avocat juriste expert-comptable notaire RGPD · La presse juridique de référence Extraits avocat juriste expert ... Lexis 360® La solution de recherche intelligente #AVOCAT STRATÈGE

LexisNexis Presse

RGPDSoyez prêts !

La presse juridique de référence Extraits

notairejuriste avocat expert-comptable

17LA

WSV

056

– 5

52 0

29 4

31 R

CS

Paris

- 0

9/20

17 -

© Is

tock

Lexis 360®

La solution de recherche intelligente

#AVOCAT STRATÈGE

#AVOCAT STRATÈGE

#AVOCAT

RETROUVEZ TOUTES NOS SOLUTIONSwww.lexisnexis.fr

PLUS D’INFORMATIONS01 71 72 47 48

L’INNOVATIONAU SERVICE DES AVOCATS Lexis 360® repose sur un moteur de recherche intelligent, qui comprend les concepts juridiques et leurs relations.Optimisez votre stratégie juridique avec JurisData Analytics : la nouvelle option d’analyse prédictive de la jurisprudence.

TOUTE L’EXPERTISELEXISNEXISProfi tez des fonds JurisClasseur, encyclopédies et revues, qui couvrent tous les thèmes du droit.Accédez à la base de jurisprudence la plus complète et aux analyses JurisData.

L e x i s N e x i s P r e s s e M a i 2 0 1 8 3

17LA

WSV

056

– 5

52 0

29 4

31 R

CS

Paris

- 0

9/20

17 -

© Is

tock

Lexis 360®

La solution de recherche intelligente

#AVOCAT STRATÈGE

#AVOCAT STRATÈGE

#AVOCAT

RETROUVEZ TOUTES NOS SOLUTIONSwww.lexisnexis.fr

PLUS D’INFORMATIONS01 71 72 47 48

L’INNOVATIONAU SERVICE DES AVOCATS Lexis 360® repose sur un moteur de recherche intelligent, qui comprend les concepts juridiques et leurs relations.Optimisez votre stratégie juridique avec JurisData Analytics : la nouvelle option d’analyse prédictive de la jurisprudence.

TOUTE L’EXPERTISELEXISNEXISProfi tez des fonds JurisClasseur, encyclopédies et revues, qui couvrent tous les thèmes du droit.Accédez à la base de jurisprudence la plus complète et aux analyses JurisData.

Dans ce nouveau monde numérique où les anciens repères s’estompent sans que de nouveaux apparaissent encore clairement, où les modèles économiques sont disruptés/contestés/détruits et où on ne sait plus très bien qui est qui, qui est quoi, le RGPD devient un cap.

Un cap français et européen. Dans le contexte du scandale Facebook/Cambridge analytica, du développement de l’identité numérique officielle chinoise, de reconnaissances faciales et de mégabases de données officielles, le RGPD vise à être un havre de confiance, de sûreté et de protection pour tous européens.

Certes, il crée des obligations strictes que les grandes organisations ont été les premières à prendre en compte et à implémenter dans leurs outils et comportements, mais il va, lentement mais sûrement, se développer vers les TPE ETI. La CNIL vient d’ailleurs d’accélérer, puisqu’elle vient de publier sur son site, associée à BPI France, un guide d’accompagnement des PME-TPE (https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-ap-propriation-du-reglement). Ce « ruissèlement » du RGPD qui débute le 25 mai 2018 va s’effectuer sur plusieurs années, obligeant à revoir et renforcer encore les moyens de la CNIL (si petite face à ses homologues européens) et ses capacités investigatrices.

Pour autant, le RGPD pose de nombreux et nouveaux problèmes qui se cristallisent actuellement au Parlement avec le difficile vote de la nouvelle version de la loi Informatique et libertés. S’il est encore un peu tôt pour savoir ce qui en résultera, il est toutefois certain que de nombreux pro-blèmes n’auront pas été traités et appelleront de futures évolutions législatives et réglementaires.

Si on cherchait un exemple de ces nouveaux problèmes, il suffirait d’évoquer la mise en open data des décisions de justice initiée par la loi pour une république numérique et le rapport Cadiet (http://www.justice.gouv.fr/publications-10047/rapports-thematiques-10049/remise-du-rapport-sur-lopen-data-des-decisions-de-justice-31165.html) dont la mise en œuvre bute sur la prise en compte de droits antagonistes, voire contradictoires tels que l’obligation de vigilance, la loi sur la transpa-rence financière, la publicité des décisions, leur intelligibilité, le droit d’informer…

Cette compilation d’articles de presse vous aidera à voir plus clair dans le RGPD et à comprendre comment il bouleversera progressivement nos métiers et nos organisations respectifs. Nous verrons s’il devient, comme le souhaitent ses créateurs, « un standard mondial ».

Sommaire

L’ÉDITO

Le RGPD n’est pas une norme, ou, plutôt, est plus qu’une norme, c’est une philosophie.

Le règlement général sur la protection 4 des données (rGPD)Matthieu Bourgeois et Franck Régnier-Pécastaing

rGPD et projet de loi informatique et Libertés 7Paul Hébert

Comment la direction juridique de LexisNexis 9 s’est-elle préparée à l’entrée en vigueur du rGPD ?Grégoire Hanquier

L’expert-comptable face au rGPD 11Fabrice Mattatia

repenser et renégocier ses contrats à l’heure 13 du GDPrMerav Griguer, Sharone Franco et Adrien Aulas

L’équipe éditoriale 16Le CiL 17 Aurélie Merquiol

rGPD et rH : dernière ligne droite pour 18 les entreprisesGuillaume Bordier et Basile Moore

Les enjeux du projet de loi relatif à la protection 21 des données personnelles (« CNiL3 »)Fabrice Mattatia

La rédaction

L e x i s N e x i s P r e s s e M a i 2 0 1 84

Fi des discours anxiogènes et mystificateurs ! Le rGPD peut être appliqué de manière rationnelle.

On évitera des approches « Tout iT » ou « Tout Juri ». Elles ont pour avantage d’augmenter les bénéfices de ceux qui les vendent, mais évitent l’essentiel, à savoir la nécessité de diffuser les pratiques au cœur de l’orga-nisation.

Le rGPD ne doit pas être géré comme un projet de court ou moyen terme. C’est avant tout une transfor-mation structurelle et organisationnelle qui est atten-due et non une collection d’attributs, un inventaire d’opérations de traitements tous azimuts.

Le cœur du règlement réside dans la notion de « finalité(s) ». C’est sur leur analyse que reposent ce texte et sa mise en pratique. L’approche est donc quali-tative avant d’être quantitative. Ainsi l’étude et la des-cription d’une « finalité » relèvent des équipes métier, la mise en œuvre des moyens pour y répondre appar-tient, souvent, à l’iT, le tout sous le contrôle attentif de la direction juridique.

Pour bien appliquer ce texte, trois mots d’ordre : analy-ser, organiser, outiller.

Le Règlement général sur la protection des données (RGPD) Un chantier à démystifier !

LA SEMAINE DU PRATICIEN EN QUESTIONS

Qu’est-ce que le rGPD et pourquoi ce texte ? Le Règlement général sur la protection des données 2016/679 (en français RGPD, ou en anglais « GDPR » pour General Data Protection Regulation) a été adopté le 27 avril 2016 par le Parlement euro-péen après quatre ans de débats. Ce texte n’impose pas aux États membres d’abroger leur législation nationale. Ainsi, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux liber-tés (LIL) est toujours en vigueur ; toutefois, en cas de dispositions divergentes avec le RGPD, ce dernier primera.

