Le CIL et la gouvernance des données personnelles

Cahiers pratiques
DIRECTION DES SYSTÈMES D’INFORMATION
5
Le CIL et la gouvernance des données
personnelles
Cahier pratique rédigé par :
Merav Griguer,
Avocat associée du cabinet Dunaud Clarenc,
Combles et associés
POINTS-CLÉS ➤ La gouvernance des données personnelles est définie par la CNIL comme
« l’ensemble des mesures, des règles et des bonnes pratiques qui permettent l’application
des lois et règlements pour la gestion de ces données, et de préciser les responsabilités qui
interviennent dans cette gestion » ➤ La proposition de règlement du Parlement européen et
du Conseil du 25 janvier 2012 relatif à la protection des données personnelles place le CIL
au cœur de la gouvernance des données personnelles ➤ Compte tenu du calendrier
prévisionnel selon lequel le projet de règlement européen devrait être applicable d’ici fin
2015, les entreprises doivent se préparer et anticiper la mise en place de ces mesures
obligatoires sous peine de sanctions de plus en plus lourdes.
La gouvernance des données personnelles, également nommée « gouvernance Informatique et Libertés », est définie par
la Commission Nationale de l’Informatique et des Libertés
(CNIL) comme « l’ensemble des mesures, des règles et des
bonnes pratiques qui permettent l’application des lois et règlements pour la gestion de ces données, et de préciser les responsabilités qui interviennent dans cette gestion » (CNIL, délib.
n° 2014-500, 11 déc. 2014 portant adoption d’un référentiel pour
la délivrance de labels en matière de procédures de gouvernance
Informatique et Libertés).
La proposition de règlement du Parlement européen et du
Conseil du 25 janvier 2012 relatif à la protection des données
personnelles (Comm. UE, doc. COM(2012) 11 final, 25 janv.
2012), tel qu’amendé par la résolution législative du Parlement
européen du 12 mars 2014 place le Correspondant Informatique et Libertés (CIL) au cœur de la gouvernance des données
personnelles.
La CNIL a adopté le 11 décembre 2014 un nouveau référentiel pour les procédures de gouvernance Informatique et Libertés qui positionne le CIL au centre de la gouvernance des
données personnelles. Ce nouveau label qui succède aux labels
« formation », « procédure d’audit » et « coffre-fort numérique », intègre un certain nombre de mesures prévues par le
projet de règlement européen.
Compte tenu du calendrier prévisionnel selon lequel le
projet de règlement européen devrait être applicable d’ici fin
2015, les entreprises doivent se préparer et anticiper la mise en
place de ces mesures obligatoires sous peine de sanctions de
plus en plus lourdes.
74
CAHIERS DE DROIT DE L’ENTREPRISE N° 1, JANVIER-FÉVRIER 2015
1. Obligation élargie de désigner un CIL
L’article 35 du projet de règlement amendé rend obligatoire
la désignation d’un délégué à la protection des données personnelles (DPO) au sein des organismes publiques. Pourtant, à
l’heure actuelle, en pratique, le secteur public est derrière le
secteur privé pour ce qui concerne la désignation de CIL.
De leur côté, les entreprises du CAC 40 ont majoritairement
un CIL en leur sein, anticipant ainsi sur l’entrée en vigueur du
projet de règlement européen prévue d’ici fin 2015. En effet, le
texte européen qui sera d’application directe exige la désignation d’un DPO pour les traitements portant sur plus de 5 000
personnes concernées sur une période de douze mois consécutifs. Or, la base CRM (Customer Relationship Management) des
moyennes et grandes sociétés visant à gérer la relation clients
concernent aisément plus de 5 000 personnes (banques, assurances, laboratoires pharmaceutiques, cabinets de recrutements, grande distribution, etc.).
Le projet de règlement européen rend également obligatoire
le DPO lorsque « les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du
fait de leur nature, de leur portée et/ou de leurs finalités,
exigent un suivi régulier et systématique des personnes concernées ».
Par ailleurs, le DPO sera obligatoire pour les organismes qui
traitent des données à caractère personnel sensibles. Plus exactement, l’article 9 du texte européen vise les données « qui
révèlent l’origine raciale ou ethnique, les opinions politiques,
la religion ou les croyances philosophiques, l’orientation
sexuelle ou l’identité de genre, l’appartenance et les activités
syndicales, ainsi que le traitement des données génétiques ou
biométriques ou des données concernant la santé ou relatives à
la vie sexuelle, aux sanctions administratives, aux jugements, à
des infractions pénales ou à des suspicions, à des condamnations, ou encore à des mesures de sûreté connexes ».
Enfin, les organismes qui traitent des données de localisation ou des données relatives à des enfants ou des employés
dans des fichiers informatisés de grande ampleur devront
également désigner prochainement un DPO pour se conformer au règlement européen.
