<< Retour aux articles
Image

La mise en œuvre du RGPD au prisme du risque juridique

Tech&droit - Données
03/10/2017
La mise en conformité totale des entreprises et des administrations au nouveau règlement européen s’avère délicate en raison de la marge importante d’appréciation laissée aux autorités de contrôle et aux États membres ; ces derniers n’ayant pas encore publié ou adopté le cadre juridique définitif. Dans ces conditions quelle démarche doivent adopter les responsables de traitement dans les mois qui viennent ? L'analyse de Fabrice Mattati, ingénieur général des Mines, docteur en droit, chercheur associé à l’Université Paris-I -Panthéon-Sorbonne, directeur exécutif du programme Data protection management de Télécom École de management, et Francis Mordelet, juriste en droit des nouvelles technologies spécialisé en protection des données personnelles.

 
Le 25 mai 2018 s’appliquera le règlement européen n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, RGPD). Ce texte ambitieux, qui abroge la directive de 1995[2] et donc une grande partie de notre actuelle loi « Informatique et libertés », impose aux responsables de traitement de données à caractère personnel, et notamment aux entreprises et aux administrations, de nouvelles obligations ainsi qu’une modification profonde de leur organisation et de leurs procédures[3]. Rappelons que les données à caractère personnel sont définies par la loi n° 78-17 comme toute information relative à une personne physique identifiée ou identifiable. Dans notre vie quotidienne, cela recouvre aussi bien l’identité, l’adresse, le numéro de téléphone, que des photos, la liste de nos contacts mail ou téléphoniques, notre géolocalisation, nos habitudes de consommation ou de navigation web, nos opinions, notre état de santé… Ces données sont ainsi omniprésentes dans les traitements des entreprises et des administrations. La mise en conformité totale de ces dernières au nouveau règlement représente par conséquent un coût important ; en outre elle est rendue malaisée par le fait que le règlement laisse une marge importante d’appréciation aux autorités de contrôle et aux États membres, et que ceux-ci, à quelques mois de l’échéance, n’ont pas encore publié ou adopté le cadre juridique définitif (I). Les responsables de traitement ne peuvent donc pas raisonnablement, pour des raisons de coût mais aussi de délais, espérer se mettre en conformité totale pour le 25 mai 2018. Ils ont alors intérêt à raisonner en termes de risque juridique, pour analyser leur situation, recenser leurs points de non-conformité, évaluer le risque induit, et définir des priorités de mise en conformité. Leur plan d’action visera ainsi, non une conformité totale, mais une minimisation du risque juridique. Il s’agit là d’une réaction pragmatique à une injonction irréalisable (II).
 
I. – LA MISE EN ŒUVRE DU RGPD, UN DÉFI CONSIDÉRABLE
Constitué de 99 articles et de 173 considérants interprétatifs, le RGPD a un impact important sur les procédures de gestion des données personnelles des entreprises et des administrations, ainsi que sur l’organisation qu’elles devront mettre en place. Un grand nombre d’entre elles seront ainsi obligées de créer un poste de délégué à la protection des données. Ces adaptations représentent un coût important (A). Par ailleurs, le RGPD n’est pas un texte complet par lui-même. Il prévoit en de nombreux endroits l’intervention obligatoire ou facultative du droit des États membres. Sa rédaction parfois assez elliptique nécessite également la publication de recommandations par les autorités de contrôle afin de pouvoir être traduite dans les procédures. Enfin, il rend impérative au niveau national une modification de la loi « Informatique et libertés », pour abroger les dispositions qui lui sont contraires, adopter les éventuelles options nationales prévues au RGPD, et faire le lien entre le droit national (par exemple l’organisation de la Cnil) et le droit européen. Or en l’absence de ces éléments, entreprises et administrations sont dans l’incapacité de prétendre à une conformité totale (B).
