiliser que le strict nécessaire pour atteindre l’objectif annoncé. La protection par défaut semble en quelque sorte, au moment du traitement, compléter la minimisation des données au moment de la collecte.
Deux professionnels peuvent être conjointement responsables du traitement ; dans ce cas, le rôle de chacun est précisément défini et porté à la connaissance de la personne concernée (art. 26). Lorsque le ou les responsables du traitement ne sont pas établis dans l’Union Européenne, ils désignent un représentant installé dans un des États membres, qui sera mandaté pour être l’interlocuteur de la personne concernée et des autorités de contrôle (art. 27). L’appel aux services d’un sous-traitant est possible, à condition que celui-ci présente des garanties suffisantes pour que le traitement soit effectué en conformité avec le RGPD (art 28-1).
La tenue d’un « registre des activités de traitement » est obligatoire (art. 30). Il doit comporter les coordonnées du responsable, les finalités du traitement, les catégories de personnes, de données et de destinataires concernés, les éventuels transferts vers un pays tiers, les délais prévus pour l’effacement, une description générale des mesures de sécurité. Ce registre doit être mis à la disposition de l’autorité de contrôle si elle le demande. Il n’est pas obligatoire pour une entreprise ou une organisation de moins de 250 salariés, « sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel… » (art 30-5). Attention donc : la seule taille de l’entreprise n’est pas un critère suffisant pour se soustraire au registre. Si vous traitez souvent des données, ou si votre activité peut d’une manière ou d’une autre être reliée aux « droits et libertés des personnes », vous êtes tenus de tenir un registre des activités effectuées.
Un règlement n’est pas une notice technique. L’article 32, consacré à la sécurité du traitement, rappelle cependant quelques fondamentaux : la pseudonymisation et le chiffrement, des moyens permettant de garantir la confidentialité et l’intégrité, de rétablir la disponibilité des données et l’accès à celles-ci en cas d’incident. Les rédacteurs du texte ne négligent pas le risque de piratage : « Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite » (art. 32-2). Autrement dit, un système de traitement ne sera jugé conforme que s’il présente les garanties nécessaires, du moins maximales, en termes de protection et de sécurisation des données. On se souvient de l’émoi suscité par le piratage du fichier adhérents du site nord-américain de rencontres pour personnes mariées, quand des dizaines de milliers de profils confidentiels avaient été livrés en pâture sur le net.
Si malgré les précautions prises, une violation des données à caractère personnel est constatée, le responsable du traitement doit en informer l’autorité de contrôle dans les 72 heures « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés de personnes physiques » (art 33-1). Ce bémol donne une certaine marge de manœuvre, même si l’ensemble du texte laisse penser qu’on ne saurait en abuser pour dissimuler un problème. Le signalement doit indiquer la nature de la violation, le nombre approximatif de personnes concernées, les conséquences probables de cette violation, les mesures prises ou suggérées pour remédier au problème ou en limiter les conséquences.
Le responsable du traitement doit également informer la victime de la violation, dans les meilleurs délais (art. 34). Cette communication n’est pas nécessaire si les données volées sont « incompréhensibles », par exemple grâce au chiffrement, ou si les mesures prises font qu’il n’y a pas de risques pour les droits et libertés de la personne concernée, ou si cette communication « exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace » (art. 34-3c). Cet alinéa vise les piratages de masse, et libère les responsables de traitement d’un mail personnalisé à chaque individu figurant dans leurs fichiers.
Pour finir, précisons que l’esprit du RGPD est sans équivoque : dans une entreprise organisée avec des filiales, les obligations de ces dernières sont les mêmes que celles de la société mère.