Le RGPD, une nouvelle obligation de sécurité … de résultat ?

L’entrée en vigueur du Règlement général européen relatif à la protection des données personnelles (« RGPD ») le 25 mai 2018, marque un tournant majeur dans la gestion de données à caractères personnelles de personnes physiques par les entreprises.

Sébastien MILLET
Avocat spécialiste en droit du travail, de la protection sociale et des risques professionnels
Cabinet Ellipse Avocats

#Cybersécurité
15/05/2018

Du professionnel indépendant à la multinationale, en passant par les organismes à but non lucratif (associations, syndicats, etc.) sans oublier les collectivités publiques, toutes les « organisations » sont concernées, et vont ainsi devoir répondre de leur conformité au RGPD.

Nul ne contestera que ce nouveau cadre était indispensable pour réguler l’usage des données personnelles et responsabiliser les opérateurs économiques, à commencer par les géants du net, face aux effets conjugués des évolutions technologiques.

Cela étant, le chantier de mise en conformité s’avère particulièrement lourd et fastidieux à mettre en œuvre, surtout pour les TPE/ PME, ce qui suscite parfois des incompréhensions sur le terrain, voire un renoncement à l’action face à ce qui est souvent perçu comme une énième strate de complexité réglementaire et un poste de charges supplémentaire dépourvu de plus-value. L’intérêt de la démarche pour l’entreprise doit donc être bien expliqué.

Il faut néanmoins reconnaître qu’en termes d’exigences, la « barre » a été placée très haut par le législateur européen.

Parmi toutes les mesures visant à assurer une protection effective des données personnelles, le RGPD impose notamment aux professionnels d’assurer la sécurité des données à caractère personnel qu’ils traitent.

Il s’agit donc d’une obligation de sécurité, qui s’impose :

Tout au long de la chaîne de traitement de la donnée, que ce soit au niveau du responsable du traitement ou de son/ses sous-traitants. Ces derniers sont soumis aux mêmes obligations, dans la limite de la mission qui leur est confiée par leur client.
Tout au long du cycle de vie de la donnée, de sa collecte à sa destruction, sans oublier l’obligation de « penser » sécurité dès la conception de chaque nouveau traitement (security by design) ;

En fait, cette obligation n’est pas totalement nouvelle, puisqu’elle existait déjà dans le cadre de la loi informatique et libertés (« LIL »), dont la refonte est en attente de publication (cf. loi sur la protection des données personnelles qui vient d’être définitivement votée le 14 mai 2018 – signalons que ce calendrier tardif ne facilite pas la visibilité juridique pour les parties prenantes, ce qui est regrettable compte tenu du caractère très structurant des enjeux de protection des données personnelles).

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (cf. LIL, art. 34).
Le RGPD va toutefois plus loin, en renforçant considérablement les exigences et prescriptions de sécurité (cf. RGPD, art.32).

Celles-ci imposent la prise de mesures appropriées afin de garantir un niveau de sécurité adapté face aux risques, qui se regroupent en 3 grandes catégories :

La perte des données ;
L’altération des données ;
La divulgation non autorisée des données.

Pour chacun de ces risques, la source (= menace) peut être d’origine accidentelle, illicite ou malveillante.

Même lorsque le recours à une analyse d’impact sur la protection des données personnelles (AIPD) n’est pas requis à titre obligatoire, le caractère approprié des mesures nécessite tout de même une évaluation afin de valider si le niveau de sécurité est suffisant et si le risque est rendu suffisamment bas pour être raisonnablement « acceptable ». Celle-ci doit tenir compte notamment de la nature des données traitées et des finalités du traitement (autrement dit, plus la donnée est sensible dans le contexte du traitement en termes de conséquences potentielles pour les droits et libertés des personnes concernées si le risque devait se réaliser, plus le niveau doit être élevé).

Il est donc directement question ici de technique, ce qui rappelle la forte dimension pluridisciplinaire de la démarche RGPD, et son caractère complexe.

Dans ce registre, le RGPD dresse une liste -non exhaustive- de mesures à envisager, à commencer par la pseudonymisation des données (technique qui contrairement à l’anonymisation complète et définitive, n’empêche pas de pouvoir rendre la personne réidentifiable), et le recours au chiffrement des données dès que cela est possible.