Ce nouveau texte répond à un double mouvement : protéger les individus contre les nouveaux risques (vie privée, cybersécurité…) tout en favorisant la circulation des données désormais inhé-rente à l’activité humaine (économique, sociale,…). Le besoin d’un cadre plus moderne et davantage unifié s’avérait nécessaire pour répondre à ce double impératif et bâtir les fondements d’un mar-ché unique numérique.

Le règlement étant en vigueur, quelles sont les sanctions prévues ? Le RGPD est en vigueur depuis le 25 mai 2016 (Règl. (UE) 2016/679, art. 99.1). Mais ses effets (notamment les sanctions) ont été différés au 25 mai 2018 (Règl. (UE) 2016/679, art. 99.2). Cette période de deux ans - dont plus de la moitié est désormais écoulée - a été prévue pour laisser aux organisations le temps de se mettre en conformité. Ce n’est pas de trop à la vue des nouvelles obligations posées par ce texte.

La conformité pour 2018 est un enjeu important pour les organi-sations.

À défaut, elles encourent une amende administrative qui pourra atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial total de l’exercice précédent, pour certains manquements (le plus élevé des deux plafonds étant retenu).

Qui est concerné ? Toutes les organisations - ne sont pas visés certains traitements régaliens, comme ceux effectués « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales » (Règl. (UE) 2016/679, art. 2.2, d) - dès lors qu’elles sont situées au sein de l’Union européenne ou qu’elles ont une activité dirigée vers des personnes situées au sein de la zone. Ce sera, par exemple, le cas des exploitants de moteurs de recherche ou de réseaux sociaux qui s’adressent à des internautes situés dans l’Union.

Quelles sont les principales nouvelles obligations prévues par ce texte ? Outre des obligations issues de la LIL, que le RGPD renforce (comme le droit à l’information, les modalités de recueil du

Matthieu Bourgeois avocat associé, Simon Associés, spécialiste en droit des nouvelles technologies, de l’infor-matique et de la communication

Franck régnier-Pécastaing expert en gouvernance de la donnée

> La Semaine Juridique - Édition Générale - n° 36 - 4 septembre 2017


À jour du Règlement général sur la protection des données

consentement…), ce texte impose des nouvelles obligations qui sont de deux ordres :

Sur le plan interne, les organisations devront notamment :

* pour certaines d’entre elles, désigner un délégué à la protec-tion des données (en anglais Data Protection Officer ou DPO (Règl.(UE) 2016/679, art. 37 à 39), chargé de contrôler la conformité de l’organisation à la réglementation en matière de protection des données ;

* lorsqu’elles comptent plus de 250 employés, ou bien qu’elles réalisent des traitements non occasionnels susceptibles de « com-porter un risque pour les droits et libertés des personnes concer-nées » : constituer et tenir à jour un registre des activités de traitement (Règl. (UE) 2016/679, art. 30) ; * en tout état de cause, mettre en place des procédures internes

permettant d’assurer la «protection des données dès la concep-tion » des traitements (Privacy by design) ainsi que mener des analyses d’impacts préalablement à la mise en œuvre de certains traitements ;

Sur le plan externe, les organisations concernées devront notam-ment prendre des mesures :

* à l’égard des personnes concernées, notamment en mettant en œuvre de nouveaux droits comme la portabilité de leurs données ;

* à l’égard de l’autorité de contrôle (la CNIL), mettre en place un dispositif permettant de lui notifier la survenance d’une violation des données engendrant « un risque pour les droits et libertés des personnes physiques », notification qui devra être étendue à l’en-semble de celles-ci si ce risque est «élevé » (Règl. (UE) 2016/679, art. 33 et 34) ; * à l’égard des autres acteurs du traitement, établir des contrats

écrits, non seulement avec les sous-traitants, mais également avec les responsables conjoints de traitement, répartissant clairement les rôles et responsabilités de chacun.

Désigner un DPO, est-ce un moyen de se libérer de la contrainte réglementaire, en confiant la responsabilité, de fait, à un expert ? Clairement, Non ! La fonction de DPO est d’abord une fonction de conseil, et potentiellement une fonction de capitalisation, mais en aucune manière elle n’est le réceptacle des responsabilités de l’organisation qui l’a désigné.

Au contraire, le DPO est protégé par une immunité qui l’empêche d’être « relevé de ses fonctions ou pénalisé » par l’organisation l’ayant désigné, du fait de « l’exercice de ses fonctions » (Règl. (UE) 2016/679, art. 38.3). ainsi, l’organisation ne pourra pas sanction-ner son DPO pour les prises de position adoptées dans le cadre de ses missions (V. Lignes directrices adoptées par le G29, 13 déc. 2016, à propos des DPO, p. 15). Nommer un DPO (interne ou externe) ne permet pas de se libérer de la contrainte juridique.

La liste des nouvelles obligations étant particulière-ment dense, que faut-il faire en premier ? La notion de « finalité » est la pierre angulaire de ce texte. Tout traitement doit répondre à une finalité déterminée et légitime, et porte sur un objet proportionné (c’est-à-dire uniquement sur des données et des moyens strictement nécessaires à la mise en œuvre de la finalité). Par « finalité », il faut entendre «la raison

spécifique pour laquelle les données sont traitées : le but ou l’inten-tion de leur traitement » (V. G29, avis 06/2014, 9 avr. 2014, p. 26). L’analyse nécessite aussi de définir les acteurs du traitement : ceux qui décident des finalités (les responsables de traitement), ceux qui mettent en œuvre les moyens de traitement (les sous-traitants) et ceux qui reçoivent les données (les destinataires). Ce sont toutes ces parties-prenantes qu’il faut qualifier. La finalité est donc le « pourquoi » du traitement, tandis que les données sont le « quoi », que les moyens de traitement sont le « comment » et que les parties prenantes sont le « qui ».

La finalité conditionne toute l’analyse de licéité du traitement. Il est donc essentiel de commencer par bien identifier et formuler la finalité de chaque opération de traitement. C’est une démarche finaliste qu’il faut adopter !

Sur le terrain, quelles difficultés constatez-vous et quelles en sont les causes ? Sur le terrain, le spectre des organisations va des insouciants aux abattus. Les premiers ne se décident pas à traiter le RGPD, soit qu’ils pensent que ce texte est destiné aux entreprises du numé-rique, soit qu’ils sous-estiment les enjeux. Ce profil va diminuant, du fait de la médiatisation du RGPD.

Les seconds sont saisis de désarroi devant l’apparente ampleur de la tâche, face à la faiblesse de leurs ressources, ou de leur exper-tise juridique. Pour compenser, ces organisations ont tendance à « se jeter » sur le sujet, par des actions « tous azimuts », sans tenir compte de la nécessaire approche finaliste à adopter.

Cela se traduit souvent par une approche « Tout IT », guidée par des principes quantitatifs privilégiant l’inventaire de données ou de traitements. Ce travail ne permet pas d’atteindre la conformité puisque celle-ci-vise l’identification des finalités, non des traite-ments.

De même, l’approche « Tout Juri », guidée par le principe de pré-caution dont l’exagération immobilise l’activité et l’innovation, doit être évitée.

Une autre approche, centrée sur l’analyse des opérations métiers - desquelles se dégagent les finalités - est possible. C’est la seule qui soit valable et pérenne. Ainsi une approche systémique est pré-férable à une approche symptomatique pour se mettre en confor-mité avec le RGPD.

