Le RGPD, une nouvelle obligation de sécurité … de résultat ?

Du professionnel indépendant à la multinationale, en passant par les organismes à but non lucratif (associations, syndicats, etc.) sans oublier les collectivités publiques, toutes les « organisations » sont concernées, et vont ainsi devoir répondre de leur conformité au RGPD.

Nul ne contestera que ce nouveau cadre était indispensable pour réguler l’usage des données personnelles et responsabiliser les opérateurs économiques, à commencer par les géants du net, face aux effets conjugués des évolutions technologiques.

Cela étant, le chantier de mise en conformité s’avère particulièrement lourd et fastidieux à mettre en œuvre, surtout pour les TPE/ PME, ce qui suscite parfois des incompréhensions sur le terrain, voire un renoncement à l’action face à ce qui est souvent perçu comme une énième strate de complexité réglementaire et un poste de charges supplémentaire dépourvu de plus-value. L’intérêt de la démarche pour l’entreprise doit donc être bien expliqué.

Il faut néanmoins reconnaître qu’en termes d’exigences, la « barre » a été placée très haut par le législateur européen.

Parmi toutes les mesures visant à assurer une protection effective des données personnelles, le RGPD impose notamment aux professionnels d’assurer la sécurité des données à caractère personnel qu’ils traitent.

Il s’agit donc d’une obligation de sécurité, qui s’impose :

• Tout au long de la chaîne de traitement de la donnée, que ce soit au niveau du responsable du traitement ou de son/ses sous-traitants. Ces derniers sont soumis aux mêmes obligations, dans la limite de la mission qui leur est confiée par leur client.
•  Tout au long du cycle de vie de la donnée, de sa collecte à sa destruction, sans oublier l’obligation de « penser » sécurité dès la conception de chaque nouveau traitement (security by design) ;

En fait, cette obligation n’est pas totalement nouvelle, puisqu’elle existait déjà dans le cadre de la loi informatique et libertés (« LIL »), dont la refonte est en attente de publication (cf. loi sur la protection des données personnelles qui vient d’être définitivement votée le 14 mai 2018 – signalons que ce calendrier tardif ne facilite pas la visibilité juridique pour les parties prenantes, ce qui est regrettable compte tenu du caractère très structurant des enjeux de protection des données personnelles).

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (cf. LIL, art. 34).
Le RGPD va toutefois plus loin, en renforçant considérablement les exigences et prescriptions de sécurité (cf. RGPD, art.32).

Celles-ci imposent la prise de mesures appropriées afin de garantir un niveau de sécurité adapté face aux risques, qui se regroupent en 3 grandes catégories :

• La perte des données ;
• L’altération des données ;
• La divulgation non autorisée des données.

Pour chacun de ces risques, la source (= menace) peut être d’origine accidentelle, illicite ou malveillante.

Même lorsque le recours à une analyse d’impact sur la protection des données personnelles (AIPD) n’est pas requis à titre obligatoire, le caractère approprié des mesures nécessite tout de même une évaluation afin de valider si le niveau de sécurité est suffisant et si le risque est rendu suffisamment bas pour être raisonnablement « acceptable ». Celle-ci doit tenir compte notamment de la nature des données traitées et des finalités du traitement (autrement dit, plus la donnée est sensible dans le contexte du traitement en termes de conséquences potentielles pour les droits et libertés des personnes concernées si le risque devait se réaliser, plus le niveau doit être élevé).

Il est donc directement question ici de technique, ce qui rappelle la forte dimension pluridisciplinaire de la démarche RGPD, et son caractère complexe.

Dans ce registre, le RGPD dresse une liste -non exhaustive- de mesures à envisager, à commencer par la pseudonymisation des données (technique qui contrairement à l’anonymisation complète et définitive, n’empêche pas de pouvoir rendre la personne réidentifiable), et le recours au chiffrement des données dès que cela est possible.

Doivent être par ailleurs envisagés des moyens permettant de garantir des fondamentaux tels que la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, et de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique. Le spectre d’analyse est très large : système d’information, flux et transferts de données, utilisation d’équipements personnels (« BYOD »), etc.

Il ne saurait toutefois être uniquement question de technique ; l’accent est donc mis également sur la prise obligatoire de mesures organisationnelles.

Dans ce cadre, l’entité assujettie au RGPD doit se doter d’une procédure visant à tester, à analyser et évaluer régulièrement l'efficacité des mesures prises pour assurer la sécurité du traitement dans leur globalité.

Le RGPD impose également la limitation des accès aux seules personnes habilitées au sein de l’organisation, et d’appliquer des consignes (cf. charte informatique, notes de service, contrats de travail, etc.) interdisant de traiter les données en-dehors des instructions du responsable du traitement.

La formation du personnel aux risques et bonnes pratiques de sécurité est également essentielle compte tenu du risque lié au facteur humain.

A côté des mesures internes à l’entreprise, c’est également toute la relation avec le ou les sous-traitants appelés à traiter des données à caractère personnel « pour le compte » du responsable du traitement qui doit être passée au crible de l’obligation de sécurité.