Doivent être par ailleurs envisagés des moyens permettant de garantir des fondamentaux tels que la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, et de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique. Le spectre d’analyse est très large : système d’information, flux et transferts de données, utilisation d’équipements personnels (« BYOD »), etc.

Il ne saurait toutefois être uniquement question de technique ; l’accent est donc mis également sur la prise obligatoire de mesures organisationnelles.

Dans ce cadre, l’entité assujettie au RGPD doit se doter d’une procédure visant à tester, à analyser et évaluer régulièrement l'efficacité des mesures prises pour assurer la sécurité du traitement dans leur globalité.

Le RGPD impose également la limitation des accès aux seules personnes habilitées au sein de l’organisation, et d’appliquer des consignes (cf. charte informatique, notes de service, contrats de travail, etc.) interdisant de traiter les données en-dehors des instructions du responsable du traitement.

La formation du personnel aux risques et bonnes pratiques de sécurité est également essentielle compte tenu du risque lié au facteur humain.

A côté des mesures internes à l’entreprise, c’est également toute la relation avec le ou les sous-traitants appelés à traiter des données à caractère personnel « pour le compte » du responsable du traitement qui doit être passée au crible de l’obligation de sécurité.

Rappelons qu’en vertu de l’article 28 du RGPD, le responsable du traitement est tenu de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée. Le contrat de prestation de services constitue le support naturel pour définir les droits et obligations du sous-traitant ; parmi les clauses obligatoires relatives au RGPD, figure une rubrique dédiée aux mesures de sécurité appropriées mises en œuvre. Précisons que les parties peuvent aussi décider de faire application soit d’un code de conduite approuvé, soit d’une certification.

Ces différents outils serviront à démontrer le respect des exigences du RGPD, sur le volet sécurité.
C’est d’ailleurs sur ce terrain que le changement de curseur apporté par le RGPD est fondamental.

Le principe retenu repose sur le concept d’accountability, autrement dit la responsabilité de respecter les exigences du RGPD et l’obligation d’être à tout moment en mesure de démontrer son respect effectif.

Concrètement, la charge de la preuve incombera au responsable du traitement et à son sous-traitant éventuel.
Cela conduit à une logique de gestion de la conformité très rigoureuse.
Celle-ci paraît d’autant plus inconfortable qu’il ne sera plus possible de bénéficier du « filet de sécurité » que représentait le formalisme des déclarations simplifiées ou autorisations auprès de la CNIL, ces procédures ayant vocation à disparaître.

L’entreprise opèrera donc ses choix en matière de protection des données personnelles, sous sa propre et entière responsabilité, à charge pour elle de justifier ses arbitrages.
Le caractère suffisant ou non des mesures sera laissé à l’appréciation de l’autorité de contrôle (CNIL), ou de la juridiction saisie en cas de contrôle.
Dans ce cadre, prendre le parti de ne pas appliquer certaines dispositions du RGPD pourra donc s’avérer risqué, et nécessitera le cas échéant d’être bien conseillé de manière à bâtir en amont un dossier argumentaire robuste sur le plan juridique.
Tout l’enjeu est néanmoins d’appliquer correctement le RGPD avec le niveau de protection le plus élevé possible, sans pour autant le « surtransposer » de manière systématique, ce qui pourrait sinon créer des contraintes insurmontables pour les entreprises.

A ce stade, il est difficile de savoir quel sera le degré de rigueur d’appréciation qui sera retenu par la CNIL dans le cadre de ses futurs contrôles. Celle-ci a simplement annoncé l’application d’une approche graduée en matière de contrôles dans les premiers mois d’entrée en application du RGPD, compte tenu de l’état d’avancement général des entreprises dans la mise en conformité : d’un côté, la conformité aux nouvelles règles donnera lieu à de la pédagogie (sous réserve de la bonne foi de l’entreprise), de l’autre en revanche, le respect des principes fondamentaux -qui préexistaient déjà dans le cadre de la LIL- sera sanctionné le cas échéant.

Dans ce cadre, la CNIL sera dotée de nouvelles prérogatives, avec notamment un pouvoir d’amende potentiellement très dissuasif (qui sera soumis à une exigence de proportionnalité, assortie d’un droit à un recours juridictionnel effectif – cf. RGPD, art. 83 et 78), ce qui ne constitue qu’une mesure ultime au sein de la panoplie mise à sa disposition (cf. mise en demeure, rappel à l’ordre, injonction assortie d’astreinte, limitation, suspension de flux, saisine du juge des référés en cas d’atteinte grave et immédiate aux droits ou libertés, etc.).

