La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité

La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

“1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)”

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?

Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données
Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file
Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données

    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé

Après plus de quatre ans de discussions au niveau européen, le règlement général sur la protection des données (ou RGPD) a enfin été promulgué le 27 avril 2016. Le règlement sera applicable dans tous les Etats membres dans deux ans, à partir du 25 mai 2018. (1) Le compte à rebours de la mise en conformité a donc commencé à courir pour tous les organismes en charge de traitements de données à caractère personnel.

Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.


1. Le RGPD, socle du droit européen des données personnelles

Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne,  constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).

Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.

Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.

Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.


2. RGPD et droits des personnes

Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :

    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.

    - La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.

    - Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.

    - Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.

    - Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.


3. RGPD et droits des responsables de traitement

Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :

    - Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.

    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).

    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).

    - Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.

    - Le règlement supprime l’obligation de déclaration préalable d’un traitement de données,  (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.

    - Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).

    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.

    - Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).

    - Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.

    - Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
    - aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
    - aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.


Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).

En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.


                                                              * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Transferts de données personnelles vers les Etats-Unis : un bouclier de protection des données pour remplacer la sphère de sécurité

Dans un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) décidait d’invalider les règles du Safe Harbor, en vigueur depuis juillet 2000, permettant aux entreprises européennes travaillant avec des entreprises américaines ayant adhéré aux principes du Safe Harbor de transférer légalement des données personnelles vers les Etats-Unis. (1) Ces transferts de données peuvent concerner par exemple les transferts de fichiers entre les sociétés d’un même groupe situées de part et d’autre de l’Atlantique, ou les transferts entre une société européenne et un prestataire situé aux Etats-Unis (hébergeur ou service cloud par exemple).

Pour rappel, les transferts de données personnelles en dehors de l’Union européenne restent par principe interdits, sauf quelques exceptions, alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières. (2)

Depuis cet arrêt du 6 octobre 2015, la Commission européenne et les Etats-Unis ont négocié en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission était de conclure ces discussions avant fin janvier 2016. (3) Un accord de principe a été conclu début février 2016 et le 29 février, le texte de l’accord, dénommé “Privacy Shield” (ou “Bouclier de protection des données”) a été publié.

Nous faisons un point ci-dessous sur les principes applicables au nouvel accord Privacy Shield puis revoyons les autres “outils” juridiques à la disposition des entreprises européennes qui doivent transférer des données personnelles vers les Etats-Unis.


1. Les principes régissant l’accord Privacy Shield

Le texte du nouvel accord Privacy Shield (“Bouclier de protection des données UE-US” ou “EU-US Privacy Shield arrangement”), relatif aux transferts de données personnelles entre les Etats-membres de l’Union et les Etats-Unis a été publié le 29 février dernier. (4)

L’objectif des principes constitutifs du Privacy Shield est de fournir des normes de protection pour les données de citoyens européens transférées aux Etats-Unis, équivalentes aux normes en vigueur au sein de l’Union européenne. Notamment, avec le nouvel accord Privacy Shield, les autorités ont voulu pallier les carences relevées dans les principes de Safe Harbor et mettre un terme à la pratique de surveillance de masse par les services de sécurité américains, révélée au cours de l’affaire Snowden.

Les principales dispositions de l’accord Privacy Shield, qui diffèrent des principes de Safe Harbor,  peuvent être résumées ainsi :

- Les entreprises qui adhéreront au Privacy Shield seront soumises à des obligations strictes accompagnées de mécanismes de surveillance, afin de garantir le respect de leurs engagements ;

- L’accès aux données personnelles par les autorités américaines sera encadré et transparent. L’accès généralisé aux données est expressément interdit ;