Rappelons qu’en vertu de l’article 28 du RGPD, le responsable du traitement est tenu de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée. Le contrat de prestation de services constitue le support naturel pour définir les droits et obligations du sous-traitant ; parmi les clauses obligatoires relatives au RGPD, figure une rubrique dédiée aux mesures de sécurité appropriées mises en œuvre. Précisons que les parties peuvent aussi décider de faire application soit d’un code de conduite approuvé, soit d’une certification.

Ces différents outils serviront à démontrer le respect des exigences du RGPD, sur le volet sécurité.
C’est d’ailleurs sur ce terrain que le changement de curseur apporté par le RGPD est fondamental.

Le principe retenu repose sur le concept d’accountability, autrement dit la responsabilité de respecter les exigences du RGPD et l’obligation d’être à tout moment en mesure de démontrer son respect effectif.

Concrètement, la charge de la preuve incombera au responsable du traitement et à son sous-traitant éventuel.
Cela conduit à une logique de gestion de la conformité très rigoureuse.
Celle-ci paraît d’autant plus inconfortable qu’il ne sera plus possible de bénéficier du « filet de sécurité » que représentait le formalisme des déclarations simplifiées ou autorisations auprès de la CNIL, ces procédures ayant vocation à disparaître.

L’entreprise opèrera donc ses choix en matière de protection des données personnelles, sous sa propre et entière responsabilité, à charge pour elle de justifier ses arbitrages.
Le caractère suffisant ou non des mesures sera laissé à l’appréciation de l’autorité de contrôle (CNIL), ou de la juridiction saisie en cas de contrôle.
Dans ce cadre, prendre le parti de ne pas appliquer certaines dispositions du RGPD pourra donc s’avérer risqué, et nécessitera le cas échéant d’être bien conseillé de manière à bâtir en amont un dossier argumentaire robuste sur le plan juridique.
Tout l’enjeu est néanmoins d’appliquer correctement le RGPD avec le niveau de protection le plus élevé possible, sans pour autant le « surtransposer » de manière systématique, ce qui pourrait sinon créer des contraintes insurmontables pour les entreprises.

A ce stade, il est difficile de savoir quel sera le degré de rigueur d’appréciation qui sera retenu par la CNIL dans le cadre de ses futurs contrôles. Celle-ci a simplement annoncé l’application d’une approche graduée en matière de contrôles dans les premiers mois d’entrée en application du RGPD, compte tenu de l’état d’avancement général des entreprises dans la mise en conformité : d’un côté, la conformité aux nouvelles règles donnera lieu à de la pédagogie (sous réserve de la bonne foi de l’entreprise), de l’autre en revanche, le respect des principes fondamentaux -qui préexistaient déjà dans le cadre de la LIL- sera sanctionné le cas échéant.

Dans ce cadre, la CNIL sera dotée de nouvelles prérogatives, avec notamment un pouvoir d’amende potentiellement très dissuasif (qui sera soumis à une exigence de proportionnalité, assortie d’un droit à un recours juridictionnel effectif – cf. RGPD, art. 83 et 78), ce qui ne constitue qu’une mesure ultime au sein de la panoplie mise à sa disposition (cf. mise en demeure, rappel à l’ordre, injonction assortie d’astreinte, limitation, suspension de flux, saisine du juge des référés en cas d’atteinte grave et immédiate aux droits ou libertés, etc.).

Au-delà de ces sanctions de nature administrative voire para-pénales, il faut bien considérer que la violation du RGPD expose son ou ses auteurs à un risque de plainte auprès de la CNIL, mais aussi d’action en justice sur le plan civil, voire pénal en cas d’infraction (cf. notamment C. Pén ., art. 226-16 s.).
Le risque de sanctions en cas de contrôle n’est donc pas le seul à prendre en compte, bien au contraire, d’autant que plus le nombre de personnes concernées par un traitement de données est élevé, plus ce risque de contentieux sera potentiellement élevé pour l’entité (d’autant qu’il existe ici une procédure d’action de groupe ouverte à certaines associations ou syndicats – cf. LIL, art. 43 ter ; CPC, art. 826-2, 5°, et qui va être élargie aux recours en indemnisation concernant les faits générateurs postérieurs au 24 mai 2020 –loi sur la protection des données, art. 25).

Le RGPD énonce ici un principe de responsabilité : « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (cf. art. 82).

Selon la nature du traitement, les préjudices peuvent être variés (ce qui doit d’ailleurs être bien appréhendé dans les analyses d’impact) : discrimination, usurpation d'identité, perte financière, atteinte à la réputation, exclusion d’un contrat, etc. L’entreprise doit donc appréhender ces risques externes de manière désormais beaucoup plus large que la simple question d’atteinte à la vie privée.

Deux conditions -traditionnelles en droit de la responsabilité- sont ici posées :

• Une violation du RGPD ;
• Un lien de causalité  avec le dommage.

