Ce règlement européen qui va rentrer en vigueur le 25 mai 2018

Toute information se rapportant à une personne physique identifiée ou identifiable (ciaprès dénommée “personne concernée”) est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”. Qu’entend-on par sécurité des données ? L’article 34  de la loi de 1978  modifiée relative à l’Informatique, aux fichiers et aux Libertés fait référence à l’ensemble des “précautions utiles, au regard de la nature des données et des risques présentés par le traitement” que doit prendre le responsable de traitement afin d’empêcher que les données ne “soient déformées, endommagées, ou que des tiers non autorisés y aient accès”. L’obligation de sécurité est étendue au sous-traitant, c’est-à-dire à tout organisme qui traite des données sous les instructions du responsable de traitement (article 35 de la loi). En cas de manquement à la sécurité ou la confidentialité des données, le responsable de traitement s’expose à des sanctions pénales [pouvant atteindre 1 500 000 euros d’amende pour les entreprises en application de l’article 226-17  du Code pénal] et/ou des sanctions administratives (sanctions prononcées par la CNIL du type avertissement, injonction de cesser le traitement ou sanction pécuniaire) qui sont susceptibles d’être publiées. La CNIL a toujours été très soucieuse du respect de cette obligation et les nombreuses décisions de sanctions qu’elle a adoptées permettent de mieux en appréhender les contours. À titre d’illustration, la CNIL a considéré que le manquement à la sécurité des données personnelles était caractérisé par la faiblesse des mots de passe (5 chiffres au lieu de 16) et par l’absence de politique de sécurité [Délibération n° 2013-139  du 30  mai 2013  / sanction pécuniaire de 10 000 euros confirmée par le Conseil d’État]. Elle a également sanctionné l’absence de politique de gestion des mots de passe (accès aux comptes clients et aux postes des salariés) et leur vulnérabilité (robustesse insuffisante) [Délibération n° 2015-379  du 5  novembre 2015  / sanction pécuniaire de 50 000 euros]. Enfin, la CNIL a prononcé des avertissements publics afin de sanctionner des défauts de sécurité constatés dans le cadre de la sous-traitance, tels l’absence d’audit de sécurité des sous-traitants, l’utilisation de moyens de communication non sécurisés, l’insuffisance des mentions contractuelles [Délibération n° 2014-298 du 7 août 2014 / avertissement]. Enfin, dernièrement, dans le cadre d’un récent avertissement public faisant suite à un contrôle de la CNIL réalisé en ligne [Délibération de la formation restreinte n° 2016-108 du 21 avril 2016], La CNIL a rappelé que l’existence d’une sous-traitance (hébergement et gestion du site) n’exonérait pas la société responsable de traitement de ses obligations légales telles qu’énoncées à l’article 34 de la loi. Le Règlement européen [RGPD], adopté le 27 avril dernier et qui entrera en application à compter du 25 mai 2018, place la sécurité des traitements au cœur des principes de protection des données personnelles. Selon l’article 32 du RGPD, différents critères doivent être pris en compte par le responsable de traitement et le sous-traitant pour déterminer le niveau de sécurité à adopter (contexte du traitement, probabilité et gravité du risque). À l’instar de la réglementation actuelle, la logique est donc d’adapter les mesures de sécurité aux risques identifiés, notamment dans le cadre de l’analyse d’impact (“Privacy Impact Assessment”) qui doit être menée préalablement à la mise en œuvre des traitements à risque (dont : les traitements de données sensibles à grande échelle, la surveillance systématique à grande échelle et le profilage). Le RGPD livre un certain nombre de mesures susceptibles d’être utilisées par le responsable de traitement en fonction du niveau de risque présenté par le traitement (recours à la pseudonymisation et au chiffrement des données, adoption de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes…). Les mesures choisies afin de garantir la sécurité du traitement devront être documentées et communiquées à l’autorité de contrôle à première demande. Un traitement qui ne disposerait pas de garanties suffisantes au regard du risque présenté pourra exposer le responsable de traitement ou le sous-traitant en cause aux sanctions prévues par l’article 83-4  du RGPD (amende jusqu’à 10 000 000 euros, et pour les entreprises, jusqu’à 2 % du CA mondial).