Au-delà de ces sanctions de nature administrative voire para-pénales, il faut bien considérer que la violation du RGPD expose son ou ses auteurs à un risque de plainte auprès de la CNIL, mais aussi d’action en justice sur le plan civil, voire pénal en cas d’infraction (cf. notamment C. Pén ., art. 226-16 s.).
Le risque de sanctions en cas de contrôle n’est donc pas le seul à prendre en compte, bien au contraire, d’autant que plus le nombre de personnes concernées par un traitement de données est élevé, plus ce risque de contentieux sera potentiellement élevé pour l’entité (d’autant qu’il existe ici une procédure d’action de groupe ouverte à certaines associations ou syndicats – cf. LIL, art. 43 ter ; CPC, art. 826-2, 5°, et qui va être élargie aux recours en indemnisation concernant les faits générateurs postérieurs au 24 mai 2020 –loi sur la protection des données, art. 25).

Le RGPD énonce ici un principe de responsabilité : « Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (cf. art. 82).

Selon la nature du traitement, les préjudices peuvent être variés (ce qui doit d’ailleurs être bien appréhendé dans les analyses d’impact) : discrimination, usurpation d'identité, perte financière, atteinte à la réputation, exclusion d’un contrat, etc. L’entreprise doit donc appréhender ces risques externes de manière désormais beaucoup plus large que la simple question d’atteinte à la vie privée.

Deux conditions -traditionnelles en droit de la responsabilité- sont ici posées :

Une violation du RGPD ;
Un lien de causalité avec le dommage.

La complexité des relations entre intervenants peut nécessiter de savoir « qui est responsable de quoi » ? Si le responsable du traitement a une responsabilité de principe en cas de violation préjudiciable du RGPD, il est également prévu que le sous-traitant n'est responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations spécifiques des sous-traitants, ou s'il a agi en-dehors ou contrairement aux instructions licites du responsable du traitement. En cas de responsabilités partagées, chacun des responsables du traitement ou des sous-traitants sera tenu responsable in solidum du dommage dans sa totalité afin de garantir à la victime une réparation effective, moyennant une action récursoire contre les autres auteurs.
La responsabilité est fort rigoureuse : en effet, le responsable du traitement ou son sous-traitant ne peut être exonéré de cette responsabilité que s'il prouve que le fait qui a provoqué le dommage ne lui est « nullement imputable », ce qui s’apparente à l’exigence d’une cause totalement étrangère toujours difficile à caractériser ...

S’agissant de l’obligation de sécurité prévue par le RGPD, on ne peut s’empêcher de faire un parallèle avec l’obligation de sécurité telle qu’elle est appliquée dans le domaine du risque professionnel (accidents du travail).
Même si le texte n’emploie pas cette formulation -propre au droit français- cette obligation semble ici très proche d’une obligation de résultat, dont on connaît bien toute la rigueur pour les employeurs. A minima s’agit-il d’une obligation de moyens renforcée, pour laquelle l’entreprise doit démontrer qu’elle a mis en œuvre tous les moyens pour se conformer aux exigences essentielles de sécurité du RGPD.

Il appartiendra à la jurisprudence de tracer les frontières de mise en œuvre de ce nouveau régime de responsabilité :

Quel est le degré de violation du RGPD nécessaire ?
La lettre du texte semble conduire à considérer qu’une simple carence ou insuffisance (« une violation ») suffirait à caractériser le fait que le traitement viole le RGPD, quel que soit l’objet du manquement (principes fondamentaux, etc.) ou le degré de faute commise (négligence délibérée, etc.).
Sur le plan de la sécurité, la question mérite néanmoins d’être posée dans la mesure où l’article 32 énonce que les garanties de sécurité du traitement dépendent « de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » ; ces différents critères devraient donc être pris en compte pour apprécier les diligences accomplies.
Le manquement doit-il être la cause directe et déterminante du dommage ?
Il est probable que, par analogie avec d’autres régimes de responsabilité, la jurisprudence acceptera au contraire de prendre en compte des causes indirectes dès lors qu’elles ont pu contribuer à la réalisation du dommage.

