Interview de Guillaume Bordier, Avocat associé, par Françoise Champeaux et Marjorie Caro pour la Semaine sociale Lamy (Semaine Sociale Lamy, Nº 1807, 19 mars 2018).
Semaine sociale Lamy : Quels sont les objectifs du RGPD ?
Guillaume Bordier : Le droit européen de la protection des données personnelles reposait sur une directive de 1995, qui était destinée à assurer la protection des droits et des libertés fondamentaux des personnes en ce qui concerne leurs données personnelles, tout en assurant le libre flux des données au sein de l’Union européenne. Le règlement général sur la protection des données du 27 avril 2016, qui abroge cette directive, vise d’une part à tenir compte de l’évolution technologique et de l’intensification des flux de données personnelles depuis plus de 20 ans et, d’autre part, à supprimer les divergences dans les règles de protection des données personnelles qui ont été constatées entre les différents États membres. C’est pour cette dernière raison que cette fois, la technique du règlement (d’application directe) a été choisie et non pas celle de la directive, qui aurait nécessité une transposition en droit interne au détriment de la volonté d’harmonisation. Des lois nationales pourront simplement adapter à la marge certaines dispositions pour compléter ou préciser certaines dispositions du règlement. Le RGPD a également pour but de donner un cadre unifié aux traitements de données transnationaux, qui sont de plus en plus fréquents, grâce à un mécanisme de coordination entre les autorités de contrôle qui n’existait pas jusqu’à présent.
Le RGPD implique une mise en conformité de notre système de protection des données personnelles. Il est censé entrer en vigueur le 25 mai 2018. Où en est-on à ce stade ?
G. B. : Nous arrivons au bout de la période transitoire de plus de deux ans accordée par le règlement au vu de l’importance du travail de préparation nécessaire. La date d’entrée en vigueur n’évoluera pas et il appartiendra donc à l’ensemble des acteurs économiques concernés de se mettre en conformité avec les nouvelles règles d’ici là, c’est-à-dire dans moins de trois mois. Au niveau national, un projet de loi opérant la refonte de la loi informatique et libertés de 1978 est en cours de discussion devant le Parlement, avec une entrée en vigueur également prévue le 25 mai 2018. Cette loi vise à aligner la loi française avec le RGPD (obligations des sous-traitants, suppression de la plupart des formalités préalables auprès de la CNIL, droits des personnes, recours…) et à adapter les missions de la CNIL (établissement de lignes directrices, de recommandations ou de référentiels, pouvoirs de contrôle et de sanction…).
Quel est son champ d’application territorial et matériel ?
G. B. : Le RGPD s’applique à tous les traitements de données effectués dans le cadre d’activités réalisées sur le territoire de l’Union européenne, mais également aux traitements de données relatifs à des personnes se trouvant dans l’Union européenne et à qui des biens et des services sont proposés (par exemple au travers d’un site internet ou bien concernant un salarié « isolé » d’une entreprise établie en dehors de l’UE). Ces entreprises devront désormais désigner un représentant au sein de l’UE. Plus important encore, le RGPD s’applique non seulement aux responsables de traitement, mais également à leurs sous-traitants, qui auront désormais une responsabilité pleine et entière. Pour autant, cela ne permet pas au donneur d’ordre de se défausser de toute responsabilité, bien au contraire puisqu’il devra s’assurer que son sous-traitant est parfaitement en règle.
Le régime déclaratif laisse place au « principe de responsabilité ». Qu’est-ce que cela implique ?
G. B. : C’est un changement profond de logique, puisque l’on passe d’un système relativement encadré, fondé sur des obligations déclaratives auprès de la CNIL, avec des dispenses ou des déclarations simplifiées dans un certain nombre de domaines (opérations de paie, gestion du personnel…), à un système d’autorégulation, dans lequel l’entreprise doit respecter un grand nombre de principes essentiels et être en mesure de démontrer à tout moment qu’elle les respecte. Le RGPD prévoit en outre des obligations précises, telles que l’obligation de se doter d’un registre des traitements de données, ou l’obligation de conclure un contrat avec les sous-traitants définissant ses obligations en matière de gestion des données personnelles. Cela implique de la part de l’ensemble des acteurs de l’entreprise une analyse approfondie et une plus grande rigueur, doublée d’un plus grand formalisme, et impose aux entreprises de se doter de nombreux outils permettant d’assurer la conformité de leurs pratiques et de la documenter : clauses contractuelles, chartes, documents d’information, procédures, formation du personnel, etc.