 
A. – Les nouvelles obligations issues du RGPD et leur coût
Le RGPD conserve les grands principes et les grands droits issus de la directive n° 95/46. Il renforce toutefois certains des droits des personnes concernées et certains des devoirs des responsables de traitement.
Ainsi, un principe dit d’« accountability » remplace désormais les formalités préalables auprès de la Cnil. Il oblige les responsables de traitement à prendre en compte les contraintes de protection des données personnelles dès la conception des traitements, à documenter ces derniers et à tenir un registre récapitulant toutes les données traitées[4]. En cas de traitement fondé sur le consentement, le responsable devra être en mesure de fournir la preuve que la personne concernée a bien consenti[5].
Si le traitement envisagé est susceptible de faire courir un risque élevé pour les intérêts des personnes concernées, le responsable devra, avant la mise en œuvre, effectuer une analyse d’impact. Cette analyse sera notamment obligatoire en cas de profilage de masse préalable à des décisions avec effet juridique ou avec un enjeu important pour les personnes concernées, en cas de traitement de données dites « sensibles » (santé, opinions politiques ou religieuses, origine ethnique…) ou des données relatives aux infractions pénales, ou en cas de surveillance de l’espace public…[6]
Toute violation de la sécurité des données, susceptible d’affecter les droits et les intérêts des personnes concernées, devra être notifiée à la Cnil sous 72 heures. Si l’impact de cette violation sur les personnes concernées est potentiellement important, le responsable devra également prévenir ces dernières[7].
Malgré certaines proclamations enthousiastes, le RGPD crée finalement peu de nouveaux droits. Mentionnons toutefois le droit à la portabilité : dans certains cas, la personne concernée peut exiger que lui soient rendues sous un format exploitable (ou transférées à un autre responsable) les données qu’elle avait communiquées pour traitement[8].
Afin de mettre en œuvre ces mesures, la nomination d’un délégué à la protection des données est recommandée. Cette nomination sera d’ailleurs obligatoire dans un certain nombre de cas : pour les autorités publiques, ou si le traitement consiste en un suivi systématique des individus à grande échelle, ou s’il s’agit des données « sensibles » ou concernant les infractions pénales[9]. La fonction de délégué, nouvelle dans l’organigramme de l’entreprise, sera à la fois stratégique et opérationnelle ; sa mission consistera à conseiller en amont le responsable sur l’observation du règlement, à contrôler la conformité des traitements de l’organisme au règlement, et à servir d’interlocuteur à la Cnil.
Concrètement, entreprises et administrations devront désigner des personnes responsables du chantier de mise en conformité, recenser l’ensemble de leurs traitements de données personnelles, qui se comptent par centaines, puis analyser les risques qui en découlent pour les personnes concernées. En fonction de ces risques, et pour les diminuer, elles devront adopter des modifications de leurs processus, mais aussi de leur système informatique, ce qui a un coût. Une étude évalue à 30 millions d’euros en moyenne, pour un groupe du CAC 40, le coût d’une telle mise en conformité[10].
 
B. – L’incertitude persistante sur le cadre juridique
Le RGPD a été adopté le 27 avril 2016, pour une entrée en application au 25 mai 2018, mais les responsables de traitement n’ont pas réellement disposé de deux ans pour se mettre en conformité. En effet, le règlement à lui seul ne représente pas la totalité du droit applicable. Par conséquent, les responsables ne peuvent pas encore connaître l’intégralité de leurs obligations.