Face à la montée en puissance de la cybercriminalité organisée et de plus en plus sophistiquée sur le plan technologique, la problématique sera par exemple de définir à partir de quand une cyberattaque extérieure malveillante constitue un fait exonératoire.

Vu de l’entreprise victime, il serait assez contestable qu’elle soit considérée comme responsable de plein droit, alors que par ailleurs, il lui sera fait obligation de notifier l’évènement à la CNIL dans les 72 heures au plus tard, ainsi qu’aux personnes concernées en cas de risque élevé pour elles (cf. art. 33), ce qui peut s’apparenter à une obligation de « se dénoncer ». Cette nouvelle obligation de « porter à connaissance », très large, ne peut qu’inciter les personnes concernées à agir au contentieux. Toutefois, cette procédure vise à permettre de limiter les risques de dommage pour les personnes, et les diligences à accomplir dans ce cadre ne préjugent pas de la responsabilité de l’entreprise (rappelons d’ailleurs le principe du droit à ne pas s’auto-incriminer).
En tout état de cause, peu de dispositifs vont aussi loin que le RGPD dans cette logique.

Ces considérations amènent à deux remarques :

D’une part, la nécessité pour l’entreprise d’être convenablement assurée contre le cyber risque (ce qui nécessite toujours la souscription d’un contrat spécifique après étude de marché car les garanties sont variables d’un organisme assureur à l’autre) ;
D’autre part, quel que soit ce filet de couverture assurantielle, la nécessité de considérer qu’au-delà des exigences liées à la stricte conformité juridique (qui impose un important travail de formalisme documentaire et probatoire), la démarche RGPD vise surtout à garantir une sécurité réelle des traitements et la protection des données.
Pour les entreprises, il s’agit bien d’appréhender les données personnelles sous l’angle prioritaire de la maîtrise des risques d’exploitation, et pas simplement sur celui de l’ergonomie ou de « l’expérience utilisateur ».

Le chantier du RGPD constitue ainsi l’occasion de muscler sa sécurité de manière globale, bien au-delà même du champ de la donnée personnelle, en travaillant sur une meilleure protection de ses données d’entreprise.

Enfin, l’échéance du 25 mai 2018 ne doit pas induire en erreur : de la même manière que pour le document unique d’évaluation des risques, le fait d’avoir par exemple élaboré un registre des activités de traitement ne préjuge pas de la conformité globale au RGPD et ne doit pas conduire à considérer que la démarche serait terminée.

Elle constitue au contraire un processus d’amélioration continue qui a vocation à irriguer toute la vie de l’entreprise, bien au-delà du 25 mai 2018 (à l’instar de la démarche de prévention des risques professionnels en entreprise).

Pour compléter ce sujet

- PARIS 2025
- Actualité
L'Assurance Maladie - Risques professionnels, un acteur incontournable à Préventica Paris 2025

14 mars 2025 - Du 10 au 12 juin, Préventica Paris accueillera l'Assurance Maladie - Risques professionnels en tant qu'acteur majeur de la santé au travail pour les entreprises du secteur privé
- #Accompagnement SST
- Webinar
Comment accompagner vos collaborateurs vers une MOBILITÉ DOUCE ?

13 mai 2025 - 11h00 - EFFICIENCE SANTE AU TRAVAIL
- #Mobilité / Sécurité routière
- #Dirigeants
- Annuaire
Barrières anti-inondation modulaires et autoportantes - Aqua-Barrière
- #Gestion de crise
- Podcast
RECRUTEURS, arrêtez de vous faire biaiser

31 mars 2025 - "J'ai eu un super feeling avec ce candidat…" 🤔 Si vous avez déjà prononcé cette phrase, arrêtez tout et écoutez cet épisode ! 🎧
- #Management RH/QVCT
- #Dirigeants

Vous aimerez aussi

- Actualité
Pourquoi adopter une CHARTE INFORMATIQUE en entreprise ?

24 avril 2025 - Dans un contexte où les technologies numériques sont omniprésentes, les entreprises doivent veiller à encadrer l’utilisation de leurs outils informatiques. C’est dans cette optique que la charte informatique joue un rôle clé. Elle définit les règles d’utilisation des ressources numériques, garantissant ainsi la sécurité des données, le respect de la vie privée et une utilisation éthique des équipements.
- #Cybersécurité
- Actualité
Former les employés à la cybersécurité : un investissement pour la SST ?

