Vous êtes dans : Accueil > Tribunes libres >

Fidélité aux principes fondateurs de notre Loi Informatique et libertés

Me Marguerite Brac de La Perrière, LUNDI 04 DéCEMBRE 2017

Le règlement général sur la protection des données[(1) (RGPD), entré en vigueur le 27 avril 2016, sera applicable le 25 mai 2018.    

Le RGPD s’inscrit dans la droite lignée et le respect de la Loi informatique et libertés du 6 janvier 1978(2) modifiée en 2004 afin de transposer en droit interne la Directive européenne de 1995(3). En effet, il constitue une évolution - mais en aucun cas une révolution - de la réglementation relative à la protection des données personnelles dont les principes fondateurs ont été réaffirmés, bien que, le cas échéant, précisés ou rebaptisés :

  • les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée  ;
  • les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités, dans le respect du principe de limitation des finalités ;
  • les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, dans le respect du principe de minimisation des données ;
  • les données doivent être exactes, et si nécessaires tenues à jour, dans le respect du principe d’exactitude ;
  • les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités, dans le respect du principe de limitation de la conservation ;
  • les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques et organisationnelle appropriées, aux fins du respect de leur intégrité et confidentialité.

Le RGPD en 3 objectifs

Le RGPD a pour vocation générale, tenant compte de l’évolution rapide des technologies, d’offrir un cadre de la protection des données à caractère personnel plus solide et cohérent dans l’Union, et de l’assortir d’une application rigoureuse des règles afin de susciter la confiance des individus et le développement de l’économie numérique. 

De manière plus spécifique, le RGPD poursuit en particulier trois principaux objectifs 

  • placer les personnes concernées au cœur des traitements des données qui les concernent, et, pour ce faire :
  • au moment de la collecte des données ou, en cas de collecte indirecte, dans un délai raisonnable en fonction des circonstances propres à chaque cas, assurer une information plus complète, accessible, compréhensible, des personnes concernées sur les caractéristiques des traitements de leurs données, à commencer par la ou les finalités, mais aussi sur les risques, règles, garanties et droits liés au traitement, et modalités d'exercice de leurs droits.
  • renforcer les droits des personnes concernées, en facilitant leur exercice, en leur offrant de nouveaux droits tels que les droits à la portabilité, à la limitation, à l’oubli, et en assurant des réponses plus rapides de la part des responsables de traitement ;
  • Donner un rôle plus central au consentement de la personne concernée.
  • Responsabiliser les responsables de traitement, en sortant de la logique de formalités préalables, et mettant à la charge des responsables de traitement de nouvelles obligations dont la mise en œuvre résultera notamment de l’utilisation de nouveaux moyens et outils tels que le délégué à la protection des données (DPD ou DPO en anglais), le registre des traitements, l’analyse d’impact.

Crédibiliser les autorités :

  • en assurant une coopération entre Cnil européennes notamment au moyen du mécanisme de guichet unique, pour que chaque responsable de traitements conduits au sein de plusieurs états membres, puisse s’adresser à une seule autorité de contrôle chef de file, et
  • en renforçant leur pouvoir de sanctions dissuasives des infractions à la réglementation, sanctions qui peuvent désormais s’élever à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, ou 20 millions d’euros, le montant le plus élevé étant retenu.

Et concrètement ?

Le RGPD porte en germe près de 400 obligations dont le contenu est précisé dans 99 articles, contextualisés par 173 considérants.

Chaque responsable de traitement doit désormais réfléchir « protection des données » tant au moment de la détermination des moyens de traitement (dès la conception), qu’au moment du traitement lui-même. Il doit s’assurer que, par défaut, les données sont gérées avec le niveau de sécurité physique et logique approprié au traitement, et être en mesure, à tout moment, de documenter les mesures prises (mécanismes et procédures internes) afin de respecter les exigences du RGPD en matière d’« accountability ».

Le compte à rebours est donc largement entamé avant l’applicabilité, le 25 mai 2018, du RGPD. En effet, pour être en conformité, chaque responsable de traitement et sous-traitant doit avoir préalablement :

  • cartographié les traitements de données à caractère personnel qu’il réalise, et leurs caractéristiques,
  • aux fins de mettre en exergue les écarts entre celles-ci et les exigences du RGPD, et ce
  • pour identifier les actions à entreprendre, et y assortir un calendrier ;
  • pour, enfin, commencer à déployer les actions de mise en conformité.

Par ailleurs, le RGPD renvoie à un état de l’art sectoriel aux fins de déterminer les mesures à prendre pour garantir la sécurité d’un traitement en particulier.
En effet, le RGPD impose aux responsables de traitements, et sous-traitants, de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et ce, compte tenu de l’état des connaissances, des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes physiques. 

Ainsi, s’agissant du secteur de la santé, les mesures techniques et organisationnelles appropriées à mettre en œuvre relèvent :

  • de nombreux référentiels sectoriels tels que la PGSSI-S(4), le référentiel sur l’hébergement de données de santé ;
  • de recommandations issues de délibérations Cnil ;
  • de bonnes pratiques résultant de la doctrine d’autorités sectorielles telles que l’ASIP Santé ou le CNOM, outre celles des autorités non sectorielles telle que l’ANSSI ;
  • et enfin, de textes normatifs spécifiquement applicables.

Dans ce contexte où l’identification des mesures à prendre pour se mettre en conformité peut s’avérer particulièrement ardue, c’est naturellement que sont encouragées :

  • l’élaboration de codes de conduites sectoriels, dont le respect « peut servir d’élément pour démontrer le respect des obligations incombant au responsable de traitement », et
  • la mise en place de mécanismes de certification et de labels, « aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le (.) règlement ».

L'auteur 

Marguerite Brac de La Perrière
Avocate, directrice du département santé numérique
Lexing Alain Bensoussan Avocats
Contactez l'auteurhttps://www.alain-bensoussan.com/avocat/marguerite-brac-de-la-perriere/ 


(1) Règlement général sur la protection des données du 27 avril 2016

(2) Loi 78-17 du 6 janvier 1978 modifiée

(3) Directive européenne n°95/46/CE du 24 octobre 1995

(4) PGSSI-S (politique-generale-de-securite-des-systemes-d-information-de-sante)

#RGPD#protection des données#sécurité#cnil#pgssi#