Qu’est-ce qui différencie l’approche symptomatique de l’approche systémique ? Métaphoriquement, le règlement vous oblige à porter une lourde charge, mais vous avez mal au dos. Pensez-vous qu’il vaut mieux prendre un antidouleur ou reprendre l’activité physique dont l’in-suffisance est la réelle origine du mal ?

Avec l’approche symptomatique l’organisation se focalise sur les obligations imposées par le RGPD, en les considérant isolément, sans démarche d’ensemble, et en privilégiant le traitement des seules non-conformités apparentes qui, bien souvent, révèlent des mauvaises pratiques structurelles qu’il faut réformer.

Ce nouveau texte répond à un double mouvement : protéger les individus contre les nouveaux risques (vie privée, cybersécurité…) tout en favorisant la circulation des données désormais inhérente à l’activité humaine (économique, sociale,…)


Dans les faits et en simplifiant un peu, nous proposons une approche en deux temps et en trois dimensions.

* Temps 1 : gestion de l’existant (traitements et finalités en cours) ;

* Temps 2 : le reste de la vie de votre organisation (nouveaux trai-tements et finalités) ;

* Dimension 1 : l’analyse, soit l’aspect intellectuel ;

* Dimension 2 : l’organisation, soit l’aspect rituel ;

* Dimension 3 : l’outillage, soit l’aspect formel.

Dans le temps 1, deux options :

* l’extravagante approche symptomatique où vous allez diligenter un inventaire global ; cette option conduit à devoir absorber toutes les données présentes dans les serveurs de votre organisation pour identifier d’éventuelles données personnelles, pour ensuite identifier les traitements qui consomment ces enregistrements, pour finalement inventorier tout cela dans une base de données qui constituera le socle de votre registre, puis faire de même avec tous les dossiers « papier » et procédures manipulant humaine-ment ces dossiers ;

* l’approche systémique qui privilégie le principe de parcimonie (Ockham) ; cette option conduit à considérer que votre organisa-tion connaît les principales opérations métiers qui produisent ou consomment des données personnelles et, donc, à naturellement commencer par l’analyse des finalités pouvant ressortir d’une série d’interview des principaux acteurs métiers. Cela aura aussi l’avantage d’acculturer les rouages de votre organisation pour les transformer en acteurs de cette culture de protection des données privées.

Il nous semble assez évident que seule la seconde approche per-met d’identifier les traitements les plus à risques, ceux prioritaires dans la mise en conformité.

Dans le temps 2, chaque procédure ou projet ou évolution de ceux-ci devra être soumis à un cadre regroupant les trois dimensions (GDPR framework). Le passage du temps 1 au temps 2 induit une transformation, l’incorporation des pratiques et instances néces-saires. La donnée, parce que pervasive, requiert une approche organique, pluridisciplinaire, permettant de répondre aux diffé-rentes dimensions dans leur intégralité, afin d’éviter l’abandon du DPO, seul et dépourvu de leviers d’actions dans l’organisation.

ainsi les organisations doivent se doter d’un cadre analytique et formel ainsi que de rôles et d’instances assurant la tenue des obli-gations réglementaires du RGPD. La dimension organisationnelle et la dimension outillage sont définies et formalisées au sein du cadre. L’approche analytique pourra être partiellement capitalisée dans les deux autres dimensions, mais recouvrira principalement un ensemble de compétences, d’usages et de bonnes pratiques issues de l’expérience et de la veille (métier, IT et juridique).

La formalisation (fiche de présentation de traitement, descriptions des parties-prenantes, fiche d’analyse de la finalité, métamodèle du registre aligné sur ces fiches, etc.) sont les soutiens structurants facilitant la dimension analytique. Leur simple usage, sans apport intellectuel, ne saurait pour autant garantir la conformité du trai-tement au regard de sa finalité. Cet apport est la conjonction des contributions des parties-prenantes au traitement, qu’elles soient internes ou externes à l’entreprise, à l’organisation.

L’ensemble étant géré par le DPO et contrôlé par la direction juri-dique.

Abonnez-vous à La Semaine Juridique

boutique.lexisnexis.fr


Le projet de loi relatif à la protection des données per-sonnelles a été adopté en première lecture par l’Assem-blée nationale et le sénat. Ce texte doit permettre la mise en œuvre concrète du règlement européen et de la directive du 27 avril 2016. Le projet actuel est loin d’être parfait, tant en termes de lisibilité que de sécurité juri-dique. Cela suscite tant de l’inquiétude chez les acteurs économiques que de la frustration chez les juristes habitués à manier la loi du 6 janvier 1978, texte robuste, exemplaire et qui a résisté à 40 ans d’informatisation. Malgré ses défauts, le projet de loi contient des disposi-tions essentielles pour permettre l’application effective du « paquet européen de protection des données ».

RGPD et projet de loi Informatique et Libertés

> Communication - Commerce Électronique - n° 4 - avril 2018

l’oubli propre pour les mineurs. Enfin, pour permettre une applica-tion uniforme et cohérente du Règlement, le législateur européen a prévu un mécanisme de coopération renforcée entre les autori-tés de protection des données.

L’adoption du « paquet européen de protection des données » constitue une avancée majeure qui doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Ces textes sont l’occasion d’une remise à égalité normative entre les acteurs euro-péens et des concurrents étrangers qui offrent des biens et ser-vices sur notre continent sans toujours en respecter le droit.

Le critère du ciblage devrait mettre fin à cette situation. Ces chan-gements nécessitent donc d’adapter la loi fondatrice du 6 janvier 1978, qui symboliquement n’est pas abrogée, pour poursuivre trois objectifs :

* le premier est de permettre l’application effective des textes européens en donnant corps au règlement. En particulier, le projet de loi modifie et adapte les missions de la CNIL et certaines procé-dures en matière répressive pour rendre plus efficace la coopéra-tion internationale prévue par le Règlement.

* le second est d’optimiser les marges de manœuvre prévues par le Règlement. Ce texte comporte en effet plus d’une cinquantaine de renvois au droit national, permettant par exemple aux États membres de maintenir des formalités préalables pour certains trai-tements, de poser des règles de fond plus contraignantes dans cer-tains domaines ou de moduler les garanties offertes aux personnes. il appartient au législateur national et au pouvoir réglementaire de se prononcer sur chacune de ces marges de manœuvre, en déci-dant si et dans quelle mesure ils souhaitent en faire usage ;

* le troisième est de transposer la directive relative aux traite-ments de données à caractère personnel mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites ou d’exécution de sanctions pénales.

La CNiL a rendu un avis le 30 novembre 2017 sur ce projet de loi. Quelle a été sa position ?

> Paul Hébert : De manière générale, la Commission a estimé que le projet de loi remplissait l’objectif principal qui lui était assigné, à savoir mettre en conformité le droit français au nouveau cadre européen. Tout en soulignant les apports majeurs du projet de loi, la Commission a néanmoins souligné les limites de ce texte. Elle a regretté le calendrier trop tardif retenu pour l’examen du projet de loi. L’adoption de la loi et ses décrets d’application avant le 25 mai 2018 n’est pas seulement un enjeu juridique mais un enjeu opé-rationnel majeur pour permettre la mise en œuvre effective des mécanismes prévus par le Règlement notamment en matière de coopération.

Surtout, elle a souligné le manque de lisibilité du projet de texte, induit notamment par les choix légistiques retenus par le

Le rGPD sera directement applicable dans quelques mois, il n’a donc en principe pas besoin d’être trans-posé, pourquoi adopter une loi réformant la loi du 6 janvier 1978 ?

