Dans le cadre du cycle « Protection des données personnelles : quels enjeux de conformité pour l’entreprise » animé par Claire Levallois-Barth, l’ANVIE (Association Nationale pour la Valorisation Interdisciplinaire de la recherche en sciences humaine et sociales auprès des Entreprises) a organisé, le 28 novembre 2017, une quatrième conférence à destination des professionnels.
Les trois premières conférences portaient sur :
Session 1 : Privacy by design : comment intégrer le respect de la vie privée dès la conception d’un produit ou d’une offre ? Face aux nouvelles contraintes réglementaires, à quelles conditions garantir conformité et sécurité des données personnelles ? Comment organiser la gouvernance des données en interne ?
Session 2 : Comment protéger les données personnelles et la vie privée des collaborateurs ? Quels mécanismes de transfert de données pour les flux transfrontières de données ?
Session 3 : Comment aborder l’analyse d'impact relative à la protection des données personnelles et quelle articulation avec le risk management ? Comment se conformer à l’obligation de notifier les violations de données personnelles en cas de failles de sécurité ?
Les interventions issues de ces travaux ont fait l’objet d’une publication en mars 2018.
Télécharger le cahier n° 11 de l'ANVIE Protection des données personnelles : quels enjeux de conformité pour les entreprises
La quatrième conférence portait, quant à elle, sur deux nouvelles obligations essentielles.
Tout d’abord, le droit à la portabilité des données personnelles qui entend réduire l’asymétrie de pouvoir entre l’utilisateur et le responsable de traitements des données. A cette fin, le Règlement général sur les données personnelles (RGPD) qui, entrera en application le 25 mai 2018, crée pour les organismes de nouvelles obligations précisées par le groupe de travail de l’article 29 (G29)[1]. Pour autant, selon Valérie Peugeot, commissaire à la CNIL, chercheuse au sein de Orange Labs, les responsables de traitements se trouvent dans un état d’impréparation quasi général alors même que ce nouveau droit constitue une véritable opportunité s’il est conçu par l’organisme comme un accélérateur d’innovation. Il est en effet susceptible de (re)tisser des relations de confiance avec les clients/usagers et de proposer des services à forte valeur d’usage. Guillaume Jacquart, coordinateur technique du projet MesInfos de la FING, a illustré cette opportunité d’innovation en revenant sur les initiatives publiques et privées en la matière, notamment l’initiative américaine green botton qui aide le client à comprendre et maîtriser sa consommation d’électricité.
Ensuite, la responsabilité des sous-traitants qui voient leurs obligations substantiellement accrues (autorisation écrite du responsable de traitement pour recruter un autre sous-traitant, tenue d’un registre, obligation de conseil, obligation de démontrer le respect de ses obligations notamment). Cette responsabilité implique d’identifier précisément le responsable de traitement et le sous-traitant, le premier déterminant les finalités du traitement, le second traitant les données pour le compte du premier. Rachel Knittel, Juriste/Conformité Données Personnelles à l’Imprimerie Nationale, a mis en évidence que cette identification peut s’avérer parfois difficile, alors même qu’elle est primordiale[2]. Une fois les acteurs et responsabilités identifiés, il importe d’organiser les relations entre les acteurs du traitement. Ainsi que l’a mis en évidence Maître Henri Leben, Avocat associé, Colbert, cette étape passe impérativement par la conclusion d’un contrat définissant précisément la nature et la finalité du traitement, sa durée, les modalités de confidentialité des données (chiffrement, pseudonymisation), ou tout autre point essentiel. Béatrice Oeuvrard, Senior Legal Counsel, Microsoft, a pour sa part explicité le rôle du sous-traitant en cas de violation de données personnelles : celui-ci est tenu d’indiquer la violation au responsable de traitement « dans les meilleurs délais après en avoir pris connaissance »[3]. Il revient alors au responsable de traitement de notifier à la CNIL la violation dans les 72 heures, après en avoir été informé.
----------------------------------------------------
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom ParisTech
----------------------------------------------------
[1] Groupe de travail de l’article 29, Lignes directrices relatives au droit à la portabilité, version révisée et adoptée le 5 avril 2017.
[2] Pour les différencier, la CNIL recommande d’utiliser un faisceau d’indices : CNIL, Règlement européen sur la protection des données personnelles, Guide du sous-traitant, édition septembre 2017.
[3] Art. 33-2 du RGPD.