Gestion des risques liés aux données à caractère personnel : les enseignements tirés de la sûreté nucléaire

9/01/2020 par

Du 23 au 25 octobre 2019, s'est tenue la 3^e conférence AGORAS (Amélioration de la Gouvernance des Organisations et des Réseaux d’Acteurs de la Sûreté nucléaire) à Nantes, organisée par IMT Atlantique. Ce rendez-vous venait clore les six années de recherche du projet ANR AGORAS instauré au lendemain de la catastrophe nucléaire de Fukushima du 11 mars 2011. Explorant les fondements de la gouvernance des risques nucléaires, selon une approche pluridisciplinaire et multipartite, ce domaine pourrait sembler à première vue éloigné de la problématique des données personnelles.

L’éligibilité des données personnelles à la qualification de risques manufacturés

Cependant, les données personnelles sont désormais éligibles à la qualification de « risques manufacturés ». La contribution de Jonathan Keller intitulée « L’approche par les risques, ou tentative législative d’implémentation des sciences de la gestion dans la protection juridique de droits fondamentaux » a ainsi été acceptée dans le cadre de la table ronde des jeunes chercheurs.

Historiquement, la notion de risques manufacturés a été identifiée et théorisée en sociologie par l’auteur U. Beck¹ au lendemain de la catastrophe de Tchernobyl du 26 avril 1986. Cette nouvelle typologie des risques a été qualifiée, par la doctrine juridique, de « dommages de masse»². Pour être ainsi caractérisés, ces dommages doivent dépasser les pronostics anticipés et outrepasser toutes contre-mesures réparatrices. La fuite du 16 octobre 2019 de données personnelles stockées sur les serveurs d’Elasticsearch concernant plus d’un milliard de personnes en est une illustration probante³. Ainsi, de nombreux parallèles entre la sûreté nucléaire et notre domaine peuvent être établis.

L’actualité illustre malheureusement l’élection de la protection des données à caractère personnel à cette qualification⁴. En effet, l’un des principaux apports du Règlement Général pour la Protection des Données⁵ (« RGPD » par la suite) est d’avoir adopté une approche par les risques, c’est-à-dire l’exercice d’un contrôle de la conformité de la gestion des données personnelles a posteriori et non plus a priori⁶. Notons qu’en outre, le texte européen mentionne par moins de soixante-dix huit fois le mot « risque » décliné dans une échelle de graduation imposant parfois la réalisation d’une analyse d’impact sur la protection des données. Notamment, l’article 35 du RGPD contraint les responsables de traitement à réaliser une telle analyse pour réduire la probabilité de réalisation d’un « risque élevé ».

La perception de la gouvernance du risque

Les travaux de la conférence AGORAS ont reflété une approche pluridisciplinaire (gestion, économie, histoire, philosophie) de la sûreté nucléaire. Ils ont mis l’accent sur l'avènement inexorable d’une nouvelle tragédie nucléaire. Plusieurs contributions étaient ainsi orientées autour de la perception de la gouvernance du risque. La diversité des profils des intervenants a en outre permis d'offrir une présentation de retours d’expériences des institutions publiques sur la gestion de crise. Retours difficilement transposables dans notre jeune matière mais qui, avec le RGPD, pourraient être de mise dans les prochaines années.

Certains intervenants ont ainsi présenté des comparatifs sur l’implémentation de mesures organisationnelles et de choix techniques prévenant une catastrophe nucléaire ou l'atténuant en aval. À cette occasion, un certain consensus s’est tacitement opéré sur la dangerosité d’établir des règles et des méthodes d’anticipation trop rigides. Une définition trop stricte des risques à prendre en considération en amont enfermerait en effet les praticiens dans des processus excluant tout esprit d’initiative des concepteurs et des exploitants de centrales nucléaires.

Cette même problématique se trouve en matière de protection des données à caractère personnel où les méthodologies élaborées par le G29 (depuis reprises par le Comité Européen pour la Protection des Données)⁷ et retranscrites en droit interne par les Autorités nationales de contrôle sont définies largement pour laisser la libre appréciation des risques au responsable de traitement. Bien que l’intégralité de l’appréciation de ces risques relève de la discrétion dudit responsable de traitement, la pratique s’oriente vers une prise en compte des « parties prenantes ».

Les droits des parties prenantes

Pour autant, même si le RGPD mentionne les parties prenantes à quelques occasions⁸ et que le Comité européen pour la protection des données y effectue un renvoi explicite⁹, l’identification précise de ces ayants-droits n’est pas définie juridiquement par le texte européen.

La conférence AGORAS a aussi été l’occasion de s’interroger sur la définition et l’implication des « parties prenantes / intéressées » dans la gestion de la sécurité nucléaire. L’identification d’une « partie prenante » est directement liée à son degré d’implication. Cette question politique est centrale dans le domaine du nucléaire puisqu’elle conditionne la possibilité même pour les associations de riverains ou les associations promouvant la protection de l’environnement de faire valoir leurs points de vue.