- Plusieurs mécanismes de recours sont mis en place. En effet, l’un des problèmes soulevés avec les principes de Safe Harbor était l’absence de possibilité pour les citoyens européens de s’adresser à une instance aux Etats-Unis en cas de non-respect de ses engagements de protection des données par l’entreprise concernée. Désormais, les citoyens européens disposeront des moyens de recours suivants :
    (i) un mécanisme de médiation au sein du Département d’Etat (State Department). Ce service de médiation sera notamment indépendant des services de sécurité américains ;
    (ii) la possibilité de s’adresser aux entreprises américaines concernées adhérentes au Privacy Shield, en cas de contestation ou de problème sur leurs données personnelles. Celles-ci devront apporter une réponse dans un délai de 45 jours ;
    (iii) un mécanisme de règlement extrajudiciaire des litiges sera disponible, sans frais ;
    (iv) la possibilité de s'adresser à leur autorité de protection des données (telle que la CNIL). Chaque autorité de protection communiquera avec la Federal Trade Commission (FTC ou Commission fédérale du commerce) pour que les plaintes déposées soient examinées et réglées.     (v) Enfin, un mécanisme d’arbitrage sera disponible en dernier ressort.
Par ailleurs, les entreprises américaines pourront volontairement s’engager à se conformer aux conseils émis par les autorités de protection des données. En revanche, il s’agira d’une obligation pour les entreprises traitant des données de ressources humaines.

- Enfin, l’accord de Privacy Shield comprend un mécanisme de réexamen annuel conjoint entre la Commission européenne et le ministère américain du commerce, ainsi que des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Ce réexamen annuel aura pour objet de contrôler le fonctionnement du Privacy Shield, et notamment le respect des engagements concernant l'accès aux données à des fins d'ordre public et de sécurité nationale.

Pour autant, ce nouvel accord n’est pas encore applicable. La Commission européenne doit donner son avis sur la décision d’adéquation de cet accord, conformément à l’article 31 de la directive de 1995 sur la protection des données personnelles. (5) En effet, sans cette décision d’adéquation - qui signifie que la Commission estime que les données transférées en vertu du Privacy Shield sont considérées comme bénéficiant d’un niveau de protection adéquat au regard du droit européen, les entreprises européennes ne peuvent pas encore transférer de données personnelles à des entreprises américaines qui prétendraient se conformer à ces principes.

L’évaluation de l’accord de Privacy Shield sera réalisé par les membres du G29, au regard non seulement de la directive de 1995 sur la protection des données personnelles, mais également de la décision Schrems de la CJUE du 6 octobre 2015 (ayant invalidé le Safe Harbor), de la lettre du G29 à la Commission européenne sur le Safe Harbor du 10 Avril 2014, et plus généralement de la jurisprudence européenne sur les droits fondamentaux et du document de travail du G29 sur les transferts de données à caractère personnel vers des états tiers.

En attendant, les entreprises devant mettre en place des procédures de transfert de données vers les Etats-Unis peuvent utiliser d’autres moyens à leur disposition.


2. Les autres “outils” juridiques permettant le transfert de données personnelles vers les Etats-Unis

En attendant la publication de la décision d’adéquation du Privacy Shield de la Commission européenne, les entreprises européennes qui doivent transférer des données vers les Etats-Unis peuvent mettre en place des solutions juridiques alternatives. Pour rappel, trois solutions peuvent être mises en oeuvre : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types sont relativement simples à mettre en oeuvre, sous réserve d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. Toutefois, en cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de protection des données pour validation.

La solution du contrat, rédigé par les parties et adapté aux transferts de données envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, et le fait que ces contrats sont soumis à une demande d’autorisation à l’autorité de protection. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR (ou “règles d’entreprise contraignantes”) ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. Les BCR sont assez lourdes à mettre en place : plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de protection des données, avant de pouvoir être déployées dans le groupe. Cependant, une fois la procédure autorisée et déployée, ce système a le mérite de la stabilité.

Il convient de rappeler qu’en cas de transferts non autorisés de données vers un pays tiers, les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.


                                                               * * * * * * * * * * * *

(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) voir notre article “Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?” publié en novembre 2015

(3) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.

(4) Communiqué de la Commission européenne du 29 février 2016 “La Commission européenne présente le paquet «bouclier de protection des données UE-États-Unis»: des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données”

(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2016

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?

Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données

Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 


Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.

La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 
 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000

(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015