> Paul Hébert : Le projet de loi actuellement discuté au Parlement doit permettre la mise en conformité du droit national avec le « paquet européen de protection des données » adopté par le Parlement européen et le Conseil le 27 avril 2016 (ce paquet se compose de deux textes : un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard des données à caractère personnel directement applicable au 25 mai 2018, d’une part, et une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites ou d’exécution de sanctions pénales, qui doit être transposée avant le 6 mai 2018 d’autre part).

Si les principes posés il y a déjà 40 ans dans la loi « Informatique et Libertés » demeurent pour l’essentiel inchangés, le règlement introduit un changement de paradigme. Alors que la loi de 1978 reposait en grande partie sur une logique de « formalités préa-lables » (déclaration, autorisation, etc.), le règlement repose sur une logique de conformité continue, tout au long du cycle de vie de la donnée, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur. En contrepartie de la réduc-tion du contrôle en amont exercé via ces formalités, la CNIL voit ses pouvoirs de contrôle et de sanction renforcés.

Le règlement renforce également les droits des personnes en faci-litant l’exercice de ceux-ci et en créant de nouveaux droits, comme le droit à la portabilité des données personnelles ou un droit à

3 questions à Paul HÉBERT, directeur adjoint de la direction de la conformité à la CNIL


Gouvernement consistant à n’opérer que les modifications néces-saires à la mise en œuvre du Règlement et de la directive, et à ren-voyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure qui devra être prise six mois après la pro-mulgation de la loi.

Ainsi, les dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du Règlement (par exemple sur le consentement, la base légale des traitements ou la portée des droits reconnus aux personnes). En outre, la loi nationale ne donne aucun écho aux nouveaux droits et aux nou-velles obligations posés par le Règlement. Un dernier enjeu de lisibilité tient aux difficultés de frontière qui se poseront entre les différents régimes applicables aux traitements de données selon leurs finalités, parfois multiples, certains traitements pouvant rele-ver du Règlement et de la directive, d’autres relevant à la fois du champ de la Directive et du « hors-champ » du droit de l’Union.

En attendant l’ordonnance, la loi ne permet pas aux citoyens et aux responsables de traitement de comprendre dans un texte unique leurs droits et obligations. Le résultat est donc un peu frustrant, d’autant que la loi du 6 janvier 1978 constitue, par son rayonne-ment aux niveaux européen et international, l’un des grands mar-queurs du droit français, connu et pris comme standard.

In fine, le projet de loi constitue à certains égards une occasion manquée de procéder à un réexamen global du droit de la protec-tion des données en France.

Dans les grandes lignes, que va changer ce projet de loi pour la CNiL et les acteurs ?

> Paul Hébert : Malgré ses défauts, le projet de loi contient des dispositions essentielles pour permettre l’application effective du Règlement au 25 mai 2018. Il complète les missions de la CNIL et les inscrit encore davantage dans une logique d’accompagnement des acteurs. il prévoit notamment l’adoption par le régulateur de normes de « droit souple » destinées à faciliter la mise en confor-mité (lignes directrices, recommandations, référentiels), élargit le champ de la certification et des règlements types destinés à assu-rer la sécurité des systèmes de traitement et encourage le recours à des codes de conduite prévus par le Règlement.

Les pouvoirs de contrôle de la CNIL sont également étendus et précisés pour clarifier les droits des parties prenantes en particu-lier sur la nature des locaux contrôlés, l’opposabilité des secrets protégés par la loi ou encore le recours à une identité d’emprunt par les agents de la CNIL pour les contrôles en ligne. Les modalités de coopération entre la CNIL et les autres autorités de contrôle européennes sont également précisées, en particulier les pouvoirs d’enquête reconnus aux agents de ces autorités sur le territoire français. Enfin, les pouvoirs répressifs de la CNIL sont adaptés, en particulier la possibilité actuellement reconnue à la CNIL de

prononcer des mesures correctrices à l’encontre de responsables de traitement ne respectant pas leurs obligations, la répartition des pouvoirs entre le président et la formation restreinte, et les mesures pouvant être prises en cas d’urgence.

Du point de vue des responsables de traitement, le projet de loi supprime la quasi-totalité des formalités préalables jusqu’ici impo-sées par la loi (déclaration ou autorisation auprès de la CNIL), à l’exception des traitements dans le domaine de la santé (soumis à un régime de formalité ad hoc), des traitements de données à caractère personnel relatives aux infractions, aux condamnations et aux mesures de sûreté (régime d’autorisation rétabli par le Sénat) et certains traitements pour le compte de l’État qui doivent être autorisés par un acte réglementaire pris après avis de la CNIL (biométrie, générique, sûreté de l’État, prévention et la répres-sion des infractions pénales...). Ces formalités seront remplacées, conformément au Règlement, par l’obligation, pour le responsable, d’effectuer préalablement une analyse d’impact lorsque son trai-tement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes et de consulter la Commission, le cas échéant. Par ailleurs, en matière de sécurité des données, le Sénat a précisé les mesures devant être prises par les responsables de traitement en ajoutant l’obligation « à chaque fois que cela est pos-sible » de chiffrer les données de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autori-sées à accéder à ces données.

Du point de vue des personnes concernées, l’assemblée natio-nale a retenu la possibilité d’introduire des actions de groupe en vue d’obtenir la réparation du préjudice moral et financier en cas de manquement au Règlement (le Sénat a quant à lui différé au 25 mai 2020 l’effectivité de cette mesure). L’âge auquel un mineur peut consentir seul à un traitement de données en ce qui concerne l’offre directe de services de la société de l’information a été fixé à 15 ans par l’Assemblée nationale puis rétabli à 16 ans par le Sénat. De même, les deux chambres ont des divergences de fond sur les traitements algorithmiques débouchant sur l’adoption de déci-sions administratives. La version proposée par le Sénat apparaît cependant plus protectrice des personnes. Un accord devra être trouvé en commission mixte paritaire.

Enfin, d’autres points, pourtant essentiels au regard de la protec-tion des libertés, sont passés « sous les radars » lors des débats à l’Assemblée nationale et au Sénat. En particulier, dans le champ de la directive (traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites ou d’exécution de sanctions pénales), la transposition « a minima » ne va pas de soi et des garanties supérieures au texte européen auraient pu être envisagées. De même, s’agissant des traitements relatifs à la sûreté de l’État ou à la défense (hors champ du Règlement et de la directive), le législateur n’a pas non plus souhaité accroître le niveau de protection des données traitées en intégrant certaines avancées du « paquet européen ».

Le mensuel dédié à la propriété intellectuelle, aux droits des réseaux et des médias


Grégoire Hanquier a accepté de nous faire part des moyens mis en œuvre depuis plusieurs mois pour que l’entreprise puisse être conforme à la nouvelle règlementation.

Comment la direction juridique de LexisNexis s’est-elle préparée à l’entrée en vigueur du RGPD ?

> Communication - Commerce Électronique - n° 4 - avril 2018

bien encore des ateliers sur la portabilité, le consentement... réa-lisés par la direction juridique), puis après avoir mis en œuvre une gouvernance réelle du projet (Comité de pilotage et Comité de direction où tous les membres du Comité exécutif LexisNexis sont présents pour arbitrer l’avancée du projet), l’équipe RGPD– avec l’aide d’un référent par département de l’entreprise – a interviewé toutes les personnes qui, au cours de leur activité professionnelle au sein de LexisNexis, sont amenées à collecter, traiter, organiser les données personnelles de nos salariés, auteurs, clients, pros-pects, partenaires, fournisseurs. Les interactions ont été nom-breuses obligeant l’équipe à trouver auprès de la direction des systèmes d’informations un partenaire incontournable dans la mise en œuvre du RGPD.