En contrepartie, la responsabilité est elle aussi accrue puisque l’entreprise pourra à tout moment être contrôlée par la CNIL et qu’en outre, des possibilités d’actions individuelles et collectives ont été créées pour permettre par exemple à des salariés ou à des organisations syndicales de faire sanctionner le non-respect du cadre légal.
Les entreprises doivent-elles s’attendre à être plus lourdement sanctionnées en cas de manquement ?
G. B. : Effectivement, c’est également l’un des objets de la réforme, qui vise à faire prendre conscience aux entreprises de l’importance du respect des droits et des libertés des personnes. Les sanctions sont particulièrement dissuasives puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial hors taxes ou 20 millions d’euros pour les manquements les plus graves (le montant le plus élevé étant retenu). Fort heureusement, les autorités de contrôle auront un pouvoir d’appréciation en fonction de certains critères (gravité du manquement, degré de coopération, récidive…) et la possibilité de mettre en œuvre des mesures alternatives et graduelles, allant du rappel à l’ordre, à la mise en demeure, l’injonction assortie d’astreinte, en passant par l’interruption du traitement litigieux. Pour autant, certaines décisions récentes de la CNIL ou de ses homologues européennes montrent que les sanctions pécuniaires prononcées sont de plus en plus significatives. À ce titre, le projet de loi relatif à la protection des données redéfinit les missions de la CNIL pour faciliter son pouvoir de contrôle, par exemple en permettant à ses agents d’utiliser une identité d’emprunt en cas de contrôle en ligne ou en prévoyant l’impossibilité de leur opposer le secret des affaires. Récemment, la CNIL a indiqué qu’elle entendait accompagner les entreprises dans la mise en œuvre des nouvelles obligations ou des nouveaux droits résultant du RGPD et qu’elle ne sanctionnerait pas en principe les entreprises de bonne foi engagées dans une démarche de conformité et faisant preuve de coopération avec ses services. En revanche, la CNIL entend se montrer intransigeante sur le respect des principes essentiels (loyauté du traitement, pertinence des données traitées, durées de conservation, sécurité des données…).
Le RGPD change-t-il la donne lorsque l’entreprise a recours à un sous-traitant pour collecter ou traiter des données à caractère personnel ?
G. B. : C’est en effet l’un des changements fondamentaux du RGPD. Jusqu’à présent, seul le responsable de traitement était visé par la loi informatique et libertés. Avec le RGPD, les sous-traitants acquièrent une responsabilité équivalente à celle de leurs clients, en s’exposant aux mêmes sanctions. Mais en parallèle, le donneur d’ordre est soumis à des obligations beaucoup plus strictes vis-à-vis de ses sous-traitants : concrètement, tous les contrats de prestation de services doivent être revus pour s’assurer qu’ils contiennent les clauses par lesquelles le sous-traitant garantit le respect de la réglementation en matière de protection des données personnelles. Le client doit également s’assurer que son prestataire a pris les mesures techniques et organisationnelles nécessaires pour garantir la sécurité et notamment la confidentialité des données auxquelles il aura accès. En d’autres termes, le respect du RGPD doit devenir l’un des critères de sélection des sous-traitants. Bien sûr, les exigences ne seront pas les mêmes envers tous les prestataires en fonction de la quantité et de la sensibilité des données traitées par le prestataire : cela peut aller d’une simple déclaration de principe jusqu’à la réalisation d’audits, en passant par des engagements sur la localisation des serveurs, le cryptage des données, etc. Dans le domaine RH, les entreprises ont souvent recours à des prestataires extérieurs (paie, formation, rémunération, conseil…), qui ont par définition accès à des données sensibles, comme le numéro de sécurité sociale, la rémunération, ou parfois les données bancaires des salariés. Les contrats avec ces prestataires doivent donc faire l’objet d’une attention particulière.
La CNIL ne sera donc plus destinataire des formalités préalables. Mais n’y aura-t-il pas des cas dans lesquels elle restera associée à la mise en place de dispositifs de collecte de données personnelles ?
G. B. : En complément de son rôle d’accompagnement des acteurs par la publication de lignes directrices, recommandations, référentiels ou règlements, et bien entendu de contrôle et de sanction, la CNIL gardera un rôle de consultation dans certains cas.
