[ARTICLE] Objets connectés et RGPD

   Le présent article a été rédigé par notre partenaire juridique, Maître Garance Mathias, du cabinet Mathias, spécialisé dans le droit des affaires et des données personnelles.

Le règlement n°2016/579[1], dit Règlement général sur la protection des données ou RGPD, a fait couler beaucoup d’encre et vient de rentrer en application le 25 mai 2018. Cette date a suscité de nombreuses appréhensions, notamment pour les entreprises qui n’étaient pas conformes à temps. Rassure-vous, la présidente de la Commission nationale de l’informatique et libertés (CNIL), Isabelle Falque-Pierrotin, assure que la CNIL avait assuré qu’elle serait faire preuve de compréhension à l’égard des entités qui n’étaient pas encore conformes[2].

   Pourquoi le RGPD suscite-t-il tant d’appréhensions y compris au sein de l’écosystème des objets connectés ? Pour la simple raison qu’il bouleverse l’approche à la protection des données à caractère personnel. Ce changement est néanmoins une opportunité pour les organismes de revoir leurs méthodes et de gagner en efficacité. Cet article présente certains des points clés du RGPD.

Une nouvelle relation entre le responsable du traitement et le sous-traitant

   Afin d’être à même de respecter la réglementation applicable, les entités mettant en œuvre ou participant à un traitement de données à caractère personnel doivent clairement définir leur statut sous le RGPD. En effet, les obligations du responsable du traitement, du responsable conjoint du traitement et du sous-traitant ne sont pas les mêmes.

   Le responsable du traitement est la personne disposant du pouvoir décisionnel sur les finalités et les moyens du traitement. Il est défini comme «la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (RGPD, art. 4, 7°). Le Groupe de travail de l’article 29 (G29) synthétise cette définition en estimant qu’être « responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres »[3].

   Le RGPD précise néanmoins que ce pouvoir peut être partagé « qui seul ou conjointement ». Lorsque plusieurs responsables du traitement définissent ensemble les finalités et les moyens du traitement, ils sont qualifiés de responsables conjoints du traitement. Le RGPD n’apporte que très peu de précision sur cette nouvelle notion. Elle sous-entend néanmoins une forme de coopération entre les responsables conjoints du traitement et il n’est pas nécessaire qu’ils participent tous de façon égale à la détermination des moyens et des finalités.

   Qu’en est-il du sous-traitant ? Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (RGPD, art. 4, 8°). Il agit uniquement sur instruction documentée du responsable du traitement.

   La distinction fondamentale entre un sous-traitant et un responsable du traitement est ainsi le pouvoir décisionnel que ce dernier détient sur les finalités et les moyens du traitement.

   En pratique, une analyse des éléments factuels du traitement mis en œuvre et du rôle qu’y tient votre entité est requise (ex : le niveau d’instruction donné au prestataire ou reçu, le degré de contrôle réel exercé, le degré d’autonomie…).

   La relation entre le responsable du traitement et le sous-traitant est étroitement encadrée. En effet, le RGPD impose que cette relation soit régie par « un contrat ou tout autre juridique » (RGPD, art. 28, 3°). Cet acte juridique doit comporter certaines clauses a minima telles que le respectent des droits des personnes, la mise en œuvre de mesures de sécurité techniques et organisationnelles ou encore la mise à disposition d’informations utiles dans les délais permettant au responsable du traitement de respecter ses obligations (RGPD, art. 28, 3°).

   De plus, le responsable du traitement n’est plus tenu responsable des manquements de son sous-traitant. Ce dernier peut voir sa responsabilité engagée pour tout manquement contractuel ou manquement aux dispositions du RGPD.

   Les contrats avec les prestataires et fournisseurs doivent être revus afin de déterminer votre statut et vos obligations. La CNIL a publié un Guide du sous-traitant afin de sensibiliser et d’accompagner les sous-traitants dans la mise en œuvre concrète de leurs obligations[4].

  En d’autres termes, le concepteur, le distributeur ou tout autre acteur intervenant dans l’écosystème de l’objet connecté doit recevoir une qualification précise. Une cartographie des différents acteurs devra donc être dressée.

Une responsabilisation des acteurs de la protection des données à caractère personnel

   Le maître mot du RGPD est l’accountability. Les responsables du traitement doivent mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement » (RGPD, art. 24) tels que la réalisation d’audit internes et externes, la rédaction d’une politique contractuelle en matière de protection des données ou la réalisation d’une cartographie des traitements. En somme, les entités doivent mettre en place des mesures et des procédures pour atteindre cette conformité, la maintenir et la prouver.

   Afin de prouver sa mise en conformité, une documentation de chaque mesure ou procédure mise en place pour assurer la protection des données est nécessaire. Par exemple, la tenue d’un registre des activités de traitement, une obligation sous le RGPD[5], est un moyen de démonter sa conformité. Ce registre comprend a minima toutes les informations relatives au traitement (ex : nom et coordonnées du responsable du traitement, finalités du traitement, une description générale des mesures de sécurité techniques et organisationnelles…). La CNIL a mis en ligne un modèle de registre des activités du traitement dont les responsables du traitement ou sous-traitant peuvent s’inspirer[6].

