Protection de données à caractère personnel (RGPD)
Principe universel, la protection de données à caractère personnel, compte parmi les droits fondamentaux reconnus par les principales organisations internationales (ONU, OCDE, Union Européenne, Conseil de l’Europe, ...). Il y a plus de 40 ans, le législateur français lui octroyait, un statut juridique au travers de la loi « Informatique et Libertés » du 6 janvier 1978 ou LIL. Ce texte, en constante évolution s’est adapté aux mutations technologiques, demeurant au plus près de la transition numérique touchant, aujourd’hui plus qu’hier, les interactions à tous niveaux de la société. Il a posé les bases des droits des personnes concernées par les traitements de données et créé, en France, l’autorité administrative indépendante chargée de leur contrôle, la Commission Nationale de l’Informatique et des Libertés (CNIL).
La généralisation du numérique, le caractère multinational de ses acteurs majeurs, la trans-nationalité de ses infrastructures, ont conduit, dans les années 2010, les pays membres l’Union à s’orienter vers une approche normative issue des travaux du Parlement Européen et du Conseil. Résultant de cette logique, le Règlement Général sur la Protection des Données (UE) 2016/679 ou RGPD, a, par son entrée en application au 25 mai 2018, unifié le cadre juridique de l’ensemble des pays européens en la matière. Et, si les grands principes que nous connaissions en France depuis 40 ans n’ont pas connu de bouleversements majeurs, le Règlement a entrainé des changements de pratiques étroitement liés aux concepts de conformité de responsabilité, approches novatrices dans nos pratiques juridiques.
C’est ainsi que la déclaration à priori des traitements, principe intangible jusqu’à l’entrée en application du RGPD, est devenue l’exception, cédant le pas à une gestion interne de la conformité et de son processus d’amélioration continue soumis à des contrôles à postériori d’une CNIL déchargée des tâches d’instruction amont des dossiers. D’aucuns y voient une généralisation des principes initiés en 2004 lors de la création des Correspondants Informatique et liberté, les CIL. La désignation de ces derniers, alors facultative, autorisait des démarches plus fluides en réalisant l’enregistrement des traitements présentant un niveau de risque modéré pour la vie privée au sein d’un registre interne des traitements et posait, surtout, les bases d’une gouvernance de la protection des données à l’échelle des établissements. Ce sont ces principes, même, que le RGPD a généralisés en imposant au « Responsable du Traitement » de s’assurer et d’être à même de démontrer la conformité des traitements que la structure dont il est juridiquement responsable met en œuvre.
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » RGPD art. 24-1.
Il doit, à cet effet désigner un Délégué à la Protection des Données ou DPO (Data Protection Officer) qui veille, de façon indépendante, au respect du RGPD et de la LIL en réalisant, notamment, des missions de sensibilisation, formation, conseil, contrôle, audit ...