Par Christiane FERAL-SCHUHL
Avocate
Ancienne présidente du CNB
Ancienne Bâtonnière du Barreau de Paris
Thématique pourtant ancienne, la régulation des traitements de données à caractère personnel a connu une nouvelle dynamique depuis l’entrée en application du Règlement Général sur la Protection des Données1, plus connu sous l’acronyme RGPD, le 25 mai 2018.
En effet, si le sujet de la protection des données à caractère personnel mobilisait le législateur et les autorités de régulation bien avant l’entrée en vigueur du RGPD, ce texte a incontestablement marqué un changement de philosophie. Alors que le régime pré-RGPD était marqué par un système de déclarations et d’autorisations auprès des autorités de contrôle nationales, le RGPD opte pour une plus grande responsabilisation des acteurs via l’intégration du principe d’accountability qui leur impose de se conformer aux règles de protection de ces données et surtout de pouvoir justifier et démontrer à tout moment de mesures adaptées mises en place à cet effet. C’est ainsi qu’est née la Compliance RGPD.
Le fait que ce thème de la compliance RGPD soit aujourd’hui au centre de l’attention n’est pas anodin. Au-delà d’une prise de conscience des personnes et de la société, la CNIL, autorité de régulation française compétente en la matière, a vu ses pouvoirs de contrôle et de sanction se renforcer depuis le RGPD. En témoignent les vagues successives de mises en demeure et les récentes sanctions record de la CNIL.
Ainsi, alors que le RGPD souffle sa quatrième bougie, est venue l’heure du bilan. Quelles leçons tirer et quels constats dresser de ces quatre années de pratique du RGPD, et plus généralement de ce qu’on appelle désormais la compliance RGPD ?
1. Une règlementation tentaculaire
On ne saurait réduire la compliance en matière de protection des données personnelles au seul respect du cadre juridique fixé par le RGPD. En effet, le paysage des sources du droit des données à caractère personnel est vaste et complexe.
Une multitude de textes applicables
Avant même l’entrée en application du RGPD, la Loi Informatique et Libertés prévoyait déjà un certain nombre de principes et d’obligations auxquels les responsables de traitement doivent se conformer. S’agissant des cookies et des autres traceurs, c’est la directive ePrivacy2 qui fixe les conditions et obligations inhérentes à ce type de traitements. Certains acteurs auront en outre à se conformer à certaines dispositions spéciales suivant leur domaine d’exercice, issues par exemple du Code de la santé publique (pour les traitements relatifs à la recherche médicale notamment) ou du Code de la sécurité intérieure (pour les questions relatives à la vidéo-protection et vidéosurveillance).
Une jurisprudence importante
Au-delà de ces différents textes applicables, la compliance RGPD implique la prise en compte des différentes décisions tranchant les interprétations de ces textes et aiguisant les contours de la matière. Il est ainsi impossible aujourd’hui d’ignorer les décisions Schrems I et Schrems II3 de la Cour de justice de l’Union européenne (CJUE) en matière de transferts de données hors de l’Union ou encore les arrêts Planet494 ou encore Fashion ID5 s’agissant des cookies.
Des règles de softlaw émanant des autorités de régulation
La CNIL sur le plan national et l’EDPB6 sur le plan européen viennent au soutien de la compliance RGPD en éclairant les responsables de traitement, au moyen de lignes directrices et de recommandations, sur des sujets souvent d’une particulière technicité ou s’agissant de besoins de précisions exprimés par la pratique.
Il convient également de tirer les conséquences des délibérations de la CNIL, souvent éclairantes sur des questions plus précises ou sur l’interprétation des principes du RGPD et l’articulation de ces derniers avec d’autres textes. C’est ainsi que dans une délibération n° 2021-116 du 7 octobre 20217, la CNIL a eu l’opportunité de préciser les modalités d’interprétation du principe de proportionnalité dans le cadre de la collecte de données publiquement accessibles. Ces précisions étaient particulièrement utiles à l’aune d’un accroissement de l’open data et de l’émergence de nouveaux textes européens et du Data Governance Act en particulier.
C’est également, à la suite de nombreuses hésitations quant à leur conformité au RGPD, que la CNIL a publié une communication relative aux cookies wall à laquelle les différents responsables de traitement sont désormais invités à se conformer.