En droit européen, un règlement est directement applicable et, à la différence d’une directive, ne nécessite pas de transposition en droit national. Mais le RGPD résulte de nombreux compromis, et contient plus d’une cinquantaine de renvois à des choix nationaux, laissant ainsi une importante marge de manœuvre aux États membres[11]. Par exemple, l’article 8 du RGPD sur le consentement des mineurs pour les services de la société de l’information (les réseaux sociaux notamment) prévoit que l’autorisation des parents n’est plus nécessaire à partir de l’âge de 16 ans. Les États membres peuvent abaisser cet âge jusqu’à 13 ans. Autre exemple, en ce qui concerne les actions collectives, l’article 80 du RGPD ne généralise que l’action d’organismes de défense des droits et libertés, pour déposer une réclamation sur mandat des personnes concernées. La possibilité pour des organismes de défense d’agir sans mandat, ou de demander réparation des préjudices, est laissée à l’appréciation du droit national, au risque d’introduire entre les États membres des disparités dans la protection des citoyens.
Le RGPD contient également de nombreuses notions qui devront être précisées. Par exemple, la notion de « risque élevé », qui sert de seuil à l’obligation de mener une analyse d’impact et de consulter la Cnil préalablement à la mise en œuvre du traitement, devra être traduite de manière opérationnelle pour les entreprises. La notion de « grande échelle », qui déclenche l’obligation de nommer un délégué à la protection des données, nécessite également des éclaircissements. Les Cnil européennes doivent publier d’ici à mai 2018 des recommandations et des lignes directrices pour éclairer les responsables de traitement.
Enfin, la loi « Informatique et libertés » devra être modifiée, à la fois pour abroger les dispositions contraires au règlement, pour adopter les éventuelles options nationales, et pour « faire la couture » entre les éléments restants de la loi et le RGPD. Les articles 226-16 et suivants du Code pénal, qui répriment les violations des dispositions de cette loi, devront également être mis à jour, ne serait-ce que pour harmoniser les peines avec les sanctions du règlement.
Pour toutes ces raisons, la préparation de la mise en conformité des entreprises et des administrations est retardée par les incertitudes sur le futur cadre juridique.
 
II. – L’APPROCHE PAR LE RISQUE JURIDIQUE, UNE RÉPONSE PRAGMATIQUE
Le risque juridique est une notion clé de la pratique du droit au sein des entreprises. Toutefois il n’est pas clairement défini, ni par les praticiens, ni par la doctrine. Cette difficulté est probablement due à l’aspect transdisciplinaire du risque[12]. En effet, il s’agit d’une notion dérivée de la gestion d’entreprise, qui permet de prendre des décisions lorsqu’il n’y a pas de solution pratique permettant une totale conformité légale. Cette notion est difficile à théoriser de manière générale, toutefois elle s’applique bien à la protection des données personnelles (A). Sur la base de ce risque juridique, il sera alors possible d’exposer les points clés d’un plan d’action de mise en conformité des entreprises au RGPD (B).
 
A. – Le risque juridique appliqué à la protection des données personnelles
Le risque juridique peut être défini comme « la conjonction d’une norme juridique et d’un événement, l’un et/ou l’autre étant marqué(s) par un certain degré d’incertitude. Cette rencontre entre une norme juridique et un événement dans un contexte d’incertitude va générer des conséquences susceptibles d’affecter la valeur de l’entreprise »[13]. Il s’agit donc du rapport entre une norme juridique, et l’événement factuel ou légal qui engendrera un effet négatif sur l’entreprise. Cet effet négatif pourra être quantifié sur la base du niveau de risque acceptable établi par chaque entreprise : faible, moyen ou élevé[14].
L’évaluation d’un risque s’obtient en croisant les enjeux et l’incertitude qui y sont liés. Par enjeu, il faut comprendre les sanctions, mais aussi la possibilité de nuire à l’image de l’entreprise ou le fait de devoir arrêter son activité pour une certaine période, du fait de mesures conservatoires par exemple. Quant à l’incertitude, elle peut concerner le contenu de la norme juridique, son évolution ou son interprétation, mais également la conformité de l’entreprise à cette norme juridique. Donc plus l’enjeu ou l’incertitude seront importants, plus le risque sera élevé. Autrement dit, le risque augmente en fonction de l’incertitude concernant l’application d’une règle de droit, mais aussi lorsqu’un événement qui va à l’encontre des obligations légales a plus de chances de se produire. Le rapport de ces deux axes permet d’évaluer le risque (voir le schéma).