Le résultat est significatif : plus d’une centaine de processus de traitement de données personnelles ont été identifiés au sein de LexisNexis, processus s’exprimant avec plus de 70 sources tech-niques (applications), sans compter les processus non automati-sés existants. Une grande majorité de ces processus étaient déjà connus et gérés – je pense notamment aux demandes de droit d’accès, de modification, de suppression des données personnelles ou bien encore à la gestion du personnel, des prospects et des clients – mais l’audit grandeur nature nous offre une fenêtre pour les optimiser, les rendre encore plus efficaces et en adéquation avec le RGPD. L’intégration du droit à la portabilité est un très bon exemple : identifier précisément toutes les applications, toutes les données personnelles répondant aux deux bases légales (contrat et consentement), pour assurer une portabilité efficace.

Chaque processus de traitement de données personnelles a fait ensuite l’objet d’un questionnaire via un outil tiers de l’éditeur One Trust comportant toutes les informations requises qui – une fois rempli par la personne en charge du traitement – permet à l’équipe RGPD de constituer le registre des traitements en vue d’assurer la pleine conformité avec les exigences du Règlement européen.

S’ensuit une phase d’analyse avec chaque département et, plus particulièrement, avec les équipes informatiques en France et à l’étranger pour identifier les premières préconisations relatives aux mentions légales d’information (notices), à la mise en œuvre du droit à l’effacement, au recueil du consentement, à l’identification

Comment avez-vous procédé pour la cartographie des traitements de données personnelles ?

> Grégoire Hanquier Plusieurs solutions s’offraient à notre direction juridique pour définir une plateforme de pilotage du Data Processing Inventory : envisager l’externalisation de cette étape clef ou bien l’internaliser. Depuis l’été 2017, les propositions d’accom-pagnement par de nouveaux acteurs sur ce marché sont nom-breuses.

Nous avons choisi de constituer une équipe interne dédiée à la mise en conformité du RGPD en embauchant deux collaborateurs ayant des compétences en gestion de projet et capables d’analyser l’ensemble de nos procédures internes et notre environnement technologique sous le prisme de la réglementation européenne.

La cible est claire : accompagner au plus près chaque métier de l’entreprise dans sa transformation RGPD.

Ce choix a un coût pour l’entreprise mais nous désirions avant tout pouvoir nous appuyer sur des collaborateurs capables de s’impli-quer à 100 % dans cette mise en conformité en tenant compte de nos spécificités métiers (activité éditoriale notamment) dans un environnement complexe et international.

Ce projet étant au carrefour de tous les départements de l’entre-prise, l’équipe RGPD participe ainsi à l’innovation déjà très pré-sente chez LexisNexis et renforce l’objectif de satisfaction de nos clients et de nos partenaires.

Notre méthode pour parvenir à respecter l’article 30 du RGPD est assez simple. Après avoir fait prendre conscience à tous les salariés de l’entreprise de l’importance du Règlement européen (formations plénières ou dédiées au marketing par exemple ou

3 questions à Grégoire HANQUIER, directeur juridique adjoint de LexisNexis


des bases légales pour mettre en œuvre par exemple le droit à la portabilité des données, au déclenchement d’analyses d’impact (PIA et DPIA), aux préconisations relatives au Privacy by design, etc.

Notre environnement technologique étant en constante évolution et au-delà de la date réglementaire du 25 mai 2018, nous envisa-geons l’implémentation d’outils de cartographie automatisés s’ap-puyant sur le travail effectué. Des outils du marché développés soit par des legal tech françaises ou des cabinets d’avocats combinant expertise dédiée sur le RGPD et plateforme technologique sont des pistes à moyen terme, permettant d’assurer la mémoire juri-dique de l’entreprise sur les données personnelles.

Comment avez-vous abordé la règlementation ?

> Grégoire Hanquier Non seulement ce texte est dense, mais il exige en plus un lourd travail d’interprétation. « RGPD : Se réjouir ou s’arracher les cheveux » titrait Les Echos.fr en février 2018 !

Mettez les 173 considérants, les 99 articles du règlement euro-péen, ajoutez la dizaine de guidelines du Groupe de l’article 29 dont certains ne sont qu’en version de travail et uniquement en anglais (le guideline sur le consentement par exemple n’a été publié qu’avant Noël en anglais en version soumise à commentaires !), les discussions à Bruxelles sur le projet de directive E-Privacy, à Paris sur la loi CNIL 3, et – en ce qui nous concerne plus spécifiquement en notre qualité d’éditeur de base de données de jurisprudence – le très récent rapport du professeur Loïc Cadiet sur « l’open data des décisions de justice », vous assistez à un big bang règlementaire qui touche toutes les strates de l’entreprise.

Cependant, l’équipe éditoriale maison nous apporte quotidienne-ment son support en nous faisant suivre tout ce qui est publié sur le sujet. Sur des points ponctuels, les conseils externes permettent de prendre la distance nécessaire sur tel ou tel point du RGPD. Les acteurs du droit et plus particulièrement les juristes d’entreprise

jouent pleinement leur rôle dans ce projet : analyser pour gérer les risques juridico-opérationnels permettant à nos entreprises de prendre une décision raisonnée.

Par ailleurs, LexisNexis est membre d’un groupe international : l’ap-plication extraterritoriale du RGPD, les échanges avec nos homo-logues anglais, américains, africains et asiatiques par exemple obligent à faire preuve de pédagogie.

Avez-vous réfléchi à la nomination d’un DPO ?> Grégoire Hanquier Jusqu’à présent, la direction juridique assurait un rôle de chef d’orchestre de la conformité en matière de traitement de données personnelles mais sans avoir la qualité offi-cielle de CIL (correspondant Informatique et Libertés).

Logiquement, le projet de mise en conformité nous a été confié permettant de manager aussi des non-juristes en direct et par-tageant notamment avec eux une méthode de travail comme les méthodes Agiles et Scrum : chaque matin, nous échangeons durant un quart heure en équipe pour comprendre ce qui s’est passé hier, prioriser nos réels besoins de mise en conformité, mettre à jour notre « product backlog RGPD », définir des « User stories » pour assurer des « Sprint » de 2 semaines avec des objectifs atteignables. actuellement, dans le cadre du projet, je partage avec la direction informatique la casquette de « Product Owner », c’est-à-dire celui qui porte la vision du « produit RGPD » à réaliser.

Ce rôle a un réel impact dans le quotidien d’une direction juridique généraliste, raison pour laquelle nous avons constitué une équipe.

Un DPO au niveau européen a été nommé pour LexisNexis et, considérant les règles applicables à la désignation, à la fonction et aux missions du délégué, des réflexions sont en cours pour assu-rer la nomination qui conviendra le mieux à notre organisation en France (peut-être la mutualisation d’un DPO au niveau France pour plusieurs de nos sociétés).

• Le périmètre du RGPD• Le délégué à la protection des données, pierre angu-

laire du principe de responsabilité (accountability)• Les autorités de contrôle en droit des données

personnelles• Les critères de qualification des acteurs (respon-

sables de traitement, responsables de traitement conjoints, sous-traitants)

• Le consentement dans le RGPD : rôle et définition• Le principe de finalité dans le RGPD• Le principe d’accountability : des formalités préa-

lables aux études d’impact sur la vie privée (EIVP)• Le traitement des données de santé et le RGPD• Droit d’accès, droit à la portabilité : quelles diffé-

rences ?• Droit à l’effacement, à la rectification, à la limitation

et droit d’opposition dans le Règlement européen• Le profilage• Quelle stratégie pour les transferts de données

personnelles hors de l’Union européenne à l’aune du RGPD ?