Pour autant, les principes sont communs
L’entité traitant des données doit tout d’abord veiller à res- pecter son obligation d’information à l’égard des personnes concernées. Elle doit également garantir l’exercice des droits des personnes, en prévoyant un moyen de communication adéquat et accessible et une information particulière, claire et concise.
S’agissant de la relation entre l’entité traitant des données et les prestataires de services ainsi que ses différents partenaires commerciaux, celle-ci doit, parallèlement à la formalisation de la relation, effectuer un « audit » de son co-contractant afin de s’assurer de la conformité des modalités de traitement du flux de données.
Par ailleurs, un certain nombre d’obligations incombent à l’entreprise elle-même. Celle-ci doit notamment tenir un registre détaillé de ses différents traitements de données (article 30 du RGPD) accompagné d’une documentation claire, précise et spécifique, à travers par exemple la rédaction de politiques d’information internes et/ou d’une analyse d’impact (DPIA10). Il lui incombe également de sensibiliser et de former ses équipes à la protection des données à caractère personnel.
2. Une démarche en trois étapes
La Compliance RGPD implique certes une mise en conformité, mais également et surtout le maintien de la conformité. Le travail de compliance peut ainsi se résumer en trois grandes étapes majeures : 1) le diagnostic de l’état de la gestion des traitements de données et la détermination d’un plan d’action ; 2) la mise en conformité par la mise en œuvre de remèdes adéquats ; 3) le suivi de la conformité pour assurer son maintien.
• Étape 1 : Le diagnostic
Le diagnostic RGPD correspond le plus souvent à « l’audit RGPD » en vogue au moment de l’entrée en application du RGPD en 2018. Cet audit implique généralement de commencer par établir une cartographie détaillée des traitements de données de l’entité qui doit permettre, après analyse de l’ensemble de la documentation, de mesurer le niveau de conformité et de déterminer un plan d’action viable.
• Étape 2 : Le protocole de soins
Le protocole de soins se traduit généralement par une mise à jour, une modification et/ou la rédaction de la documentation nécessaire allant de la tenue d’un registre efficace en interne à la revue des contrats, mais également à une information conforme des personnes concernées. C’est également l’occasion de sensibiliser les équipes à la protection des données à caractère personnel notamment à travers des formations spécialisées.
• Étape 3 : Le suivi
La compliance RGPD ne se limite pas seulement à une mise en conformité, mais implique également un suivi particulier afin d’assurer son maintien. En effet, il appartient au responsable de traitement d’effectuer des vérifications régulières du respect des politiques mises en place pour s’assurer de leur actualisation eu égard, non seulement aux éventuelles nouvelles spécificités des traitements, mais également aux nouvelles règles applicables.
Des veilles régulières relatives à l’évolution du cadre juridique sont donc nécessaires au vu de l’évolution constante et rapide des règles applicables en la matière.
3. Une approche dynamique
La compliance RGPD nécessite une approche dynamique au vu notamment du niveau de complexité qu’impliquent certaines analyses juridiques et des mutations constantes du cadre règlementaire.
Des obligations générales nécessitant des analyses particulièrement précises
À l’image du médecin qui effectuerait un diagnostic médical, une expertise particulière est bien souvent nécessaire à une juste évaluation et à l’élaboration d’un processus de mise en conformité complet, notamment dans des sec- teurs faisant face à des situations inédites du fait de rapides évolutions technologiques.
De nombreuses situations impliquent en effet une analyse au cas par cas, à l’exemple de l’obligation de notification en matière de violation de données. Une lecture attentive de l’article 33 du RGPD, couplée aux lignes directrices de l’EDPB, confirme que cette obligation de notification n’est pas systématique, mais dépend en réalité de l’impact de la violation de données et du niveau de risque, ce qui implique une évaluation spécifique.
De la même manière, s’agissant de la détermination de la base légale du traitement conformément à l’article 6 du RGPD. Contrairement à ce qu’il est communément entendu, le consentement de la personne concernée au traitement de ses données n’est pas le principe. Il convient en effet d’examiner au cas par cas quelle est la base légale la plus appropriée parmi les six proposées par le RGPD (i.e. le consentement, le contrat, l’obligation légale, la sauvegarde des inté- rêts vitaux, l’intérêt public ou les intérêts légitimes).
Ce choix doit en outre être soigneusement documenté afin de pouvoir rendre compte de cette évaluation auprès des autorités de régulation en cas de contrôle.