Le RGPD prévoit l’obligation pour l’entreprise de conduire une analyse d’impact lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en cas de surveillance systématique des personnes, de collecte de données sensibles, de collecte d’information à grande échelle, ou auprès de personnes vulnérables. La CNIL considère par exemple qu’un dispositif de contrôle de l’activité des salariés répond à ces conditions. Les entreprises ayant déclaré auprès de la CNIL ces traitements avant le 25 mai 2018 seront dispensées d’une telle analyse pendant trois ans, à condition qu’ils restent inchangés. En cas de risque résiduel élevé, l’étude d’impact réalisée devra donner lieu à une consultation formelle de la CNIL (RGPD, art. 36).
Le délégué à la protection des données est au cœur du nouveau règlement. Qui est-il exactement et quelles sont ses missions ?
G. B. : Le délégué à la protection des données est conçu comme un personnage central. De façon générale, son rôle consiste à assurer la mise en conformité des pratiques de l’entreprise au regard du cadre légal et à être le garant de la mise en œuvre des obligations en la matière. Il est chargé de diffuser la culture de la protection des données dans l’entreprise, d’informer et de former l’ensemble des acteurs, de conseiller l’entreprise et de contrôler le respect effectif des obligations découlant du RGPD et du droit national en matière de protection des données. Enfin, il est l’interlocuteur des autorités de contrôle, sans pour autant encourir de responsabilité personnelle en cas de manquement de l’entreprise.
À court terme, il est chargé d’identifier et de coordonner l’ensemble des actions à mener pour assurer la mise en œuvre effective des nouvelles obligations en prévision de l’échéance du 25 mai 2018.
Si la désignation d’un délégué n’est obligatoire que dans certains cas (organismes publics, entreprises dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données sensibles), les autorités de contrôle recommandent, à titre de bonne pratique, la désignation systématique d’un délégué.
Il peut s’agir d’un salarié de l’entreprise ou d’un prestataire externe. Il doit non seulement disposer des qualités professionnelles et des connaissances juridiques et techniques, mais également bénéficier des moyens matériels et organisationnels, des ressources et du positionnement hiérarchique lui permettant de remplir sa mission en toute indépendance.
De plus en plus d’entreprises sont amenées à transférer des données à l’étranger. Comment ces transferts devront-ils être opérés ?
G. B. : Les règles en matière de transfert de données à l’étranger n’évoluent pas par rapport aux règles préexistantes : les données peuvent être librement transférées à l’intérieur de l’Union européenne et de l’Espace economique européen, ainsi que vers des États assimilés ayant fait l’objet d’une décision d’adéquation de la Commission européenne.
Pour les autres pays, ils doivent être formellement encadrés par des dispositifs contractuels approuvés par les autorités européennes (« règles internes d’entreprise » pour les transferts intervenant au sein d’un groupe de société ou « clauses contractuelles types » dans les autres cas). Dans le cas particulier des transferts vers les États-Unis, le mécanisme du Privacy Shield, bien qu’il soit contesté, permet à ce jour aux entreprises européennes de transférer leurs données vers les organismes disposant d’une certification active couvrant les données en question.
Les personnes doivent être clairement informées des possibilités de transférer les données personnelles les concernant vers un pays tiers et des garanties encadrant ce transfert.
Les droits des salariés seront renforcés et leur exercice facilité. Faut-il craindre des contentieux ? Verra-t-on apparaître de nouvelles stratégies judiciaires comme cela a pu être le cas au Royaume-Uni ?
G. B. : Le RGPD prévoit de nouveaux droits au profit des personnes concernées par un traitement de données, qui exigent la mise en place de documents d’information clairs et exhaustifs à destination des salariés (clauses contractuelles, notes d’informations, chartes, etc.) et la définition de procédures permettant à l’entreprise de faire face à ses obligations, par exemple en cas d’exercice par un salarié de son droit d’accès, auquel l’employeur doit en principe répondre dans un délai d’un mois.
Ces droits existent déjà aujourd’hui, mais sont encore rarement utilisés en France, contrairement à ce qui se passe dans d’autres pays, notamment au Royaume-Uni ou en Irlande, où de réelles stratégies précontentieuses se sont développées sur la base de ces droits, notamment pour obtenir la communication de documents utiles en vue d’un contentieux.