Au regard de la protection des données personnelles, il est possible d’identifier plusieurs risques juridiques. Le risque juridique financier correspond aux sanctions pécuniaires. Le risque juridique pénal correspond aux peines de prison et aux sanctions pénales. Le risque juridique réputationnel représente l’impact que peut avoir une sanction sur l’image d’une entreprise (il est analogue à ce que serait un risque politique pour une administration). Le risque juridique fonctionnel correspond quant à lui à la possibilité pour une autorité de contrôle de demander l’arrêt d’un traitement, et donc la cessation d’une activité.
Il est important de distinguer ces risques juridiques du « risque pour les droits et libertés des personnes physiques » décrit dans le RGPD[15]. Comme son nom l’indique, il s’agit dans ce dernier cas d’un risque pour les personnes et non d’un risque pour les entreprises. Toutefois, ce risque, aussi appelé risque « privacy », est le corollaire du risque financier puisqu’il permet d’évaluer la gravité des violations du RGPD, et donc de déterminer le montant des sanctions, comme le prévoit le 2 de l’article 83 du RGPD.
De plus, le risque juridique est une notion souple et adaptable. En effet, libre aux entreprises d’établir leur propre seuil de risque juridique acceptable. Les entreprises pourront décider de mettre l’accent sur certains risques juridiques. Ainsi, si une entreprise veut se prévenir d’une mauvaise image, elle devra mettre en avant le risque juridique réputationnel. Au contraire, une entreprise au faible capital pourra préférer minimiser le risque juridique financier. Chaque entreprise, au regard de ses objectifs commerciaux et légaux, pourra donc déterminer une politique de mise en conformité légale grâce à l’indicateur de risque juridique.
Le risque juridique permet ainsi de quantifier l’impact d’une réglementation sur une entreprise. Il permet par la même occasion de prendre des décisions quant à l’application de la réglementation.
 
B. – L’application du risque juridique à la mise en œuvre du RGPD
Afin de pouvoir prendre des décisions sur la base du risque juridique, il est nécessaire d’évaluer l’ensemble des types de risques juridiques qui peuvent impacter l’entreprise. Certes, la Cnil propose une méthode de « préparation au RGPD » en six étapes[16], néanmoins il ne s’agit là que d’une approche unirisque, sur la base du seul risque « privacy ». La Cnil se concentre sur les personnes concernées, et rejoint l’approche de protection des droits fondamentaux soutenue par l’Union européenne. Or ce n’est pas la priorité naturelle des entreprises, qui auront tendance à privilégier une autre méthode pour la mise en œuvre du RGPD.
Il est important dans un premier temps pour les entreprises d’effectuer une cartographie exhaustive des traitements mais aussi des données. Il s’agit de référencer l’ensemble des traitements, des données traitées, des finalités, des acteurs du traitement (responsables de traitement, coresponsables, sous-traitants et destinataires), des origines des données, des durées de conservation, des personnes concernées ainsi que des flux s’il en existe. Pour les entreprises qui ont déjà un CIL, son registre pourra être repris en grande partie. Pour les autres, il faudra effectuer cette cartographie, et donc construire un nouveau registre. Cette cartographie des traitements permettra d’une part d’initialiser le registre des traitements exigé par le RGPD, et sera d’autre part un outil de conformité essentiel par la suite. En effet, en centralisant toutes les informations relatives à la protection des données personnelles, il sera possible d’identifier les éléments pouvant générer un risque juridique élevé pour l’entreprise. Par exemple, des transferts de données qui n’avaient pas été identifiés précédemment, ou des contrats de sous-traitance qui devront être modifiés au regard des nouvelles obligations du RGPD.