   Le RGPD introduit également deux nouvelles notions qui seront particulièrement importantes pour responsable de la sécurité des systèmes d’information ou la direction des systèmes d’information : le privacy by design et le privacy by default (RGPD, art. 25). Le privacy by design implique que le respect à la vie privée doit être garanti dès la conception du traitement (ex : minimaison des données, pseudonymisation, transparence…) tandis que le privacy by default impose que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées et seules les personnes qui ont besoin d’en connaître y ont accès.

   Il convient donc de penser à l’impact que le traitement des données à caractère personnel pourrait avoir sur la vie privée des utilisateurs et mettre en place une documentation faisant état de toutes les mesures de protection des données de l’utilisateur, et ce depuis la phase de création. Ainsi, dès la phase de conception d’un objet, le fabricant devra appréhender les enjeux liés à la sécurité ainsi qu’au privacy by design et au privacy by default.

Des fondamentaux révisés

  Outre le fait que le traitement mis en œuvre respecte les principes fondamentaux du règlement (RGPD, art. 5), il doit également reposer sur une condition de licéité (RGPD, art. 6). Le règlement introduit un changement en ce qui concerne le consentement de la personne concernée. Le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, 11°).

   Le G29 apporte quelques précisions sur cette notion [7].Il est important de noter que les cases pré-cochées sont dorénavant prohibées sous peine de considérer le consentement ne soit pas considéré comme libre.

   Dans l’éventualité où le traitement des données à caractère personnel repose sur le consentement, il convient d’assurer que ce dernier est recueilli avant la mise en œuvre du traitement et qu’il puisse être retiré à tout moment.

  Ainsi, l’objet connecté devra intégrer ou renvoyer le cas échéant vers un autre support accessible:

  • Les conditions d’utilisation n’imposent pas à l’utilisateur de consentir par défaut à l’utilisation de leurs données à caractère personnel qui ne sont pas nécessaire pour l’utilisation de l’objet ou de l’application ;
  • Les conditions d’utilisation sont claires, aisément accessibles et ne sont pas rédigées dans un jargon trop technique ou juridique.

   Attention au profilage et aux décisions automatisées. Ces dernières, bien que des notions distinctes, doivent impérativement répondre aux impératifs du RGPD et notamment à l’article 22, 1° énonçant que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». Le G29 est venu préciser la distinction de ces deux notions et souligne l’importance d’une intervention humaine dans le traitement[8].  En cas de collecte et de traitement de ce type de données, le concepteur de l’objet devra effectuer une analyse d’impact sur la vie privée.

Des obligations de sécurité renforcées

   Le RGPD renforce également l’obligation de sécurité tant pour le responsable du traitement que pour le sous-traitant. Ces derniers doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (RGPD, art. 32). Ce faisant, ils sont tenus de prendre en compte l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques. La CNIL a publié un guide sur la sécurité mettant en lumière les différentes mesures de sécurité pouvant être prises (ex : pseudonymisation, chiffrement…)[9].

   Il découle de cette obligation de sécurité, une nouvelle obligation d’analyse d’impact relative à la protection des données (RGPD, art. 35). La CNIL a développé un logiciel afin de guider les responsables du traitement[10]. Bien que cette dernière soit obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il convient d’en faire une bonne pratique dans l’organisme notamment pour des raisons d’accountability et de gestion des violations de données à caractère personnel. Ces dernières devront en effet être notifiées à l’autorité de contrôle compétente et, dans certaines situations, communiquées aux personnes concernées (RGPD, art. 33 et 34).

Une protection consolidée des utilisateurs  

   Les personnes concernées disposent d’un nouvel arsenal de droit et notamment le droit à la portabilité, le droit à la limitation du traitement, le droit à l’information et le droit à l’effacement. Les organismes sont tenus d’assurer l’exercice effectif de l’ensemble des droits des personnes concernées. A ce titre, des procédures spécifiques de gestion des droits sont à mettre en œuvre et doivent être incorporées dès la conception du traitement.

   Le droit à l’information est indissociable du principe de transparence et de la notion de consentement. Une personne ne pourra donner son consentement éclairé et univoque sans avoir accès aux informations nécessaires et sans les comprendre. Les bandeaux cookies, ainsi que toute mention légale, doivent être révisés pour respecter ces principes. Attention, les informations à fournir ne sont pas les mêmes selon la manière dont les données à caractère personnel sont collectées. Il convient de déterminer si l’organisme met en place une collecte directement auprès de la personne concernée ou indirectement.

