Lettre d'information - Février 2019

QUELQUES RÉFLEXIONS SUR LA PROTECTION DES DONNÉES

Si vos données à caractère personnel sont sous forme informatique, voici une liste non-exhaustive de questions que vous devriez vous poser. Tout d’abord, considérons les équipements informatiques qui stockent ces données :

  • Si la machine fonctionne sous Windows ou sous MacOS, avez-vous un anti-virus et un anti-malware mis à jour régulièrement ? Il faut noter que les mobiles sous Android ou iOS sont moins vulnérables dans ce domaine.
  • Chaque personne ayant besoin d’accéder à cette machine possède-t-elle son propre compte utilisateur et son propre mot de passe ? Sinon, comment savoir qui a accédé aux données ?

  • Les données sur le disque dur de la machine sont-elles chiffrées ? Les téléphones portables et les tablettes disposent de cette option, pour les ordinateurs c’est un peu plus compliqué mais ils existent des logiciels qui couvrent ce besoin.

  • En fin de vie des machines, comment les données sont-elles enlevées de façon sûre ?

Ensuite parlons un peu infrastructures externes ou partagées :

  • Utilisez-vous des services de stockage dans le Cloud (Dropbox, Box, OneDrive, Google Drive…) et savez-vous s’ils sont en conformité avec le Règlement ?

  • Utilisez-vous des clés USB pour transférer des données et dans ce cas sont-elles chiffrées ?

  • Utilisez-vous parfois les réseaux Wi-Fi dans des lieux publics pour recevoir ou envoyer des données personnelles non chiffrées ? Cela est dangereux car ces réseaux sont souvent la cible de hackers.

Enfin, considérons le niveau d’éducation à la sécurité de votre personnel :

  • Tout votre personnel a-t-il été formé aux grands principes de la sécurité informatique et aux principes du Règlement (exemples : savoir ce que sont les données à caractère personnel, ne jamais ouvrir une pièce jointe ou cliquer sur un lien douteux) ? Cette formation devrait être formelle et les participants devraient signer une feuille de présence.

  • Tout votre personnel sait-il à qui s’adresser en cas de question concernant le Règlement et son application ?

  • Tout votre personnel connait-il les actions à prendre (ou ne pas prendre) en cas de découverte d’une violation de données personnelles ? Des réponses positives à ces dix points vous permettront d’éviter la très grande majorité des risques et des problèmes.

LE CONCEPT DE CHAMP D’APPLICATION DU RGPD

Jusqu’au Règlement Général sur la Protection des Données (« RGPD » ou « Règlement ») de 2016, devenu applicable le 25 mai 2018, la notion de champ d’application d’une législation était à peu près claire en Europe en général : il y avait le champ géographique, qui pour l’Union Européenne était le territoire de l’Union comme pour la Directive de 1995 que le RGPD a remplacée, d’une part, et d’autre part le domaine d’application, c’est-à-dire l’objet défini par le texte. Le RGPD a notablement changé le concept de champ d’application cependant.

En effet, comme on le sait sans doute depuis l’an dernier, le RGPD est applicable à tout traitement de données personnelles (le domaine d’application) se produisant dans le champ territorial d’application. Cependant le champ territorial n’est plus défini simplement par le domicile de la personne physique ou le domicile principal de l’organisation qui procède au traitement. Le RGPD est applicable :

(a) aux établissements de toute organisation situés sur le territoire géographique de l’Union Européenne ;

(b) à toute organisation qui, située hors de l’UE, traite ou fait traiter des données personnelles relatives à des personnes physiques situées sur le territoire de l’UE ; ou

(c) à toute organisation qui, située hors de l’UE, fait traiter les informations personnelles par des sous-traitants qui sont eux situés sur le territoire de l’UE.

Tout principe législatif mérite d’être bien déterminé et interprété, et encore une fois le RGPD tend à élargir le plus possible son champ d’application pour offrir la plus grande protection possible aux personnes physiques, et ceci de trois façons :

La définition du terme « établissement » repose sur deux critères les plus « inclusifs » possibles. D’une part, contrairement à la traditionnelle définition du mot, qui vise un établissement ayant une personnalité juridique, donc une structure permanente avec une certaine autonomie par rapport au siège de l’organisation, le RGPD utilise des exigences plus souples : il faut simplement que l’établissement ait une activité « réelle » et « effective » basée sur des « arrangements stables ».

Autrement dit, il n’y a plus d’exigence de personnalité juridique distincte, mais simplement au moins un employé physique qui exerce une activité ayant un degré suffisant de stabilité (contrat de travail à temps partiel mais à durée indéterminée, par exemple). La seule qualification est que le travail effectué par l’établissement doit être lié de façon « intime » au traitement de données personnelles effectué à l’extérieur de l’UE.

