Le 14 avril dernier, le Parlement européen a adopté le règlement européen sur la protection des données à l’issue de quatre années de travail et de négociations intenses. Ce règlement, qui marque un tournant majeur dans la régulation des données personnelles sera, dès 2018, applicable dans tous les pays membres de l’Union européenne. Il consacre de nouveaux concepts et impose aux entreprises de modifier en profondeur leur politique de conformité. Si, d’un côté, les formalités administratives sont simplifiées, de l’autre, les obligations sont renforcées.
Actuellement, quelles sont les obligations des entreprises en matière de sécurisation des données ?
Candice Liebaert : Les entreprises ont des obligations d’information sur les données collectées et leur usage, en particulier sur le transfert des données opéré en dehors de l’Union européenne (UE). Elles sont tenues de respecter les droits des individus concernés, tel le droit d’accès, et de faire des déclarations auprès de la Cnil. Concernant les failles de sécurité, il n’y a pas aujourd’hui d’obligation légale de notification, sauf pour les opérateurs de communication électronique qui doivent alerter leurs clients sur les infractions rencontrées et les fuites de données potentielles. Bien sûr, il peut exister à la charge des entreprises des obligations contractuelles.
Le règlement européen sur la protection des données s’appliquera en France dans moins de deux ans. Quelles entreprises concerne-t-il ?
C.L. : Toutes les entreprises, plus encore celles qui réfléchissent sur le cloud. D’autres, telles que les banques ou certaines administrations publiques pour lesquelles la gestion et la sécurité renforcée des données constituent un enjeu sensible, sont d’ores et déjà très impliquées car elles manipulent des données personnelles. Les entreprises doivent donc sans attendre se préparer à l’entrée en vigueur du règlement et leurs clients sont de plus en plus attentifs à cette question.
Qu’est-ce qui attend les entreprises ?
C.L. : Rien de compliqué pour les PME qui ont souvent peu de données personnelles à traiter, si ce n’est celles de leurs employés et de leurs clients. En revanche, pour les structures importantes et les groupes, même s’ils sont en conformité avec la réglementation actuelle, ce sera un grand changement. Par exemple, aujourd’hui, la déclaration à la Cnil est simplifiée alors que demain, chaque entreprise devra attester qu’elle est en conformité. On passera ainsi d’un système déclaratif à un système d’accountability (obligation pour le responsable du traitement de données à caractère personnel de garantir la conformité au règlement en adoptant des règles internes et en mettant en œuvre les mesures appropriées pour garantir que le traitement est opéré dans le respect du règlement). Les petites comme les grandes entreprises devront donc mettre en place un registre de traitement pour établir le type de données traitées, en reprenant pour modèle ce qu’elles déclaraient à la CNIL. Mais les grandes entreprises ou celles qui gèrent de la donnée devront aller plus loin : mesurer l’impact sur la vie privée, notamment en cas de faille, ainsi qu’établir des process permettant de prouver à un auditeur qu’elles sont conformes. Il faudra également former le personnel ou penser à faire labelliser la gouvernance interne de l’entreprise en matière de données.
Par ailleurs, la co-solidarité avec les sous-traitants va se mettre en place. Les entreprises devront revoir tous leurs contrats pour s’assurer que le sous-traitant prend ses responsabilités et s’engage à respecter le règlement, au regard notamment des données relatives aux salariés et aux clients.
Quelles seront les sanctions en cas de manquement à ces obligations ?
C.L. : Les amendes pourront aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise. On ne sait pas encore comment le calcul sera effectué dans le cas des groupes de sociétés, ni quelles filiales devront être prises en compte. En tout état de cause, il faut retenir les nouveaux plafonds et les mettre en perspective avec les 150 000 € appliqués par la Cnil aujourd’hui. Les montants seront largement supérieurs à ce que prévoit le droit français, même si la loi République Numérique vient justement de relever ces seuils. Il faut y ajouter les éventuels dommages intérêts en cas de manquement contractuel. Les sommes réclamées pourraient ainsi être colossales.
Que préconisez-vous ?
C.L. : Les entreprises qui ne se sont pas encore attelées à la tâche sont en retard ! Il est urgent pour elles de faire un audit de l’existant, à savoir examiner les clauses contractuelles types, déterminer le flux d’information, faire un état des lieux. Les grandes entreprises ont déjà une organisation ad hoc. Dans celles-ci en effet, les correspondants informatiques et libertés (CIL) devenus Data Privacy Officer (DPO) sont à même de donner des instructions. Pour certaines entreprises il suffit de recruter des collaborateurs le temps de procéder à la mise en conformité. Dans la majorité d’entre-elles, c’est aux juristes d’entreprise qu’il revient de donner l’impulsion et de s’occuper du chantier. S’ils ne disposent ni des compétences, ni de la disponibilité requises, ils peuvent s’appuyer sur les cabinets d’avocats spécialisés pour obtenir des consultations avec un modus operandi.
Pour les petites entreprises dont les contrats de travail sont un peu anciens et contiennent des clauses relatives aux données personnelles, c’est l’occasion de les vérifier et de les rafraîchir.
Dans quel délai les entreprises doivent-elles être prêtes ?
C.L. : Jusqu’à présent, la directive pour les données personnelles nécessitait une transposition dans chacun des pays de l’UE. L’avantage du règlement, c’est qu’il est d’application immédiate, sans interprétation. Inconvénient : l’application au 25 mai 2018 ne souffrira aucun report. Avec un CIL ou une équipe de juristes, cette mise en conformité peut prendre six mois. Je le répète, il est urgent de s’y mettre sans attendre d’autant que, pour la plupart des entreprises, ces obligations restent méconnues et sont encore considérées comme relevant du domaine réservé des juristes.
Quid de la loi numérique qui vient d’être publiée ?
C.L. : Une loi emporte une proximité plus importante qu’un texte européen. Elle constitue une étape supplémentaire et devrait mobiliser davantage les entreprises. En outre, ses dispositions se rapprochent des obligations imposées aux entreprises par le règlement. Par exemple, l’amende évoquée plus haut sera portée de 150 000 à 3 millions d’euros. La loi mentionne le droit à l’oubli et la portabilité des données (voir La Quotidienne du 24 octobre 2016 et du 26 octobre 2016). Bien sûr, il convient d’attendre les décrets d’application car les contradictions entre la loi et le règlement nécessiteront des arbitrages, le droit européen s’imposant à la loi nationale.
Enfin, l’action de groupe en matière de protection des données vient d’être autorisée par la loi pour la Justice du 21e siècle. Les entreprises devront donc se prémunir contre les actions qui pourraient être engagées par les associations de consommateurs. Cette disposition renforce l’urgence de la mise en conformité. Si les entreprises ne sont pas encore toutes sensibilisées, les particuliers le sont de plus en plus. Mais les enjeux financiers seront tels que les entreprises comprendront vite l’intérêt qu’elles ont à se mettre en conformité.
Propos recueillis par Alexandra DESCHAMPS