   Chaque droit contient des obligations qui lui sont particulières. Par exemple, le droit à la portabilité (RGPD, art. 20) permet à la personne concernée de récupérer les données à caractère personnel communiquées et/ou de demander à ce que ses données soient transmises à un autre responsable du traitement. Elle implique de nombreuses obligations à charge pour le responsable du traitement[11] et notamment concernant son format. Les données doivent être fournies dans un format structuré, couramment utilisé et lisible par machine. Le responsable du traitement doit s’assurer de l’interopérabilité des formats utilisés. Le G29 a apporté des précisions notamment sur ce point [12].

   Un des enjeux pragmatiques sera donc de permettre et de garantir l’effectivité concernant l’exercice de ce droit à la portabilité, et, d’une manière générale de tous les droits des utilisateurs dans le cadre d’un objet connecté.

Un nouvel allié dans la protection des données à caractère personnel

   Le Délégué à la Protection des Données (en anglais Data Protection Officer ou DPO) est le nouvel acteur phare introduit par le règlement (RGPD, art. 37 à 39). Ce dernier est le chef d’orchestre de la conformité de l’entité l’ayant désigné [13]. En effet, il veille au respect de la règlementation relative à la protection des données, des procédures et des politiques internes en la matière. Il a également pour mission d’accompagner et de conseiller son organisme dans l’ensemble des décisions relatives à la protection des données à caractère personnel. Il est un atout essentiel dans la protection des données.

La désignation d’un DPO est obligatoire pour certains organismes :

  • Les autorités publiques ou organismes publics ;
  • Les organismes dont les activités de base consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes ;
  • Les organismes dont les activités de base consistent en des traitements à grande échelle de données sensibles.

    Cependant, la désignation d’un DPO peut être optionnelle et permettra à l’organisme de se reposer sur un allié pour sa conformité au RGPD notamment en ce qui concerne l’accountability. Soulignons que le DPO peut être une personne interne ou externe.

   La mise en conformité au RGPD est un exercice continu. A ce titre, des procédures de révisions doivent être mises en place et régulièrement exercées. Il convient de souligner le rôle fondamental responsable de la sécurité des systèmes d’information ou la direction des systèmes d’information dans la mise en conformité (ex : définition des prérequis de l’entité en matière de sécurité des données, intégration des risques en matière de protection des données aux grilles d’analyse de risques, etc.).

  Le RGPD alourdit les sanctions en cas de manquement. En effet, les sanctions pécuniaires peuvent s’élever, selon les manquements constatés, jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ou jusqu’à 10 000 000 € ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent.

   Pour résumer, le monde de l’objet connecté n’échappe pas au RGPD et il convient, indépendamment des aspects économiques, d’intégrer cette démarche, gage de transparence et de confiance, dès la conception et de la maintenir pendant tout le cycle de vie.

 

Sources

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Accessible ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

[2] Article du journal Le Monde « Protection des données : le texte européen qui hante les nuits des patrons de PME français » du 8 mai 2018. Accessible ici : https://www.lemonde.fr/economie/article/2018/05/08/protection-des-donnees-un-casse-tete-pour-les-entreprises_5295916_3234.html

[3] Avis du G29 n° 1/2010 WP 169 du16 février 2010. Accessible ici : https://docs.google.com/viewer?url=https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf

[4]  CNIL, Guide du sous-traitant, édition sept. 2017. Accessible ici : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

[5] Article 30 du RGPD : « Chaque responsable du traitement, et le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité (…) Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement ».

[6] Article de la CNIL “Le registre des activités de traitement ». Accessible ici : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

[7] G29, lignes directrices relatives au consentement sous le règlement 2016/679, révisées et adoptées le 10 avril 2018. Accessible ici : https://docs.google.com/viewer?url=https://www.cnil.fr/sites/default/files/atoms/files/wp259_enpdf_consent.pdf

[8] G29, lignes directrices relatives aux décisions automatisées et au profilage, révisées et adoptées le6 février 2018. Accessible ici : https://docs.google.com/viewer?url=https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

[9] Guide de la CNIL, « La sécurité des données personnelles », édition 2018. Accessible ici : https://docs.google.com/viewer?url=https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

[10] Site de la CNIL : https://www.cnil.fr/fr/rgpd-un-logiciel-pour-realiser-son-analyse-dimpact-sur-la-protection-des-donnees-pia

[11] Article du cabinet Mathias Avocats « Droit à la portabilité : conseils pratiques » du 24 mars 2018. Accessible ici : https://www.avocats-mathias.com/donnees-personnelles/droit-a-la-portabilite

[12] G29, lignes directrices relatives au droit à la portabilité des données, révisée et adoptée le 5 avril 2017. Accessible ici : https://docs.google.com/viewer?url=https://www.cnil.fr/sites/default/files/atoms/files/wp242rev01_fr.pdf

[13] Article du cabinet Mathias Avocats « Droit à la portabilité : conseils pratiques » du 24 mars 2018. Accessible ici : https://www.avocats-mathias.com/donnees-personnelles/droit-a-la-portabilite