Ainsi, les organismes concernés par les dispositions présentées ci-dessus et qui n’ont pas encore de CIL, que ce soit de
manière intentionnelle ou par négligence, s’exposent à une
sanction administrative de la CNIL pouvant aller jusqu’à cent
millions d’euros ou 5 % du chiffre d’affaires annuel mondial
(V. projet de règlement, art. 79 (amendement 188)).
S’agissant des quelques entreprises non concernées par cette
obligation de désigner un CIL et dans l’attente de l’adoption
définitive et de l’entrée en vigueur du règlement européen, il
convient de rappeler que la politique générale de la CNIL
consiste à encourager fortement la désignation d’un CIL lui
reconnaissant les vertus suivantes :
- « un vecteur de sécurité juridique » permettant de garantir la conformité de l’entreprise à la loi Informatique et Libertés
(L. n° 78-17, 6 janv. 1978 relative à l’informatique, aux fichiers
et aux libertés : JO 7 janv. 1978, p. 227) ;
- « un accès personnalisé aux services de la CNIL » via une
ligne téléphonique et une adresse électronique dédiées, ainsi
qu’un extranet proposant des services exclusifs (forums de
discussion et outils pratiques) ;
- « une source de sécurité informatique » dans la mesure où
le CIL a notamment pour mission de s’assurer que « toutes les
précautions utiles ont été prises pour préserver la sécurité des
données et, notamment, empêcher qu’elles soient déformées,
endommagées, ou que des personnes non autorisées y aient
accès » ;
- « la preuve d’un engagement éthique et citoyen » de
l’entreprise en matière de respect de la vie privée et des libertés
individuelles ;
- « un facteur de simplification des formalités administratives » (exonération de l’obligation de déclaration préalable
des traitements ordinaires et courants (déclarations normales
et simplifiées), à l’exclusion des traitements sensibles demeurant soumis à autorisation préalable de la CNIL) ; et,
- « un outil de valorisation du patrimoine informationnel »
puisque le CIL garantit la fiabilité des données ainsi traitées.
2. Fixation d’une durée règlementaire
minimale
Le DPO devra être désigné pour une durée minimale de
quatre ans s’il s’agit d’un salarié ou de deux ans s’il s’agit d’un
prestataire externe. Cette durée minimale est reconductible.
Par conséquent, le responsable de traitement ne pourra se
défaire de son CIL/DPO que si ce dernier ne remplit plus les
conditions requises pour l’exercice de ces fonctions. Il semblerait que seule la faute ou l’insuffisance professionnelle pourrait
justifier la fin de son mandat. Les autres causes légales de
rupture du contrat de travail (telle que la mésentente avec
l’employeur/le responsable de traitement) ne sont donc pas
applicables.
Le CIL sauvegarde ainsi sont statut de salarié « protégé ». Le
contrat de travail devra donc tenir compte de ce statut particulier. Une procédure spécifique doit également être respectée ;
plus particulièrement, la CNIL doit être informée préalablement des motifs justifiant la fin ou la modification des fonctions du CIL.
3. Missions étendues et complexifiées
Les missions du DPO sont plus étendues que celles du CIL et
plus complexes.
L’article 27 du projet de règlement européen amendé énumère les missions du DPO, parmi lesquelles :
- il doit sensibiliser, informer et conseiller le responsable du
traitement ou le sous-traitant sur leurs obligations, tout particulièrement celles relatives aux mesures et procédures techniques et organisationnelles à mettre en place pour assurer la
conformité à la loi Informatique et Libertés ; il est précisé qu’il
doit également veiller à conserver une trace documentaire de
cette activité et des réponses reçues ;
- il doit contrôler le bon respect des règles internes (BCR ou
Binding Corporate Rules) en matière de protection des données
personnelles, notamment pour ce qui concerne la répartition
des responsabilités, la formation du personnel participant aux
traitements, et les audits ;
- il veille au respect par l’organisme de la réglementation
relative à la protection des données personnelles notamment
en matière de sécurité et protection des données, de notifications d’atteintes à la protection des données et de consultations
préalables ;
- il vérifie que le responsable du traitement ou le soustraitant a réalisé l’analyse d’impact relative à la protection des
données, et que les demandes de consultation préalable
requises ont bien été introduites ;
- il doit tenir un registre relatif aux traitements de données à
caractère personnel mis en œuvre ;
- il doit informer les représentants des salariés au sujet du
traitement des données des salariés ;
- il est le point de contact de la CNIL et a l’obligation
expresse de coopérer avec elle.