La complexité des relations entre intervenants peut nécessiter de savoir « qui est responsable de quoi » ? Si le responsable du traitement a une responsabilité de principe en cas de violation préjudiciable du RGPD, il est également prévu que le sous-traitant n'est responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations spécifiques des sous-traitants, ou s'il a agi en-dehors ou contrairement aux instructions licites du responsable du traitement. En cas de responsabilités partagées, chacun des responsables du traitement ou des sous-traitants sera tenu responsable in solidum du dommage dans sa totalité afin de garantir à la victime une réparation effective, moyennant une action récursoire contre les autres auteurs.
La responsabilité est fort rigoureuse : en effet, le responsable du traitement ou son sous-traitant ne peut être exonéré de cette responsabilité que s'il prouve que le fait qui a provoqué le dommage ne lui est « nullement imputable », ce qui s’apparente à l’exigence d’une cause totalement étrangère toujours difficile à caractériser  ...

S’agissant de l’obligation de sécurité prévue par le RGPD, on ne peut s’empêcher de faire un parallèle avec l’obligation de sécurité telle qu’elle est appliquée dans le domaine du risque professionnel (accidents du travail).
Même si le texte n’emploie pas cette formulation -propre au droit français- cette obligation semble ici très proche d’une obligation de résultat, dont on connaît bien toute la rigueur pour les employeurs. A minima s’agit-il d’une obligation de moyens renforcée, pour laquelle l’entreprise doit démontrer qu’elle a mis en œuvre tous les moyens pour se conformer aux exigences essentielles de sécurité du RGPD.

Il appartiendra à la jurisprudence de tracer les frontières de mise en œuvre de ce nouveau régime de responsabilité :

• Quel est le degré de violation du RGPD nécessaire ?
  La lettre du texte semble conduire à considérer qu’une simple carence ou insuffisance (« une violation ») suffirait à caractériser le fait que le traitement viole le RGPD, quel que soit l’objet du manquement (principes fondamentaux, etc.) ou le degré de faute commise (négligence délibérée, etc.).
  Sur le plan de la sécurité, la question mérite néanmoins d’être posée dans la mesure où l’article 32 énonce que les garanties de sécurité du traitement dépendent « de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » ; ces différents critères devraient donc être pris en compte pour apprécier les diligences accomplies.
  
  
• Le manquement doit-il être la cause directe et déterminante du dommage ? 
  Il est probable que, par analogie avec d’autres régimes de responsabilité, la jurisprudence acceptera au contraire de prendre en compte des causes indirectes dès lors qu’elles ont pu contribuer à la réalisation du dommage.

Face à la montée en puissance de la cybercriminalité organisée et de plus en plus sophistiquée sur le plan technologique, la problématique sera par exemple de définir à partir de quand une cyberattaque extérieure malveillante constitue un fait exonératoire.
 
Vu de l’entreprise victime, il serait assez contestable qu’elle soit considérée comme responsable de plein droit, alors que par ailleurs, il lui sera fait obligation de notifier l’évènement à la CNIL dans les 72 heures au plus tard, ainsi qu’aux personnes concernées en cas de risque élevé pour elles (cf. art. 33), ce qui peut s’apparenter à une obligation de « se dénoncer ». Cette nouvelle obligation de « porter à connaissance », très large, ne peut qu’inciter les personnes concernées à agir au contentieux. Toutefois, cette procédure vise à permettre de limiter les risques de dommage pour les personnes, et les diligences à accomplir dans ce cadre ne préjugent pas de la responsabilité de l’entreprise (rappelons d’ailleurs le principe du droit à ne pas s’auto-incriminer).
En tout état de cause, peu de dispositifs vont aussi loin que le RGPD dans cette logique.


Ces considérations amènent à deux remarques :

• D’une part, la nécessité pour l’entreprise d’être convenablement assurée contre le cyber risque (ce qui nécessite toujours la souscription d’un contrat spécifique après étude de marché car les garanties sont variables d’un organisme assureur à l’autre) ;
  
  
• D’autre part, quel que soit ce filet de couverture assurantielle, la nécessité de considérer qu’au-delà des exigences liées à la stricte conformité juridique (qui impose un important travail de formalisme documentaire et probatoire), la démarche RGPD vise surtout à garantir une sécurité réelle des traitements et la protection des données.
  Pour les entreprises, il s’agit bien d’appréhender les données personnelles sous l’angle prioritaire de la maîtrise des risques d’exploitation, et pas simplement sur celui de l’ergonomie ou de « l’expérience utilisateur ».

Le chantier du RGPD constitue ainsi l’occasion de muscler sa sécurité de manière globale, bien au-delà même du champ de la donnée personnelle, en travaillant sur une meilleure protection de ses données d’entreprise.

Enfin, l’échéance du 25 mai 2018 ne doit pas induire en erreur : de la même manière que pour le document unique d’évaluation des risques, le fait d’avoir par exemple élaboré un registre des activités de traitement ne préjuge pas de la conformité globale au RGPD et ne doit pas conduire à considérer que la démarche serait terminée.

Elle constitue au contraire un processus d’amélioration continue qui a vocation à irriguer toute la vie de l’entreprise, bien au-delà du 25 mai 2018 (à l’instar de la démarche de prévention des risques professionnels en entreprise).