20 mars 2025 - La cybersécurité est désormais essentielle pour les entreprises, non seulement pour protéger les données, mais aussi pour assurer la santé et la sécurité des employés. La formation des collaborateurs aux bonnes pratiques de cybersécurité est devenue indispensable pour prévenir le stress lié aux cyberattaques et renforcer la sécurité au travail. Les bénéfices de cette formation sont nombreux, tant pour les employés que pour l’entreprise.
- #Cybersécurité
- Actualité
Mon ExpertCyber : comment protéger votre organisation des cybermenaces ?

05 février 2025 - Les cyberattaques peuvent avoir de lourdes conséquences pour une entreprise, une association ou une collectivité : pertes financières, vol de données, atteinte à la réputation… Pour renforcer leur protection, Cybermalveillance.gouv.fr propose le service Mon ExpertCyber.
- #Cybersécurité
- Actualité
Le point sur les risques cyber liés aux fournisseurs

19 décembre 2024 - Les entreprises font face à une nouvelle menace : le risque cyber lié aux fournisseurs. L’Observatoire 2024 du CESIN et Board of Cyber met en lumière l’ampleur de ce problème et les stratégies nécessaires pour y répondre.
- #Cybersécurité
- Actualité
La nouvelle régulation de l’IA en Europe

05 juin 2024 - Le 21 mai 2024, le Conseil de l'Union européenne a approuvé un règlement inédit sur l'intelligence artificielle (IA). Ce texte, premier du genre au monde, suit une approche "basée sur le risque" : plus le risque pour la société est élevé, plus les règles sont strictes.
- #Cybersécurité
Christophe GUEGUEN

responsable d’activité

Magellan Sécurité
- Interview
Comprendre les cyberattaques pour s’en protéger

22 mars 2023 - En début d’année, le Gouvernement alertait à propos d'une nouvelle vague de cyberattaques, touchant aussi bien les particuliers que les entreprises. Christophe Gueguen, expert de cette thématique, détaille les risques et les moyens de s’en prémunir.
- #Cybersécurité
Patrick CAMBON

Sécurité des systèmes d’information

Chru Strasbourg
- Interview
Sensibiliser aux risques cyber par un escape game

06 avril 2022 - Le CHRU de Strasbourg travaille actuellement sur un escape game à destination de ses équipes, pour les sensibiliser à la fois aux risques psychosociaux mais aussi aux risques cyber. Entrevue avec Patrick Cambon, membre de l’équipe en charge de la sécurité des systèmes d’information au CHRU Strasbourg.
- #Cybersécurité
- Dossier
Le point sur… La cartographie des risques

05 janvier 2020
- #Cybersécurité

S’abonner à la newsletter

Choisissez de recevoir l’info qui vous plaît, magazine, webinar, solutions & innovation, salon, …

A propos de Préventica

Depuis près de 25 ans, Préventica est le lieu de rencontre et d'inspiration pour tous les acteurs de la santé, la sécurité et la qualité de vie au travail : dirigeants, DRH, managers, services généraux, production, préventeurs...

Deux grands rendez-vous sont organisés chaque année en France, sous le haut patronage des ministères du Travail et de la Santé, réunissant au total plus de 20 000 participants.

Une plateforme de ressources en ligne permet également chaque mois à 100 000 utilisateurs de bénéficier de conseils et retours d'expériences, pour la mise en œuvre de leurs actions de prévention des risques et de qualité de vie au travail : Magazine, Webinars, Annuaire, Podcasts…

Le RGPD, une nouvelle obligation de sécurité … de résultat ?

Pour compléter ce sujet

L'Assurance Maladie - Risques professionnels, un acteur incontournable à Préventica Paris 2025

Comment accompagner vos collaborateurs vers une MOBILITÉ DOUCE ?

Barrières anti-inondation modulaires et autoportantes - Aqua-Barrière

RECRUTEURS, arrêtez de vous faire biaiser

Vous aimerez aussi

Pourquoi adopter une CHARTE INFORMATIQUE en entreprise ?

Former les employés à la cybersécurité : un investissement pour la SST ?

Mon ExpertCyber : comment protéger votre organisation des cybermenaces ?

Le point sur les risques cyber liés aux fournisseurs

La nouvelle régulation de l’IA en Europe

Comprendre les cyberattaques pour s’en protéger

Sensibiliser aux risques cyber par un escape game

Le point sur… La cartographie des risques