Les missions exposées ci-dessus viennent s’ajouter aux missions prévues par la loi Informatique et Libertés et son décret
d’application (D. n° 2005-1309, 20 oct. 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique,
aux fichiers et aux libertés : JO 22 oct. 2005, p. 16769).
Le projet de règlement européen amendé qui supprime les
formalités administratives préalables impose au responsable
de traitement ou au sous-traitant de réaliser une analyse de
l’impact des traitements présentant des « risques particuliers »
au regard des droits et libertés des personnes concernées, et ce,
préalablement à leur mise en œuvre. Cette procédure de gouvernance des données personnelles demeure complexe à
mettre en place.
CAHIERS DE DROIT DE L’ENTREPRISE N° 1, JANVIER-FÉVRIER 2015
75
Si le projet de règlement européen ne fournit pas de définition de la notion de « risques particuliers », certains de ses
considérants apportent quelques précisions. On en déduit que
sont visés les traitements de taille importante (collecte massive
de données, Big Data, tracking, publicité ciblée), les procédés
d’archivage à grande échelle, les traitements liés à un secteur
d’activité sensible (santé, banque, assurance, etc.), les traitements ayant pour objet ou pour effet la privation d’une personne d’un droit (procédures d’alertes éthiques,
whistleblowing, etc.) et l’utilisation de technologies innovantes
(biométrie, objets connectés, m-santé, cloud, etc.). L’article 9
fixe la liste des traitements de données sensibles susceptibles de
caractériser des traitements à risques particuliers. Ces données
sont équivalentes à celles prévues aux articles 8, 9, et 10 de la loi
Informatique et Libertés. Il convient d’ajouter les données de
localisation, les données relatives aux enfants et celles relatives
aux employés dans des fichiers informatisés de grande
ampleur.
Afin d’assurer un maximum d’efficacité à cette nouvelle
procédure de gouvernance des outils spécifiques d’appréciation doivent être établis et prévus à cet effet. Ces outils de
gouvernance des données personnelles doivent permettre :
- de mettre en exergue les caractéristiques du traitement
présentant un risque particulier ;
- d’identifier, qualifier et circonscrire les risques particuliers ;
- de déterminer les garanties spécifiques permettant de
gommer les risques particuliers identifiés ; et,
- de contrôler le maintien de la conformité du traitement
présentant des risques particuliers.
La CNIL devra établir une liste des traitements de données à
caractère personnel présentant des risques particuliers.
Le manquement à l’obligation d’effectuer une analyse
d’impact est passible d’une sanction administrative de la CNIL
pouvant aller jusqu’à cent millions d’euros ou 5 % du chiffre
d’affaires annuel mondial.
Il convient d’admettre que l’analyse d’impact qui vise à se
substituer aux actuelles formalités administratives préalables
constitue en définitive une démarche plus contraignante pour
les entreprises.
76
CAHIERS DE DROIT DE L’ENTREPRISE N° 1, JANVIER-FÉVRIER 2015
Cette procédure de gouvernance à caractère obligatoire
devra être intégrée en amont de tout nouveau projet technologique ou innovant afin de limiter les décalages du calendrier et
d’assurer une parfaite conformité et légalité audit projet, sous
peine d’engagement de la responsabilité de l’entreprise.
4. Vers un « super CIL »
Le projet de règlement européen fixe les critères de sélection
du CIL : « Le responsable du traitement ou le sous-traitant
désignent le délégué à la protection des données sur la base de
ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière
de protection des données, et de sa capacité à accomplir les
tâches énumérées à l’article 37. Le niveau de connaissances
spécialisées requis est déterminé notamment en fonction du
traitement des données effectué et de la protection exigée pour
les données à caractère personnel traitées par le responsable du
traitement ou le sous-traitant ».
Il est donc de la responsabilité du responsable de traitement
de bien choisir son CIL/DPO, en veillant notamment à ce que
le niveau de compétence de celui-ci corresponde à la nature et
au niveau de complexité des traitements (importance, sensibilité, etc.).
Les CIL apparaissent ainsi comme les spécialistes de la
gouvernance des données personnelles. Il demeure que, sans
organisation adéquate et moyens suffisants, ceux-ci ne sont pas
en mesure d’accomplir efficacement leur mission. Le responsable de traitement, l’employeur, doivent donc veiller à mettre
en place une organisation adéquate et des moyens adaptés
permettant au CIL d’atteindre les objectifs de gouvernance
Informatique et Libertés qui lui ont été fixés.
Notamment, le projet de règlement européen précise à
l’article 26 amendé que le responsable du traitement ou le
sous-traitant doivent aider le DPO à exercer ses missions et lui
fournir toutes les ressources, notamment « le personnel, les
locaux, les équipements et toutes autres ressources nécessaires
à l’exécution de ses missions et obligations » ainsi qu’au maintien de ses connaissances professionnelles (formations).