Jusqu’à présent, l’attention s’est naturellement concentrée sur les sanctions pécuniaires accrues qui pourront être imposées par les autorités de contrôle en cas de non-respect des dispositions du RGPD. Le risque contentieux ne doit cependant pas être sous-estimé car, dans un environnement où de plus en plus de données sont traitées et échangées, le RGPD peut également entraîner des risques financiers significatifs pour les entreprises.
Les articles 77 et suivants du RGPD autorisent en effet tout un ensemble d’actions précontentieuses ou contentieuses à toute personne faisant l’objet d’un traitement de données et dont les droits auraient été violés. Ces actions vont du simple droit d’introduire une réclamation individuelle auprès d’une autorité de contrôle (et d’exercer un recours juridictionnel effectif lorsque cette réclamation n’est pas suivie d’effet), à la possibilité de mandater certains organismes ou associations d’intérêt public actifs dans le domaine de la protection des droits et libertés des personnes pour qu’ils introduisent une réclamation ou exercent un recours en son nom et, sous certaines conditions, pour obtenir une réparation.
Il faut noter que la loi de modernisation de la justice du XXIe siècle du 18 novembre 2016 prévoit déjà en France la possibilité pour des organisations syndicales représentatives d’engager une action de groupe au nom de salariés subissant un même dommage résultant d’un manquement aux dispositions de la loi informatique et libertés, afin d’obtenir la cessation de ce manquement (par exemple l’arrêt d’un traitement de données qu’elles jugent illicite).
En parallèle, l’article 82 du RGPD ouvre largement la porte à des actions engagées par des personnes physiques à l’encontre des entreprises et de leurs sous-traitants en réparation du préjudice moral ou matériel découlant de toute violation de ses dispositions. Les salariés pourraient naturellement utiliser cette disposition à l’appui d’actions initiées devant le conseil de prud’hommes.
Dans la mesure où, en parallèle, les entreprises ont une obligation stricte de notifier les violations de données personnelles à l’autorité de contrôle et, dans certains cas, d’en informer les personnes concernées, il n’est pas exclu que des actions puissent être engagées pour obtenir la réparation du préjudice subi à cette occasion. Une récente décision des juges du fond anglais, ayant reconnu la responsabilité indirecte d’un employeur en raison de la diffusion sur internet par un salarié de données personnelles relatives à plusieurs dizaines de milliers de ses collègues (notamment leurs coordonnées et leurs données bancaires), illustre également le risque potentiel que les traitements de données personnelles peuvent faire peser sur les entreprises (Various Claimants vs. MW Morrisons Supermarket PLC, High Court of Justice, [2017] EWHC3113, 1er déc. 2017).
Les entreprises vont devoir revoir leurs pratiques en profondeur. Sont-elles suffisamment préparées ?
G. B. : La Commission européenne s’est récemment inquiétée à juste titre du retard pris par certains États dans la préparation de la mise en œuvre effective des dispositions du RGPD, notamment dans les TPE et PME. Or, le chantier à mener est substantiel, d’autant que tous les secteurs de l’entreprise sont potentiellement concernés (juridique, RH, marketing, commercial…).
La première étape, qui consiste à recenser les données personnelles collectées et traitées dans l’entreprise pour en assurer la cartographie, est déjà en soi une tâche qui peut se révéler immense. Il faut ensuite s’assurer de la conformité de ces traitements (base légale, pertinence des données traitées, destinataires, durées de conservation, sécurité…). Enfin, un important travail rédactionnel est à prévoir pour documenter la conformité et la maintenir en permanence (information des personnes, recueil des consentements, mise en place et diffusion des mesures techniques et organisationnelles propres à assurer la sécurité des données…).
Tout ce travail de fond serait par ailleurs inutile si l’entreprise ne se donne pas les moyens de rester en conformité au-delà du 25 mai 2018, ce qui suppose qu’elles se dotent des procédures adéquates (création de nouveaux traitements, ajout de données personnelles, faire face à une violation de données ou à un droit d’accès, etc).
Le travail de prise de conscience de la nécessité de s’emparer concrètement du sujet est désormais bien avancé et un grand nombre d’acteurs – plus ou moins sérieux – proposent d’accompagner les entreprises dans ce processus. De son côté, la CNIL fournit un important travail de production destiné à accompagner les entreprises dans ce chantier majeur.