Afin d’obtenir une cartographie exhaustive des traitements, il faudra s’attacher à sensibiliser les salariés des entreprises. Ce point est extrêmement important à plusieurs niveaux. Concernant les dirigeants, il s’agira de les sensibiliser à la protection des données pour obtenir les moyens financiers et humains indispensables à la mise en conformité avec le RGPD. Le risque juridique pourra être un argument les encourageant à lancer un plan d’action. Une sensibilisation des informaticiens permettra une meilleure compréhension du privacy by design et du privacy by default[17], ainsi que de la notion de sécurité « by default »[18]. Pour les autres salariés, l’enjeu consiste à les imprégner des notions de base de la protection des données, afin qu’ils puissent aider efficacement à la cartographie des données. En effet, ce recensement ne pourra pas être effectué par une petite équipe de juristes ou d’informaticiens, et la participation de l’ensemble des métiers, au plus proche du terrain opérationnel, sera requise pour réaliser la cartographie des traitements relevant de leur périmètre.
À la suite de cette cartographie, il faudra évaluer chacun des risques juridiques identifiés, puis les hiérarchiser, afin de rationaliser la mise en conformité de l’entreprise au RGPD. Il s’agit ici d’identifier les actions prioritaires à mener. La Cnil propose d’utiliser comme critère le « risque que font peser [les] traitements sur les libertés des personnes concernées »[19]. Toutefois, les entreprises, par pragmatisme économique, sont susceptibles d’adopter une approche multirisque, et de compléter le critère de la Cnil en y ajoutant les différents risques juridiques présentés plus haut. Au regard de l’ensemble des risques juridiques et de leur niveau, les entreprises pourront prioriser les actions à mener. Certaines tâches seront faciles à mettre en œuvre et permettront aux entreprises de progresser rapidement dans leur mise en conformité, alors que d’autres tâches seront longues et coûteuses et devront être étalées dans le temps, nécessitant une planification et des arbitrages budgétaires.
Les premiers éléments à prendre en compte lors de l’analyse des risques juridiques issus du RGPD sont bien sûr ceux pouvant présenter un risque juridique élevé.
Du point de vue du risque juridique financier, il s’agira des points de conformité pouvant être soumis aux sanctions financières les plus importantes, de 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial, donc les risques présentant le plus fort impact sur la vie privée des personnes. Si jusqu’en 2016, alors que le montant des sanctions était plafonné en France à 150 000 euros, certaines entreprises fort riches ont pu ignorer délibérément ce risque financier, voire l’intégrer cyniquement à leur modèle économique parmi les coûts inévitables, ce n’est désormais plus possible au regard des montants en jeu.
Du point de vue du risque pénal, il s’agira des obligations entraînant les sanctions et peines les plus élevées au regard du Code pénal, celles qui peuvent impliquer une peine de prison pour les représentants légaux de l’entreprise. Plus qu’une simple lecture théorique du Code pénal, une analyse de la jurisprudence permettra d’estimer la probabilité et le niveau des sanctions pénales réellement encourues.
Du point de vue du risque juridique fonctionnel, il s’agira des éléments pouvant amener l’autorité de contrôle à bloquer un traitement, donc, généralement des grands principes de la protection des données à caractère personnel[20].
Du point de vue réputationnel, il s’agira des éléments pouvant avoir la plus grande résonnance auprès des consommateurs, des clients ou du grand public. De manière générale, il s’agira des principes de finalité du traitement, d’information ou de consentement des personnes, ou des obligations relatives aux droits des personnes[21].
En fonction des entreprises, de leurs secteurs d’activités, de leurs clients, les obligations à prioriser varieront. Par exemple, une entreprise comme un sous-traitant technique, qui n’a pas de clients personnes physiques et qui n’entre en relation qu’avec d’autres entreprises, va peut-être inscrire en priorité la renégociation de ses contrats sur la base des nouvelles obligations relatives aux relations entre responsables de traitement et sous-traitants. Au contraire, une entreprise qui a de nombreux clients personnes physiques se focalisera probablement sur l’information des personnes et sur les procédures relatives aux droits des personnes. Chaque entreprise va évaluer et quantifier l’impact du RGPD sur ses activités et, en fonction des différents risques juridiques, hiérarchiser de manière pragmatique la mise en place des obligations du RGPD. 
