Lettre d'information - Janvier 2019

PREMIERS RESULTATS DE L’APPLICATION DU RGPD

Pour ceux qui se demandaient ce qui pourrait bien se passer après le 25 mai 2018, date à laquelle le RGPD est devenu applicable dans l’Union Européenne, deux chiffres montrent bien que ce Règlement répond à un besoin et que les autorités de contrôle ont un outil puissant : d’une part, on vient d’apprendre que plus de 95’000 plaintes ont été déposées auprès des autorités de contrôle de l’UE depuis mai 2018, et d’autre part, la CNIL, l’autorité française, vient de condamner Google à une amende administrative de 50 millions d’euros pour défaut d’information suffisante de ses abonnés sur l’exploitation de leurs données personnelles.

Rappelons que le Règlement est en vigueur partout dans l’UE, même si cinq pays sur 28 n’ont pas encore mis formellement leur législation nationale en ligne selon leurs obligations de membres de l’Union.

Concernant le nombre de plaintes enregistrées, l’entrée en vigueur de la nouvelle règlementation montre bien que les « personnes concernées », comme le RGPD définit les citoyens de l’UE dont les données personnelles sont récoltées et traitées par des organisations soumises au Règlement, souffraient non seulement des pratiques mises en œuvre jusqu’ici par ces organisations alors que l’accès direct aux informations collectées et leur traitement, ainsi que l’accès aux autorités de contrôle pour obtenir rectification leur était très difficile. Bien sûr, les autorités de contrôle vont mettre un certain temps à traiter ce volume de plaintes, et elles auront tendance à donner la première priorité aux cas les plus retentissants pour établir leur crédibilité et provoquer une prise de conscience tant dans le public que chez les « responsables de traitement », les organisations qui collectent et traitent les données personnelles.

L’une des toutes premières décisions prises en application du Règlement, celle de la CNIL à l’encontre de Google, est exemplaire à cet égard : non seulement elle est basée sur le défaut de transparence de Google en tant que responsable de traitement, alors que la transparence est une des obligations majeures imposées par le Règlement, mais en plus son montant a de quoi faire réfléchir : 50 millions d’euros, c’est plus que le montant maximum de 20 millions mentionné dans le texte du Règlement, mais c’est encore bien moins que l’autre montant maximum, soit 4% du chiffre d’affaires mondial du groupe Google pour l’année 2017. Les responsables de traitement vont vite comprendre en conséquence que même si une autorité de contrôle souhaite rester raisonnable, elle n’hésitera pas à agir et à sanctionner lourdement.

Il est à remarquer que Google attend encore une autre décision de la CNIL relative à ses pratiques violant le RGPD, ce qui pourrait bien alourdir la facture. Même si 50 ou 100 millions d’euros ne sont qu’une petite partie des bénéfices du groupe, quels actionnaires vont accepter que de telles sommes soient défalquées des profits qui déterminent leur retour sur investissement ? Pire encore, les autres autorités de contrôle européennes peuvent aussi prendre des sanctions contre Google, et on pourrait s’attendre à un total d’amendes de plus de 700 millions d’euros pour cette seule affaire en fin de compte. Bien entendu, Google se prépare à contester la décision de la CNIL.

Les deux autres décisions prises sur la base du RGPD en EU pour l’instant proviennent des autorités allemande et autrichienne, et concernent des entreprises beaucoup plus petites et des faits bien plus restreints, conduisant à des amendes de montants moindres (20’000 et 5’280 euros respectivement).

UNE PROTECTION NÉCESSAIRE ET STRATÉGIQUE : LE CONTRAT AVEC LE SOUS-TRAITANT

Lorsque vous faites l’analyse des façons dont vous traitez les informations personnelles que vous avez recueillies dans le cadre de votre activité, vous vous rendez compte le plus souvent que ces données sont en fait transmises, puis entreposées ou traitées en partie, par une entreprise extérieure : le sous-traitant. Du coup, pour votre propre sécurité en même temps que pour la bonne mise en conformité RGPD de votre structure, il est important, et même stratégique que vous ayez un contrat écrit avec ce sous-traitant, et que ce contrat contienne les clauses qu’impose ou suggère le RGPD.

En effet, le Règlement Général sur la Protection des Données énonce un certain nombre de clauses qui doivent figurer dans le contrat, car si le Responsable de Traitement des données personnelles est le premier responsable des obligations RGPD, le fait de transmettre ces données personnelles à un tiers permet au Responsable de se décharger en partie de sa responsabilité en cas de violation du RGPD qui interviendrait au niveau du sous-traitant.

En particulier, les contrats avec les sous-traitants doivent inclure :

  • Une définition complète du traitement effectué par le sous-traitant (objet du traitement, durée, objectifs du traitement, types de données traitées, types de personnes dont les données personnelles sont traitées) ;

  • Certaines clauses importantes ou obligatoires, dont le fait que le sous-traitant ne peut en aucun cas accéder aux données personnelles ou les traiter autrement qu’en stricte conformité avec les instructions écrites reçues du responsable ; que le sous-traitant a bien mis en place toutes les mesures de sécurité des données pour assurer leur confidentialité et l’absence de traitements non contractuels ; que le sous-traitant ne peut transmettre les données à un tiers sous-sous-contractant sans l’autorisation écrite du responsable, ni sans contrat écrit assurant que le sous-sous-contractant est en conformité totale avec le RGPD ; ou encore que le sous-traitant s’engage à coopérer pleinement avec le responsable pour répondre à toute demande légitime concernant les données personnelles, que le sous-traitant doit coopérer avec le responsable pour que celui-ci soit et reste en totale conformité avec le RGPD concernant les données personnelles sous-traitées, que le sous-traitant doit se soumettre à des inspections ou audits périodiques, et enfin qu’à la fin du contrat de sous-traitance, le sous-traitant doit détruire ou renvoyer au responsable toutes les données personnelles qui lui avaient été transmises en vertu du contrat.

PREMIÈRE DÉCISION D’ADÉQUATION RGPD

Le Japon est le bénéficiaire de la première décision d’adéquation adoptée la semaine passée par le Communauté Européenne.

Cette décision va bien évidemment solidifier les relations entre l’UE et le Japon pour ce qui est des transferts de données personnelles.

Les décisions d’adéquation qui avaient été prises sous le régime de l’ancienne législation européenne sont soumises à réévaluation depuis l’entrée en vigueur du RGPD. En particulier, l’UE a notifié à la Suisse que la législation fédérale actuelle sur la protection des données, la LPD, n’est pas compatible avec le RGPD. La Suisse a produit un projet de réforme de la LPD en 2017, mais l’UE a rejeté ce projet comme insuffisant, et a depuis demandé plusieurs fois à la Suisse de finaliser un projet de loi compatible. Pour l’instant, la Confédération n’a pas publié de nouveau projet ni communiqué de calendrier de travail sur ce sujet, ce qui a pour effet de mettre en danger le statut du pays vis-à-vis du transfert de données personnelles.

L’annulation de la précédente décision d’adéquation pourrait obliger chaque entreprise suisse soumise au RGPD de par son activité, c’est à-dire chaque entreprise qui collecte des données personnelles sur des citoyens basés dans l’UE et les traite (ou les fait traiter) en Suisse devrait adopter des « garanties appropriées », c’est-à-dire un code de conduite obligatoire compatible avec le Règlement, ou des règles d’entreprises contraignantes conformes (art. 46 et 47 RGPD). Des processus compliqués qui entraîneraient des coûts additionnels peut-être importants pour chaque entreprise concernée.

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.