Le RGPD • Interprétatif ?

Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 14 octobre 2020 • LinkedIn

Au cours de nos formations, on nous interroge souvent sur le caractère « interprétatif » du RGPD. La réponse est clairement un gros OUI.

Il suffit de lire certains articles/considérants du RGPD pour s’en apercevoir.

Considérant 47 (intérêt légitime)

[…] En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur.

Article 24 (responsabilité)

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

Article 25 (protection des données dès la conception et protection des données par défaut)

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

Article 32 (sécurité)

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins [...]

Article 35 (AIPD)

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

[…]

3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a.   l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;

b.   le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c.   la surveillance systématique à grande échelle d'une zone accessible au public.

>> La « clarté » de cet article a valu au G29 de publier des lignes directrices (WP248, plus générales sur les AIPD) ! Et l’avis du G29 est … un avis.

Article 37 (DPO)

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

a.   le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;

b.   les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c.   les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

>> La « clarté » de cet article a également valu au G29 de publier des lignes directrices (WP243).

Voilà comment ce texte explique l’expression « grande échelle ».

En effet, il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations. Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement «à grande échelle» pour certains types d’activités de traitement courantes. Le G29 prévoit également de contribuer à cette évolution, en partageant et faisant connaître des exemples de seuils pertinents pour la désignation d’un DPD.

En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :

  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;

  • le volume de données et/ou le spectre des données traitées;

  • la durée, ou la permanence, des activités de traitement des données;

  • l’étendue géographique de l’activité de traitement.

>> Exemple de traitement à grande échelle : traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités.

>> Exemple ne constituant pas un traitement à grande échelle : traitement, par un médecin exerçant à titre individuel, des données de ses patients.

Un médecin libéral n’a t’il pas, à son niveau et proportionnellement, autant de patients qu’un hôpital ?

La sous-traitance

Les notions de RT/ST (définir si un prestataire est ST, RT pour son compte ou RT conjoint) sont, à notre sens, un des points les plus complexes du RGPD.

Toutes les autorités de contrôle ont « planché » sur le sujet. Un bel exemple est la liste de l’ICO.

Exemples :

  • Un transporteur à qui on confie des colis (et les adresses de particuliers à livrer) n’est PAS un ST. Sa « matière première » est le colis, pas la donnée qui n’est qu’un « élément utile ».

  • Idem pour une banque à qui on confie un fichier pour virer les salaires. La banque est son propre RT, soumise à ses propres règlementations. Bonne chance à qui voudrait faire signer un contrat de ST à une banque ou lui demander de supprimer les données après la prestation.

La doctrine de la CNIL

On peut parfois trouver la doctrine de la CNIL « poussée ».

Par exemple, l’article 25 sur le Privacy by Design dispose « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées ».

Contrairement à l’article 32 sur la sécurité qui, lui, cite clairement le RT et le ST.

Le RGPD ne dit donc pas que le Privacy by Design s’applique aux ST mais la CNIL le dit (l’écrit).

Certification des compétences du DPO

Une des questions de l’un des questionnaires de l’AFNOR porte sur les violations de données et l’ordre dans lequel faire les choses. Parmi les 4 réponses il y a quelque chose qui ressemble à :

    •    Notification CNIL puis communication aux personnes concernées

    •    Communication aux personnes concernées puis notification CNIL

Je maintiens que (dans le cas où les 2 sont à faire bien sûr) alors il n’y a pas de bonne réponse. Tout est affaire de contexte (un mot souvent utilisé dans le RGPD, cf. ci-dessus) ou encore de gravité (idem).

La bonne réponse (la réponse attendue) est Notification CNIL puis communication aux personnes concernées. Pourquoi ? Probablement parce que le RGPD parle d’abord de la notification à la CNIL (33) puis de la communication aux personnes concernées (34).

Le DPO

Le métier de DPO est justement de savoir contextualiser.

Un maître mot selon nous : pragmatisme.

Merci !


Votre demande nous a bien été envoyée

Merci !


Votre demande nous a bien été envoyée