Big data : protection des données personnelles, attention danger !

Le nouvel écosystème de la donnée fait 209 pages. Il s’agit du règlement ­européen dont le texte final de compromis a été adopté le 16 ­décembre dernier (1) et qui ­entrera en vigueur en 2018. Son objectif : « cadrer » l’explosion de la masse de données personnelles disponibles sur le marché, issue des nouvelles techno­logies, des terminaux de paiements ­dernier cri, des objets connectés et ­évidemment du Web. Collectées et traitées par paquet de gigaoctet de façon plus ou moins anarchique par les ­entreprises, ces données privées nécessitaient une harmonisation à la fois ­réglementaire et européenne. Car ­depuis la directive 95/46 de 1995, 28 législations et autant de ­transpositions différentes font loi sur le vieux continent ! « Il est très compliqué pour les entre­prises de s’adapter à chaque ­réglementation locale », observe ­Denise ­Lebeau Marianna, ­avocate au sein du ­cabinet ­Baker & MacKenzie.

Pour comprendre l’enjeu, il convient d’abord de rappeler ce qu’entend la loi par « donnée à caractère personnel ». Il s’agit de toute data relative à une ­personne physique qui la rende directement ou indirectement identifiable. Au sein des entreprises, il va donc falloir s’adapter, y compris pour les acteurs de l’assurance (voir encadré) détenteurs d’une kyrielle d’informations privées. Et pour des firmes comme Google aussi, puisque le règlement leur sera applicable, même si le traitement s’opère sur un serveur à l’étranger. Le géant américain, justement, avait été condamné, le 3 janvier 2014, par la Cnil à une sanction pécuniaire de 150 000 €. La Commission nationale de l’informatique et des libertés estimait que les règles de confidentialité mises en œuvre par la société le 1er mars 2012 (ndlr : fusion des différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail…) n’étaient pas conformes à la loi Informatique et libertés. Soit une amende ­record en matière de sanction liée à la notion de non-protection des données personnelles… Mais ­ridicule à l’échelle de la firme californienne.

De vraies sanctions

Les sanctions ­administratives vont donc ­changer de dimension. En cas d’infraction au règlement, après une analyse au cas par cas et ­selon les conditions de l’infraction, les entreprises pourraient risquer une amende allant jusqu’à 10 M€ ou 2% de leur chiffre d’affaires mondial (de ­l’année fiscale précédente). S’il s’agit d’un non-respect des ­principes fondamentaux pour l’Autorité de contrôle – antenne nationale de la nouvelle Cnil européenne –, elles pourraient verser jusqu’à 20 M€ ou 4% de leur chiffre d’affaires. Rapporté aux résultats de Google, le calcul donne le vertige… Et c’est le nouveau Comité européen de protection des données (CEPD) qui veillera à l’application ­cohérente du nouveau règlement. « Le CEPD devrait remplacer le Groupe 29 composé des ­présidents des différentes autorités de contrôle en matière de protection des données en l’Europe », précise Denise Lebeau Marianna. Au sein des entreprises, pour que le traitement de la moindre ­donnée à caractère personnel soit effectué, il doit être licite (ndlr : permis par la loi). Un des fondements de cette licéité est le consentement du client. Le propriétaire de la donnée doit, en fait, pouvoir invoquer un droit de retrait à tout moment. Rien de spectaculaire, sauf qu’il est prévu, en outre, un « droit à l’oubli », également appelé « droit à l’effacement » qui est un des fils conducteur du règlement. La gestion permanente des données personnelles pourrait ainsi, en interne, nécessiter la création d’un poste de délégué à la protection des données.

Un gouverneur des données privées

Obligatoire pour les entreprises publiques, celles qui font du profilage à grande échelle et traitent des données sensibles, ce délégué – déjà à l’œuvre dans certaines sociétés depuis la directive de 1995 – s’imposera sûrement comme gouverneur des données privées. L’assurance, pour les entreprises, d’être en conformité. Selon leur taille, il pourra aussi être le data risk manager ou le responsable de la politique RSE (ndlr : responsabilité sociétale des entreprises) ou juridique. Les premières à anticiper le changement sont les firmes internationales, à l’image du groupe Accor. « Nous avons d’abord effectué un audit informatique pour valider que la sécurité du traitement de nos données était satisfaisante », confie Marie-Christine Villet, data risk manager d’AccorHotels. Chez Avis ­Budget Group, Béatrice ­Aumont, risk manager France/Benelux, pointe la charte de protection des données personnelles déjà établies et qui reprend les informations issues des locations de ­voitures. Sur le site privacy@avis-location.fr, chaque client peut déjà faire retirer les éléments souhaités. « Cette réglementation ­apporte un corpus unique de règles, point positif pour les entreprises exerçant dans plusieurs pays de l’UE, et une approche de la protection des données fondée sur les risques et non plus sur du déclaratif » témoi­gne-t-elle. ­Gageons que cette réglementation servira donc à une structuration plus globale de la gestion des données chez les assureurs et l’ensemble des entreprises.

Le pack conformité assurance

Sans attendre Bruxelles, la Commission nationale de l’informatique et des libertés (Cnil) a déterminé, en étroite collaboration avec les assureurs, les principes qui doivent commander au traitement des données personnelles pour le secteur. Ces textes sont connus comme le « pack de conformité assurance », finalisé en juillet 2014. On y trouve trois « autorisations uniques » (AU) qui définissent le régime juridique applicable aux données personnelles sensibles ou à risques. Les AU du pack abordent la fraude à l’assurance, le traitement des infractions et le très sensible numéro de sécurité sociale, qui a une importance toute particulière pour la recherche des bénéficiaires des contrats d’assurance vie en déshérence. Le pack est complété par deux « normes simplifiées » (NS). Elles abordent le traitement des données personnelles courantes qui ne portent pas atteinte à la vie privée ou aux libertés. Au programme : la gestion commerciale de clients et de prospects et la passation, la gestion et l’exécution des contrats d’assurance. Les principes sur lesquels repose ce pack sont globalement conformes au règlement européen.

Jérôme Speroni

Denise Lebeau Marianna, Avocate au cabinet Baker & Mackenzie « Nommer un délégué à la protection des données pour veiller à la mise en conformité »

• Que faut-il retenir de ce futur règlement ?
  D’abord, une loi commune à tous les États membres et d’application directe, une suppression des formalités en particulier déclaratives, la nécessité pour les entreprises de rendre compte de leur conformité, un renforcement des principes de transparence, mais aussi de sécurité, de minimisation des données personnelles et de limitation de leur conservation, ainsi que des droits des personnes concernées avec la création de nouveaux droits tels que le droit à l’oubli et à la portabilité. Ensuite, les sanctions s’appliquant aux entreprises, en cas de manquement au texte, seront considérablement alourdies, allant jusqu’à 20 M€ ou 4 % de leur chiffre d’affaires mondial !
   
• Comment doivent-elless’organiser ?
  En terme de gouvernance, le secrétaire général de la Cnil les encourage à mettre en place un délégué à la protection des données personnelles (fonction qui peut être dévolue au Correspondant Informatique et Liberté –CIL actuel), même si celui-ci n’est obligatoire que dans certains cas, tels que pour les entreprises du secteur public. Ses missions consisteront à conseiller, informer, former, veiller à la conformité de l’entreprise et à tenir le registre détaillé des traitements. Ce collaborateur sera aussi le référent de l’autorité de contrôle.
  
  Propos recueillis par Éloise Bernis

Cette nouvelle approche de la protection des données est fondée sur les risques et non plus sur du déclaratif.

Béatrice Aumont, risk manager France/Benelux d’Avis Budget Group