shutterstock_432823888

L’exigence de sécurité du traitement des données personnelles

Nous sommes dans l’année de l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD) qui entre en vigueur le 25 mai 2018.
Les personnes opérant un traitement de données personnelles doivent se mettre en conformité avec le RGPD, et plus particulièrement avec les exigences en matière de sécurité.
En effet, avec le développement de l’économie numérique et des nouvelles technologies de l’information et de la communication, le RGPD impose que la sécurité devienne un principe essentiel de la protection des données.

Pourtant, cette exigence de sécurité n’est pas nouvelle

Elle découle initialement de l’article 34 de la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 portant sur la protection des données personnelles.
Au regard de cet article, le responsable de traitement est tenu de prendre toutes les précautions utiles pour préserver la sécurité des données personnelles et notamment empêcher que les données soient endommagées, déformées ou que des tiers y aient accès sans autorisation.
La sanction pécuniaire encourue en cas de manquement notamment à cette obligation de sécurité peut atteindre 3 millions d’euros (article 47 de la loi Informatique et Libertés) et la sanction pénale peut aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (article 226-17 du Code pénal).
En réalité, jusqu’ici peu de sanctions pécuniaires pour manquement à l’obligation de sécurité ont été prononcées par la Commission Nationale de l’Informatique (CNIL) et peu d’affaires sont portées devant les juridictions répressives.
Toutefois, depuis le projet du RGPD, la CNIL semble appliquer avec davantage de sévérité les sanctions administratives.
À titre d’exemple, la société HERTZ a été condamnée à une amende 40 000 euros, sur le fondement de l’article 34 de la loi Informatique et Libertés par la CNIL, au motif que l’ensemble des données personnelles des utilisateurs de la plateforme HERTZ de location de véhicules entre particuliers était librement accessible (Délibération n°SAN-2017-010 du 18 juillet 2017).
Pour des faits similaires, un avertissement avait été prononcé contre OUICAR (Délibération n°SAN-2017-011 du 20 juillet 2017).
Par ailleurs, une amende de 100 000 euros a été prononcée à l’encontre de la société DARTY pour ne pas avoir sécurisé les données des clients qui avaient contacté le service après-vente par l’intermédiaire d’un formulaire de contact en ligne (Délibération n°SAN-2018-001 du 8 janvier 2018).
Ces différences s’expliquent par la proportionnalité de la sanction « à la gravité du manquement commis et aux avantages tirés de ce manquement » prévue dans le texte initial. Le RGPD suit la même logique, selon 11 critères répertoriés (article 83 2 du RGPD).
Ce qui change avec le RGPD
Le RGPD punit avec encore plus de sévérité les manquements à la législation sur les données personnelles. L’article 83 du RGPD prévoit une sanction administrative pouvant s’élever à 20 millions ou représentant 4% du chiffre d’affait annuel mondial.
Ce qui change alors avec le RGPD, mise à part la sévérité des sanctions, c’est l’alignement de l’obligation de sécurité au rang des principes clés conditionnant la validité même du traitement des données personnelles et l’incitation au développement d’une vraie politique de la protection des données personnelles (article 5 f du RGPD).
La sécurité devra être prise en considération, en amont et à chaque étape de toute opération comprenant un traitement de données personnelles. C’est ce qui est nommé le « privacy by design », autrement dit, la sécurité dès la conception d’un produit, la mise en place d’un service ou d’une organisation interne.
En supprimant le régime de la déclaration préalable, le RGPD renvoie au responsable de traitement la responsabilité d’évaluer lui-même le degré de sécurité qu’exigerait les opérations de traitement qu’il réalise et de prendre les mesures nécessaires et appropriées pour sécuriser au plus haut niveau les données personnelles. C’est le principe d’« accountability ».
Par exemple, un fichier client reprenant uniquement les nom et prénom de la personne concernée ne requiert pas le même degré de sécurité qu’un fichier contenant des données sensibles, telles que celles relatives à la santé.

Au-delà des aspects juridiques, la sécurité des données est un enjeu économique

Les entreprises ont tout intérêt à assurer la sécurité des données personnelles, et ce non seulement pour se mettre en conformité avec la loi et éviter des sanctions pécuniaires administratives et pénales, mais également pour repenser la sécurité et la confidentialité de leur propre patrimoine informationnel devenu souvent objet de pillage ou de chantage par des cybercriminels ou simplement convoité par des concurrents.
Par ailleurs, au nom du principe de la transparence et de la traçabilité prévu par le RGPD, le responsable de traitement devra également démontrer par des mécanismes et des mesures internes qu’il met en œuvre l’exigence de sécurité du traitement des données personnelles.
Prochain article : la mise en œuvre de l’exigence de sécurité du traitement des données personnelles.

Valérie Sédallian, avocat au Barreau de Paris. N’hésitez pas à nous contacter.