Une attention particulière doit également être portée au principe de transparence qui implique de communiquer les informations aux personnes concernées « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Cela peut par exemple impliquer de pré- senter les informations exigées sur site internet sur plusieurs niveaux d’information distincts. Ainsi, en matière de cookies, la CNIL recommande de faire figurer les informations principales dans un bandeau lors de l’affichage de la page internet puis d’opérer un renvoi vers une « politique cookies » plus détaillée.
Un cadre juridique en perpétuelle évolution
En plus de nécessiter une analyse précise et spécifique à chaque entité, la compliance RGPD nécessite de suivre les évolutions du cadre juridique applicable afin de pouvoir réagir dans les meilleurs délais et ainsi assurer son maintien.
La récente vague de mises en demeure concernant l’utilisation de Google Analytics suite à l’invalidation du Privacy Shield par la CJUE en constitue le parfait exemple. Le Privacy Shield était un mécanisme permettant de transférer des données de résidents européens vers des entités situées aux États-Unis ayant adhéré à ce bouclier. Depuis son invalidation, les transferts de données vers les États- Unis doivent être fondés sur un autre mécanisme (clauses contractuelles types, règles contraignantes d’entreprises, code de conduite, etc.). Toutefois, ces mécanismes ne se suffisent pas à eux-mêmes et les entités souhaitant transférer des données devront au préalable mener une analyse du niveau de risque de ce transfert.
Pour ce faire, elles devront examiner le niveau de protection des données personnelles conféré par la législation de l’État importateur. Il lui appartiendra également de déterminer les mesures appropriées afin de garantir un niveau de protection équivalent à celui assuré au sein de l’Union européenne (chiffrement, pseudonymisation, etc.). En l’absence d’une telle analyse et de la mise en place de telles mesures, le transfert pourra être considéré comme illégal.
C’est en effet le grief qui est fait à l’outil Google Analytics par une vaste majorité des autorités de contrôle européennes. S’agissant de cet outil, la CNIL offre deux possibilités : cesser toute utilisation de Google Analytics et se tourner vers un autre prestataire ou recourir à un serveur mandataire et mettre en œuvre une procédure dite de proxyfication. Ces sujets tech- niques supposeront d’allier normes juridiques et normes techniques pour assurer la Compliance RGPD.
Enfin, pour les entreprises « internationales » procédant à des traitements dans le monde entier, la compliance ne se limite pas au RGPD. De nombreux États ont en effet adopté leur propre corpus législatif en matière de protection des données à caractère personnel. C’est le cas de la Californie avec son CCPA13, du Brésil avec sa LGPD14 ou encore de la Chine avec sa récente loi PIPL15. Si les principes semblent communs, la philosophie de ces textes et les règles qui en découlent sont bien distinctes et les acteurs concernés devront également veiller à s’assurer de leur conformité à ces règlementations.
Des principes confrontés à l’évolution permanente et à la rapide apparition de nouvelles technologies
L’une des forces du RGPD est l’adaptabilité de ces principes face à l’évolution rapide du secteur du numérique. Ces derniers sont en effet assez larges pour pouvoir s’adapter aux technologies émergentes tels que la blockchain et les NFT ou encore le développement de la cryptomonnaie qui sont d’autant de nouveaux enjeux pour l’application des principes de privacy-by-design et privacy-by-default du RGPD.
De nouvelles évolutions technologiques sont également à prévoir. Alors même que le projet de règlement ePrivacy est toujours en cours d’adoption, Google a annoncé vouloir mettre fin à l’utilisation des cookies pour les remplacer par ses FLoC. Face à cet arrêt prévu au cours de l’année 2023, les acteurs de la chaîne programmatique et éditeurs de sites web réfléchissent déjà à une solution de remplacement pour assurer la monétisation de leurs sites. Les professionnels du droit devront donc se saisir très vite de ses nouvelles questions pour assurer là encore la Compliance RGPD de ces nouveaux traitements.
La compliance RGPD apparait, au vu de ce qui précède, comme un processus mêlant expertise juridique et technique. Elle requiert de ce fait, dans la majorité des cas, la mobilisation d’une équipe formée à la technicité de la norme juridique et tech- nique, mais également alerte des évolutions technologiques afin d’avoir la capacité d’anticiper au mieux les mutations rapides et perpétuelles de ce domaine qui ne cesse de croitre en importance.