La définition des personnes « concernées » est aussi la plus large possible : il s’agit de personnes physiques situées sur le territoire de l’UE. Ceci ne limite cependant pas l’application du RGPD aux ressortissants de pays membres uniquement : tout traitement de données personnelles visant des personnes établies sur le territoire bénéficie de la protection du Règlement.

Par exemple, un site web ayant ses pages en plusieurs langues, dont certaines celles de pays membres (mais différentes de celles de pays non membres). Si un site web suisse a ses pages en français, allemand et italien, le critère de « visée » n’est pas établi. Par contre, s’il comprend des pages en espagnol, il vise manifestement un public établi dans l’UE. De même, un site web suisse qui traduirait systématiquement le prix des produits ou services offerts en euros viserait évidemment un public de l’Union.

Enfin, tout traitement de données ayant pour objectif le profilage de personnes physiques pendant leur séjour dans l’UE, même si elles sont établies ailleurs, est soumis à cette législation. Par exemple, les organisations utilisant des logiciels traçant les personnes étrangères à l’UE mais voyageant à travers l’UE pour prédire leurs besoins ou influencer leurs décisions suivant leur activité sur internet (ou toute autre technologie électronique) et leur géolocalisation sont soumises au RGPD, si ce traçage et cette analyse de données permet d’identifier les personnes concernées directement ou indirectement.

Le RGPD est complété depuis la date de son entrée en vigueur par des guides pratiques publiés par les diverses autorités de contrôle de l’UE, qui essaient de préciser beaucoup de choses. Les listes établies dans ces guides ne sont généralement pas exhaustives toutefois, il est donc nécessaire et utile de garder un œil sur toutes ces publications pour avoir une meilleure idée de l’évolution de la doctrine et de la jurisprudence qui influenceront les décisions de ces autorités de contrôle.

LegIT-Team effectue ce travail de veille, et peut aider les entreprises, en particulier les entreprises suisses qui pourraient tomber dans le champ d’application du Règlement, à s’assurer dans le temps qu’elles respectent bien leurs obligations légales. Nous rappelons également que l’applicabilité du RGPD à une entreprise suisse est indépendante de l’applicabilité de la LPD, actuelle ou révisée que l’on attend encore. Le seul point commun est que la future LPD sera très proche du RGPD, au moins dans la définition des obligations mises à la charge des organisations qui y seront soumises.

LA LÉGISLATION SUR INTERNET EST APPELÉE À ÉVOLUER

Les journaux ont récemment évoqué le fait qu’une commission mise en place il y a un an par la Chambre des Communes du Parlement britannique vient de rendre public un rapport apparemment accablant sur le géant Facebook, dénonçant les abus que cette société a laissés se produire tant au niveau de la manipulation politique (avec les « fake news ») que de l’exploitation anormale des données personnelles (avec par exemple l’affaire « Cambridge Analytica »).

La conclusion générale de ce rapport est que Facebook mais en fait les GAFA ou les géants de l’internet (Google, Amazon, Facebook, Apple auxquels on devrait rajouter Microsoft) se sont montrés incapables de faire ce qu’ils avaient prétendu pouvoir faire sans législation contraignante il y a des années, à savoir gérer leurs utilisateurs, leurs applications et le contenu qui passe par leurs plateformes de façon à éviter les abus. Il est donc recommandé de mettre en place des cadres juridiques qui assurent un meilleur résultat.

Bien sûr, ce rapport apporte une brique de plus à l’édifice d’un projet d’encadrement législatif de l’internet. Mais pratiquement, comment cela va-t-il pouvoir se faire ? Il n’y a pas en ce moment d’instance qui pourrait imposer une loi mondiale à ces géants, et il n’y certainement pas de volonté mondiale non plus puisque les conditions de l’internet sont très différentes entre l’Union Européenne, l’Amérique du Nord, l’Asie, l’Afrique et l’Amérique Latine en général, et des pays importants comme la Russie ou la Chine. Du coup, il est probable que chaque pays qui s’intéresse à ce sujet va avoir tendance à vouloir mettre en place une législation nationale, avec des moyens plus ou moins efficaces pour imposer ses dispositions à l’étranger où se trouvent les sièges des GAFA.

Au cours des prochaines années ou même décennies, il va être de plus en plus important pour chaque entreprise de mettre en place une veille juridique, que ce soit interne ou externe, afin de ne pas se retrouver pris dans un filet juridique qui pourrait venir de l’étranger, et non pas seulement du ou des pays où cette entreprise a son siège ou des filiales « réelles » (par opposition à l’activité « virtuelle » basée sur internet).

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.