Rappelons qu’initialement la théorie des « parties prenantes » élaborée par le philosophe R. Edward Freeman¹⁰ avait pour finalité de limiter le « Cowboy Capitalism » (« Capitalisme sauvage»). Elle fut fortement critiquée après avoir été dévoyée en un simple instrument de communication par les grandes entreprises¹¹. Les conférenciers de l’AGORAS ont précisé que le droit accordé aux associations riveraines d’être impliquées dans la gouvernance de l’exploitation des centrales nucléaires découle d’un impact réel ou potentiel de cette exploitation sur leur environnement immédiat et quotidien. À l’inverse, ce droit devient un devoir d’implication des parties prenantes pour les exploitants de centrale nucléaire afin de faciliter les évacuations et les contre-mesures réparatrices en cas de survenance d’une catastrophe nucléaire.

Cette problématique des modalités d’implication des « parties prenantes» se retrouve à l’identique dans le cadre du traitement des données personnelles. En effet, les modalités de qualification de cette notion comportent le risque non négligeable de subrogation des personnes concernées par les seules associations de consommateurs, ce qui conduirait à réduire l’efficacité de l’exercice d’un droit fondamental par essence individuel à travers une caution collective octroyée par une organisation qui pourrait s’avérer partisane. En effet, l’action de groupe initiée par l’Internet Society à l’encontre des GAFA fondée sur une demande de préjudice de 1000 € par plaignant illustre ce risque de politisation du droit des données personnelles¹².

Ce retour d’expériences scientifiques dans le domaine nucléaire, un domaine bien différent du nôtre et dont les effets sont directement palpables et mesurables, est une source d’inspiration en ce qui concerne l’étude des nouveaux risques manufacturés que pourraient engendrer l’utilisation de ces données personnelles. Certes, les corpus juridiques diffèrent. Toutefois, il nous parait pertinent d’étudier ces similitudes notamment parce qu'un dommage de masse numérique est, de nos jours, susceptible de générer des dommages de masse matériel.

Jonathan Keller, ingénieur de recherche en droit à Télécom Paris, membre de la Chaire Valeurs et Politiques des Informations personnelles en collaboration avec la Chaire Connected Car and Cybersecurity (C3S) de Télécom Paris

Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom Paris

1 Risk Society : Towards A New Modernity, Sage pub., 1992, pp. 260, en vente sur ce lien https://academic.oup.com/sf/article-abstract/73/1/328/2233315 (dernière consultation le 09 janvier 2020).

>2 sur cette notion voir A. Gueguan-Lecuyer, Dommages de masse et responsabilité civile, LGDJ, 2006, disponible sur http://www.lextenso-editions.fr/ouvrages/document/18049 , voir également le versant pénal la thèse de E. Calvo, Accidents de masse et responsabilité pénale, dir. J.-C. Saint-Pau, soutenue le 10 décembre 2006 disponible sur https://tel.archives-ouvertes.fr/tel-02068687/document (dernière consultation le 09 janvier 2020).

3 Personal and Social information of 1.2 billion people Discovered in Massive Data Leak, November 22, 2019

4 Voir dans ce sens par exemple, le 16 octobre dernier, la constatation de la fuite de données personnelles stockées sur les serveurs d’Elasticsearch ( https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/) le 16 octobre dernier, concernant plus d’un milliard de personnes ou encore la constatation du 4 décembre 2019 de la fuite de données personnelles relatives à 267 millions d’utilisateurs par Facebook (https://www.digitaltrends.com/news/facebook-data-leak-267-million-users-affected/) [dernière consultation de ces deux liens le 9 janvier 2020].

5 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) JOUE L 119, 4.5.2016, pp. 1–88.

6 Voir dans ce sens Groupe de travail de l’article 29, Avis 3/2010 du 13 juillet 2010 sur le principe de responsabilité, disponible sur https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp173_fr.pdf (dernière consultation le 9 janvier 2020)

7 Groupe de travail de l’article 29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE)2016/679, adoptées le 4 avril 2017, WP 248 rev. 01, disponible sur https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (dernière consultation le 09 janvier 2020).

8 Voir par exemple l’article 70-4 du RGPD qui dispose «Le comité (européen pour la protection des données) consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. », voir également le Considérant 99 pour l’association des « parties prenantes » dans la création de codes de conduite et enfin le point c de l’article 50 du RGPD qui mentionne l’implication des parties prenantes dans la coopération internationale.

9 Voir page 18 des lignes directrices du groupe de travail de l’article 29 concernant l’analyse d’impact, WP 248 rev. 01, précité.

10 Strategic Management : a stakeholder approach, Cambridge university press, 1984.

11 Sur ce sujet voir C.T. Maier, Public Relations as Humane Conservation, Public Relation Inquiry, 2015, vol. 4(1) 25-39

12 Sur ce sujet voir C. LEVALLOIS-BARTH, RGPD : Les premiers signes d’une réelle effectivité (dernière consultation le 9 janvier 2020)