• Contrôles et sanctions de la CNIL : quelles évolu-tions ?

• Quelles actions judiciaires en cas de violation du RGPD ?

• La notification d’une violation de données person-nelles en application du RGPD

L’intégralité du dossier à lire dans le n° 4-2018


> D.O Actualité - n° 11 - 2018 (Extrait)

L’expert-comptable face au RGPD

étagère, et le donneur d’ordres rédigeait un cahier des charges décrivant une application qu’une SSII se chargeait de développer. L’utilisateur était donc bien le concepteur du produit final, et le res-ponsable de son fonctionnement. Or aujourd’hui, avec notamment l’offre d’applications sous licence ou dans le cloud (Software as a service ou Saas), l’utilisateur ou le client final recourt à des services qu’il n’a pas conçus, et sur lesquels il n’a aucune prise.Pourtant, puisqu’il détermine la finalité de l’utilisation (en l’occur-rence, le but dans lequel il utilise ce service) et les moyens mis en œuvre (en l’occurrence le choix de l’application), l’utilisateur est toujours considéré par la loi informatique et libertés dans sa rédac-tion de début 2018 comme le responsable du traitement.Cela implique entre autres, comme on le verra, la responsabilité des défauts de conception ou de développement de l’application.

6. Dès 2012, la CNIL avait considéré que dans certains cas d’ex-ternalisation, « les clients, bien que responsables du choix de leurs prestataires, ne peuvent pas réellement leur donner d’instructions et ne sont pas en mesure de contrôler l’effectivité des garanties de sécu-rité et de confidentialité apportées par les prestataires. Cette absence d’instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des contrats d’adhé-sion qui ne leur laissent aucune possibilité de négociation. Dans de telles situations, le prestataire pourrait a priori être considéré comme conjoin-tement responsable » (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012). Si cette notion de responsabilité conjointe ne figurait pas à cette époque dans le droit français, elle s’imposera avec l’entrée en application du RGPD le 25 mai 2018.

7. L’expert-comptable sera a priori responsable des traitements nécessaires au fonctionnement de son cabinet (principalement la gestion de ses salariés et de ses clients).

resPONsABiLiTé CONJOiNTe : vers uNe reNéGOCiATiON Des CONTrATs De sOus-TrAiTANCe

8. L’article 26 du RGPD dispose :« 1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les res-ponsables conjoints du traitement. Les responsables conjoints du traite-ment définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notam-ment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informa-tions visées aux articles 13 et 14 [du RGPD], par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont défi-nies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.2. L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des per-sonnes concernées. Les grandes lignes de l’accord sont mises à la dispo-sition de la personne concernée.3. Indépendamment des termes de l’accord visé au paragraphe 1, la

1. Le RGPD s’applique à toutes les professions, et l’expert-comp-table, dans son activité, procède à des traitements tels que la ges-tion de son personnel ou l’envoi de factures à ses clients.

Ces traitements impliquent des données à caractère personnel relatives aux personnes concernées, en l’occurrence les salariés du cabinet ou les clients.

L’expert-comptable devra donc respecter les dispositions du RGPD à plusieurs titres :

* il est concerné en tant que responsable du traitement, pour les traitements internes de son cabinet (ce qui concerne ses salariés ou la facturation de ses clients) ;

* il devra également respecter le RGPD en tant que sous-trai-tant de ses clients, s’il a à gérer des données personnelles pour le compte de ces derniers (par exemple s’il doit accéder à leurs propres traitements de ressources humaines) ;

* enfin, l’expert-comptable peut éventuellement avoir à appliquer le RGPD en tant que délégué à la protection des données externe pour ses clients, c’est-à-dire en tant que prestataire chargé de véri-fier la conformité d’autrui (V. D.O Actualité 11/2018, n° 15).Dans ces trois positions, les obligations de l’expert-comptable seront nécessairement différentes.

2. Rappelons enfin en préambule que le RGPD ne modifie pas les principes fondamentaux de la protection des données personnelles en vigueur depuis 40 ans ; il modifie en revanche leurs modalités de mise en œuvre. Les professionnels qui sont déjà en conformité avec les textes actuels ne partent donc pas de zéro.En revanche, ceux qui n’étaient pas en conformité encourront désormais des sanctions beaucoup plus lourdes.

NDLr Fabrice Mattatia est auteur chez Lexisnexis du fascicule Les outils numé-riques pour l’huissier de justice, et chez Eyrolles des ouvrages Le droit des don-nées personnelles (2e éd., 2016) et Droit d’auteur et propriété intellectuelle dans le numérique (2017). La parution du Nouveau droit des données personnelles est prévue pour mai 2018.

Position de l’expert-comptable : responsable ou sous-traitant ?

DéFiNiTiON eT DéTerMiNATiON Du resPONsABLe

3. L’article 4 du RGPD définit le traitement de données person-nelles comme « toute opération ou tout ensemble d’opérations effec-tuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conserva-tion, l’adaptation ou la modification, l’extraction, la consultation, l’utili-sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Toutes les bases de données, toutes les annotations dans des fichiers du personnel ou dans des dossiers individuels, sont donc des traitements.

4. Selon le même article du RGPD, le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

5. La définition du responsable comme celui qui détermine la finalité et les moyens du traitement se traduisait clairement lors de l’adoption de la loi Informatique et Libertés initiale en 1978 : à cette époque, il n’y avait pas d’applications ou de services sur

Fabrice Mattatia ingénieur général des mines, docteur en droit, chercheur associé à l’université Paris 1, directeur exécutif du mastère spécialisé Data Protection Management de Télécom École de Management


personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement. »

9. Cette notion de responsabilité conjointe a donc pour vocation première de s’appliquer lorsque deux organismes coopèrent sur un pied d’égalité pour définir un traitement en partenariat. Mais elle pourrait s’appliquer également, dans une certaine mesure, lorsqu’un prestataire propose à un client un service qu’il a conçu, et sur lequel le client ne dispose pas d’une capacité de négociation.

Dans les deux cas, le RGPD exige que le partage des responsabili-tés soit clairement défini par un accord ou par un contrat. Si cela s’inscrit naturellement dans un cadre de partenariat entre deux organismes, cette exigence est plus difficile à mettre en œuvre dans le cas des contrats de sous-traitance, et notamment des contrats d’adhésion. En effet, elle impose au sous-traitant des res-ponsabilités auxquelles il échappait jusque-là : il sera donc en toute logique réticent à les assumer, surtout à prix identique. Or le RGPD s’impose également aux contrats existants : il faudrait donc d’ici le 25 mai renégocier tous les contrats de sous-traitance pour pré-ciser le partage des responsabilités ! Cela peut sembler irréaliste, mais de toute façon l’article 28 du RGPD qui définit la relation de sous-traitance, implique une renégociation de tous ces contrats...

sOus-TrAiTANT : De NOuveLLes OBLiGATiONs

10. Selon les cas, l’expert-comptable sera en position de donneur d’ordres (s’il choisit un prestataire) ou de sous-traitant de son client (s’il est lui-même le prestataire d’autrui).

11. La loi Informatique et libertés dans sa rédaction de début 2018 posait dans son article 35 des conditions assez générales à une éventuelle sous-traitance d’un traitement de données à carac-tère personnel :« Les données à caractère personnel ne peuvent faire l’objet d’une opéra-tion de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-trai-tant, que sur instruction du responsable du traitement.Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mention-nées à l’article 34 [de la loi].Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

12. Toutefois, comme on le verra plus bas, il en résultait que le res-ponsable du traitement était complètement responsable des viola-tions de la loi commises par son sous-traitant.

