RGPD : de quels risques parlons-nous ?

A partir de mai 2018, en cas de non-conformité au RGPD, la CNIL – l’autorité compétente en France – pourra infliger des sanctions financières très lourdes aux entreprises. Cette réalité ne doit pas occulter ce qui fait la raison d’être du RGPD : la protection des individus contre les atteintes à leurs droits qui peuvent être occasionnées par des manipulations sans contrôle et sans limite des données qui les concernent.

Le Règlement Général pour la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. À compter de cette date, toutes les entreprises qui collectent et/ou traitent des données personnelles liées à des résidents européens, devront s’y conformer. Pour les entreprises qui seraient tentées de le faire partiellement voire pas du tout, le RGPD prévoit un ensemble de sanctions applicables aux donneurs d’ordre comme aux sous-traitants, qui ne manqueront pas de dissuader les plus réfractaires. En outre il est sans doute nécessaire de rappeler le but du RGPD : réduire les risques en matière de droits fondamentaux que le traitement des données personnelles fait peser sur les individus. Emmanuel CAUVIN, consultant RGPD, fondateur de Data Protection Circle, nous éclaire sur la nature de ces différents risques.

Des sanctions financières lourdes

Les hypothèses de non-conformité au RGPD sont nombreuses : un manquement à l’obligation de tenir un Registre des traitements, un défaut d’information des personnes concernées sur les traitements de leurs données, un défaut de base légale, une utilisation des données pour d’autres finalités que les finalités documentées, un manquement à l’obligation de sécuriser les données, etc.

Une entreprise ou un sous-traitant qui seraient signalés pour l’une de ces hypothèses encourent des risques classiques de sanctions financières. Celles-ci se composent de deux volets : les sanctions administratives d’une part et la réparation des préjudices subis par les personnes concernées d’autre part.

Les sanctions administratives peuvent grimper jusqu’à 4% du chiffre d’affaire global. Elles pourront être infligées par la CNIL qui dispose d’une grande liberté, sous la seule réserve de ne pas dépasser ce plafond de 4%.

Les sanctions administratives peuvent grimper jusqu’à 4% du chiffre d’affaire global.

À cela peut s’ajouter la réparation du préjudice de toute personne victime d’une violation du Règlement. A ce titre, c’est le tribunal qui statuera. L’article 82 (3) du RGPD instaure une quasi-inversion de la charge de la preuve en faveur des victimes : « un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ». Cela crée une quasi présomption de responsabilité, à l’inverse du principe classique qui veut que le demandeur d’action en réparation, doit prouver la faute de son adversaire. Dans le contexte du RGPD, c’est donc l’entreprise mise en cause qui devra prouver qu’elle n’est pas coupable.

Bilan : le risque financier est lourd pour les entreprises non-conformes et les procédures devant les tribunaux risquent d’être particulièrement ardues.

Un arsenal de mesures correctrices pédagogiques

Le RGPD prévoit également des “mesures correctrices”, rarement commentées dans la presse malgré la multitude d’articles parus sur le RGPD depuis 2016. Pourtant, il y a là un arsenal punitif dont on peut prédire qu’il sera pleinement exploité par la CNIL du fait de son aspect concret et pédagogique. En effet, plutôt que de couler une entreprise par une sanction financière lourde et immédiate, on peut parier que la CNIL préfèrera infliger ce type de mesures rectificatrices permettant de créer un effet d’exemple dans l’ensemble du secteur considéré.

Plutôt que de couler une entreprise par une sanction financière lourde et immédiate, on peut parier que la CNIL préfèrera infliger ce type de mesures rectificatrices permettant de créer un effet d’exemple dans l’ensemble du secteur considéré.

La CNIL pourra ainsi imposer une limitation temporaire ou définitive – voire une interdiction – d’un traitement non conforme. La « limitation du traitement » est définie comme le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur. La concrétisation d’une telle mesure reste pleine d’incertitude sur le plan informatique et les premières décisions seront sans doute riches d’enseignement. La CNIL pourra également ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers non Membre de l’Union Européenne, si ce flux n’est pas encadré conformément à ce qui est prévu dans le RGPD. Enfin, elle pourra ordonner au responsable du traitement ou au sous-traitant de mettre ses traitements en conformité avec le RGPD, de manière précise et dans un délai déterminé : insertion des mentions légales obligatoires, respect des conditions légales en cas de recueil du consentement, renforcement des mesures de sécurité, instauration de restrictions d’accès aux données personnelles au sein de l’entreprise, etc.

Plutôt que de sortir le portefeuille, les directions des entreprises condamnées à des mesures correctrices devront donc mettre les mains dans le cambouis. Il leur faudra corriger leurs systèmes de l’intérieur pour les mettre en conformité, dans une démarche que l’on pourrait comparer à des travaux d’intérêt général transposés à l’univers de la data.

Abordons maintenant un tout autre type de risque.

Toute donnée personnelle crée un risque pour l’individu

Le RGPD repose sur le principe selon lequel toute donnée personnelle – c’est à dire toute donnée informatique qui se rapporte à un individu – crée un risque. En protégeant ces données, le RGPD cherche à protéger les personnes. Celles-ci sont des victimes en puissance : tout repose sur cette idée.

Le RGPD cherche à protéger les personnes. Celles-ci sont des victimes en puissance : tout repose sur cette idée.

À titre d’exemple, voici une liste non-exhaustive des risques que le traitement des données personnelles fait peser sur les droits fondamentaux des individus : la discrimination, le vol ou l’usurpation d’identité, la perte de confidentialité de données protégées par le secret professionnel ou encore la perte de confidentialité lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les appartenances spirituelles, syndicales, etc. On peut également ajouter le risque de fraude au président qui augmente à mesure que des informations personnelles relatives aux dirigeants d’entreprises se trouvent dévoilées à des tiers non autorisés. Autrement dit, la donnée personnelle, si elle n’est pas confinée et sécurisée, peut être une matière dangereuse !

En vérité, à l’heure actuelle, ces risques ne sont pas encore parfaitement maîtrisés. Le tsunami numérique qui submerge notre société depuis quelques années n’a pas encore développé toutes ses facettes, ni dévoilé tous les risques dont il est porteur.

Le RGPD a justement été imaginé pour que le traitement des données personnelles soit mis sous contrôle par l’entreprise, le responsable de traitement ou le sous-traitant. L’objectif étant d’éviter d’endommager la vie de ceux qui figurent dans les fichiers. Autrement dit, l’intérêt à défendre n’est plus celui de l’entreprise mais celui des personnes enregistrées dans les systèmes de l’entreprise.

Parmi ces risques pesant sur les individus, certains sont qualifiés de “risques élevés” et font l’objet de dispositions particulières dans le RGPD : le sujet d’une prochaine chronique sur RNMPS.