La notion de « risque juridique » aura également vocation à servir d’indicateur pour le maintien à long terme de la conformité au RGPD. En effet, les principaux risques juridiques pouvant impacter l’entreprise ayant été identifiés, l’entreprise sera en capacité de définir ses priorités, d’adopter un plan d’action, et de rédiger une politique interne en matière de données personnelles. Les risques juridiques et la politique interne seront mis à jour à l’occasion de chaque évolution législative ou factuelle.
Cette approche par le risque juridique est controversée car elle peut apparaître comme une méthode qui permet de contourner le droit, ou tout au moins de minimiser le risque issu d’une application incomplète du droit. Le RGPD étant un règlement compliqué et coûteux à mettre en œuvre, cette approche pragmatique sera toutefois vraisemblablement celle utilisée par de nombreuses entreprises. Une conformité totale au RGPD étant quasiment impossible en pratique d’ici au 25 mai 2018, les entreprises n’auront d’autre solution que de minimiser leur exposition, et de porter préférentiellement leurs efforts sur les risques identifiés comme majeurs. Il y a toutefois de fortes chances pour que, finalement, apparaissent comme risques majeurs ceux risquant de susciter une action vigoureuse de la Cnil ou un scandale auprès des personnes concernées, pour cause de violation grave des obligations du RGPD : l’analyse par le risque juridique rejoindrait alors l’analyse par le risque pour les droits des personnes préconisée par la Cnil. Quant aux non-conformités résiduelles, elles seront traitées par la suite, voire délibérément ignorées par les entreprises si le risque est jugé négligeable. Cette situation n’est sans doute pas satisfaisante sur le plan théorique, mais elle est la plus probable.
 
[1] Le dernier ouvrage de l’auteur, Le droit des données personnelles (2e éd., Eyrolles, 2016), fait le point des avancées récentes sur ce sujet. (N.d.R.)
[2] Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
[3] Pour plus de détails sur ce texte, voir Mattatia F., Synthèse du futur règlement européen sur les données personnelles : Partie I in RLDI 2016/126, n° 3985 et Partie II in RLDI 2016/127, n° 4011.
[4] RGPD, art. 30.
[5] RGPD, art. 7.
[6] RGPD, art. 35.
[7] RGPD, art. 33 et 34.
[8] RGPD, art. 20.
[9] RGPD,art. 37.
[10] <://sia-partners.com/node/683513>.
[11] Le Dain A.-Y., Gosselin P., Rapport d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, n° 4544, Ass. nat., 22 févr. 2017.
[12] Ferrier D. (ss dir.), La gestion du risque juridique dans l’entreprise, Étude de Fidal menée pour l’AMRAE, 2012. 
[13] Collard C., Le risque juridique existe-t-il ?, Cahiers de droit de l’entreprise n° 1, janvier 2008, dossier 3.
[14] Chaque entreprise peut déterminer sa propre échelle de risque. Ex. : faible, moyen, élevé ; 1, 2, 3, 4, 5 ; très faible, faible, moyen, élevé, etc.
[15] RGPD, consid. 74 et 75.
[16] Cnil, Comment se préparer au règlement européen sur la protection des données ?, 15 mars 2017 (<www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees>).
[17] RGPD, art. 25.
[18] RGPD, art. 32.
[19] Cnil, Prioriser les actions à mener, 2 mars 2017 (<www.cnil.fr/fr/prioriser-les-actions-mener>).
[20] RGPD, art. 5 à 11.
[21] RGPD, art. 12 à 23. 
Source : Actualités du droit