13. Outre la notion de responsabilité conjointe, le RGPD dispose dans son article 28 alinéa 1 que le choix d’un sous-traitant doit répondre à des contraintes précises : « Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organi-sationnelles appropriées de manière à ce que le traitement réponde aux

exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

14. Les possibilités de sous-traitance en cascade sont encadrées par les alinéas 2 et 4 du même article : « 2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autori-sation écrite préalable, spécifique ou générale, du responsable du trai-tement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concer-nant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.4. Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le res-ponsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organi-sationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne rem-plit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ».

15. Le recours au sous-traitant doit donc se faire par un contrat dont l’alinéa 3 du même article énumère longuement le contenu : « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’ob-jet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concer-nées, et les obligations et les droits du responsable du traitement. [...] »

16. Enfin, l’alinéa final du 3° de l’article 28 du RGPD impose par ailleurs au sous-traitant une sorte de devoir de conseil envers son client : « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données ».

Le sous-traitant est donc tenu, en quelque sorte, de contrôler en permanence la conformité des instructions reçues de son client. L’étendue de cette obligation fera sans doute l’objet d’échanges animés, sachant que sa violation par le sous-traitant peut donner lieu, selon l’article 83 du RGPD, à une amende administrative de 10 millions d’euros ou 2 % du chiffre d’affaires mondial de l’entreprise...

17. Plus généralement, la négociation des nouveaux contrats de sous-traitance ainsi que la renégociation des contrats existants pour intégrer ces obligations n’iront sans doute pas sans difficultés...

À lire dans l’article complet

• Les grands principes à respecter par l’expert-comptable• Les obligations opérationnelles imposées au cabinet

d’expert-comptable• Les obligations concernant les traitements les plus risqués• Période de transition

• Le Règlement général sur la protection des données (RGPD) - Un chantier à démystifier ! par M. Bourgeois et F. Régnier-Pécastaing

• Interview S. Moussaid

• Obligation de désigner un DPO d’ici le 25 mai 2018 - Qui, quoi, comment ? par M. Griguer et J. Schwartz

• L’expert-comptable : futur DPO de ses clients ? par C. Degrilart

• Repenser et renégocier ses contrats à l’heure du GDPR par M. Griguer, S. Franco et A. Aulas

• La gestion des données RH et le règlement européen sur la protection des données par S. Marchal

• Les outils du CSOEC pour accompagner la profession par C. Camilleri et D. Perier

• Les enjeux du projet de loi relatif à la protection des données personnelles (« CNIL3 ») par F. Mattatia

Retrouvez le dossier complet dans le n° 11-201832

PAGES


> D.O Actualité - n° 11 - 2018

Repenser et renégocier ses contrats à l’heure du GDPRÀ deux mois de son entrée en application, l’impact du nouveau règlement général sur la protection des don-nées (GDPr) est déjà conséquent au sein des entre-prises et organismes publics concernés.

Parmi les grands chantiers à mettre en œuvre, la mise à jour des contrats avec les partenaires, clients et four-nisseurs nécessite une attention toute particulière : ces contrats devront en effet intégrer et refléter stratégi-quement le nouveau cadre réglementaire dès le 25 mai 2018, sous peine non seulement de déclencher l’appli-cation de lourdes sanctions, mais aussi d’engendrer des déséquilibres dans les relations entre les acteurs concernés. Le contrat devient en effet, au regard de ce nouveau cadre, un instrument crucial en termes de qualification, de conformité et de responsabilité.

1. L’impact stratégique du GDPR sur les écosystèmes des entre-prises et organismes publics n’est plus à démontrer : nombreux sont les acteurs qui mobilisent, depuis plusieurs mois déjà pour certains, des ressources importantes dans leur mise en conformité à cette nouvelle réglementation.

2. Cet impact résulte en particulier de la consécration textuelle de deux nouveaux statuts juridiques, plus ou moins déjà connus de la pratique : celui de sous-traitant d’une part, et celui de responsable conjoint (« co-responsable ») d’un traitement de l’autre. Ces deux nouvelles qualifications, parce qu’elles sont associées à des obli-gations et des régimes de responsabilité nouveaux et spécifiques, rebattent les cartes du jeu en équipe que constitue, le plus souvent, la mise en place d’un traitement de données à caractère personnel.

3. Pour les acteurs concernés, l’application de l’une ou l’autre de ces qualifications est en effet lourde de conséquences, en ce qu’elle détermine le périmètre et la teneur des obligations qui leur incombent vis-à-vis du traitement auquel ils participent. Cet exer-cice de qualification doit ainsi représenter la première étape, déci-sive, de tout processus de bonne mise en conformité au GDPR ; il doit porter non seulement sur l’entité concernée elle-même (auto-qualification), mais également sur l’ensemble des membres de son écosystème (partenaires, fournisseurs ou clients notamment), afin d’identifier les droits et obligations mutuels de chacun.

4. il n’est pas surprenant, de ce point de vue, que l’essentiel de l’at-tention (et quelquefois de la tension) se concentre tout particuliè-rement sur le contrat : ce dernier constitue l’instrument classique et fondamental des relations entre acteurs économiques (au sens large) du point de vue juridique, et en tant que tel reflètera la dis-tribution de leurs rôles et prérogatives vis-à-vis du traitement de données. Le législateur européen ne s’y est d’ailleurs pas trompé, en intégrant dans le GDPR de nombreuses dispositions relatives aux contrats à conclure entre, d’une part, responsables de traite-ments et sous-traitants, et, d’autre part, responsables conjoints d’un même traitement.

5. La dernière ligne droite avant le 25 mai 2018 doit par consé-quent être le lieu d’une réévaluation, dans certains cas d’une renégociation et le plus souvent d’une mise à jour, des schémas contractuels en place entre acteurs impliqués dans la mise en œuvre d’un ou plusieurs traitements.

il importera, dans cette réévaluation et cette renégociation, de ne pas perdre de vue les trois enjeux cruciaux que revêt le contrat en relation avec le GDPR : qualification, conformité, responsabilité.

Le contrat comme instrument de qualification : tra-duire le réel en termes stratégiques

6. Le GDPR définit le responsable de traitement comme « la per-sonne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les fina-lités et les moyens du traitement » (art. 4.7) ; corollairement, les co-responsables d’un traitement, visés par l’article 26, seront ceux qui « déterminent conjointement les finalités et les moyens du traitement ». Le sous-traitant est quant à lui défini comme « la personne phy-sique ou morale, l’autorité publique, le service ou un autre orga-nisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (art. 4.8).

7. Ces définitions, qui ne diffèrent en rien, quant au fond, de celles déjà connues depuis l’actuelle directive 95/46/CE et sa transposi-tion dans la loi n° 78-17 du 6 janvier 1978 dite « loi Informatique & Libertés », ne sont au demeurant pas des plus instructives quant aux critères de qualification à mobiliser en pratique, tant elles sont formulées de façon générique et abstraite. On pourra certes se référer avec utilité, à cet égard, aux lignes directrices publiées en 2010 par le Groupe de travail de l’article 29 (G29), réunissant l’ensemble des autorités de contrôle de la protection des données à caractère personnel des différents États membres de l’Union Européenne (Avis 1/2010 du G29 du 16 février 2010 sur les notions de « responsable de traitement » et de « sous-traitant », WP 169).

8. Reste que cette opération de qualification est une opération particulièrement casuistique, autrement dit largement dépen-dante des circonstances factuelles propres à chaque hypothèse de

Merav Griguer avocat associée

Bird & Bird

sharone Franco Avocat à la Cour

Bird & Bird

Adrien Aulas Élève avocat Bird & Bird


traitement. La question de la qualification de l’opérateur d’un ser-vice de cloud, par exemple, soulève régulièrement de nombreuses incertitudes, tant il est vrai que ce dernier, en proposant un ser-vice « clé en main » à ses clients, peut être vu comme déterminant seul l’intégralité des moyens essentiels du traitement de données opéré via ce service ; cette incertitude peut d’ailleurs être étendue, de façon générale, à tous les prestataires de service proposant des contrats d’adhésion, peu voire non négociables.

9. De fait, dans ces conditions, l’application de telle ou telle quali-fication dépendra essentiellement de la nature et de l’étendue des prérogatives accordées, dans le contrat, à l’une et l’autre des par-ties vis-à-vis du traitement.

Concrètement : plus la marge de liberté laissée par exemple à un prestataire dans le choix des moyens techniques du traitement est importante, plus les chances de voir ce dernier évoluer d’un sta-tut de sous-traitant vers un statut de co-responsable apparaissent élevées.

10. Le risque tient ici, pour les parties au contrat, à ce que l’auto-rité de contrôle (en France la Commission Nationale de l’Informa-tique et des Libertés – la CNIL) dispose toujours du pouvoir de modifier la qualification que celles-ci auront retenu dans le contrat, et d’imposer celle qui lui paraît refléter la « réalité factuelle » de leurs rôles respectifs.

Dans cette analyse, les clauses du contrat jouent certes le rôle d’un indice essentiel, dans la mesure où elles traduisent les droits et obligations de chaque partie ; elles ne sont cependant pas le seul indice, et la CNIL pourra se fonder, par exemple, sur ses propres constatations relevées lors d’un contrôle de l’une ou l’autre des entités, si ces constatations trahissent la lettre du contrat.

11. il découle de tous ces éléments qu’un contrat stratégiquement rédigé, au regard du GDPR, doit partir de l’existant : la qualification retenue par les parties ne doit pas relever d’une opération de pure volonté, mais bien se fonder sur le poids réel de chacune dans la détermination des finalités et des moyens du traitement. Dans cet esprit, corollairement, les clauses du contrat devront être réflé-chies de manière à ne pas concéder un pouvoir trop important, si son rôle est pensé comme celui d’un sous-traitant ; on conservera en effet à l’esprit que ce dernier n’est censé agir « que sur instruction documentée du responsable du traitement » (art. 28.3.a).

Le contrat comme objet réglementé : les clauses obligatoires du GDPr

12. Cette première opération de qualification des parties revêt une importance décisive, dans la mesure d’abord où elle entraîne l’application de l’un ou l’autre des deux régimes de contrat régle-menté prévu par le GDPR.

13. Ce dernier encadre en effet le contenu d’une part des contrats de sous-traitance, conclus entre un responsable de traitement et son sous-traitant (art. 28), et d’autre part des contrats conclus entre plusieurs co-responsables d’un même traitement (art. 26). Notons d’ailleurs que ces contrats sont non seulement encadrés, mais obligatoires -leur absence comme leur incomplétude étant passibles de sanctions administratives pouvant s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires global annuel de l’entité concernée.

14. Concernant les contrats de sous-traitance, l’article 28.3 pré-sente ainsi une liste (non exhaustive) des engagements devant être pris par le sous-traitant vis-à-vis du responsable du traitement pour lequel il opère. Ces engagements consistent pour l’essentiel à ne traiter les données que sur instruction documentée du res-ponsable du traitement, à l’assister dans l’exécution de ses propres obligations ainsi qu’à garantir la sécurité et la confidentialité des données confiées.

15. ici encore, cependant, les dispositions du GDPR souffrent d’une trop grande généralité, et c’est aux stipulations du contrat elles-mêmes que revient la charge de préciser et d’adapter, pour le mieux, ces fameuses clauses obligatoires. La tâche n’est pas toujours aisée, tant certaines de ces clauses peinent à se fondre dans toutes les hypothèses : tel est notamment le cas de la « clause d’audit » de l’article 28.3.h, dont il a pu être souligné, à juste titre, qu’elle paraissait difficilement admissible pour des fournisseurs de services en ligne d’envergure mondiale, servant une infinité de clients de dimensions tout aussi variables.

16. Ces clauses devront donc être considérablement détaillées et enrichies, pour ne pas se limiter à une conformité « de façade » avec l’article 28.3, et ne pas fausser d’autre part les relations entre les parties.

17. Certaines d’entre elles présentent du reste un risque sup-plémentaire, en ce qu’elles pourraient, à défaut d’une formulation vigilante, jouer contre la qualification du sous-traitant lui-même, et partant lui imposer des responsabilités imprévues ; l’obligation de conseil imposée au sous-traitant, consistant pour celui-ci à devoir informer le responsable du traitement dans le cas où une instruc-tion de ce dernier lui paraîtrait constituer une violation de la régle-mentation, doit ainsi être adaptée pour ne pas contredire la règle de conduite fondamentale du sous-traitant, telle que précisée par l’article 28.3.a, à savoir de n’agir que sur instruction documentée du responsable du traitement. il appartiendra donc aux parties de s’entendre pour prévoir, dans le respect de cette hiérarchie, les suites à donner à l’avertissement lancé par le sous-traitant, étant entendu que ce dernier ne saurait a priori, sans outrepasser son rôle, s’arroger le droit d’écarter une instruction du responsable du traitement.

La revue d’information des experts-comptables (fiscal, social, juridique, comptable et profession)

Abonnez-vous à La Semaine Juridique



18. Concernant les contrats entre co-responsables d’un même traitement, le GDPR s’avère moins précis dans ses exigences : l’article 26 se borne, sans édicter de liste de clauses obligatoires, à imposer à ces co-responsables de répartir entre eux la charge de l’exécution des différentes obligations réglementaires du respon-sable de traitement, notamment en matière d’information et de respect des droits des personnes concernées par le traitement.

19. Un résumé de cet accord doit être rendu public à l’intention des personnes concernées, dont il est pour autant précisé qu’elles pourront exercer leurs droits à l’encontre de n’importe lequel des co-responsables.

Le contrat comme outil d’ajustement de la responsa-bilité : le jeu des garanties et actions récursoires

20. Cette dernière précision est caractéristique de la tournure d’esprit du GDPR à l’égard de ces situations à plusieurs acteurs ; le texte prévoit en effet, tant concernant les co-responsables d’un traitement que le responsable de traitement et son sous-traitant, le principe d’une responsabilité solidaire.

21. Ce principe, qui naît d’ailleurs de la création d’une responsabi-lité propre pour le sous-traitant (ce dernier n’étant, sous le régime actuel de la loi Informatique & Libertés, pas susceptible de sanction par la CNIL), engendre de nombreuses incertitudes, et autant de risques, pour les acteurs concernés, qui pourront être sanctionnés du fait d’unmanquement imputable en réalité à leur sous-traitant, client ou partenaire.Ces risques apparaissent d’autant plus élevés au regard de l’essor attendu des actions civiles enmatière de pro-tection des données à caractère personnel, permis notamment par l’introduction des actions de groupe dans ce domaine.

22. Faute de précision du règlement sur la manière dont elle sera poursuivie, il importe donc, pour ces acteurs, de préciser les méca-nismes propres à ajuster et corriger les effets de cette solidarité :

clauses de garanties, actions récursoires doivent ainsi être envisa-gées et stipulées en détails dans les contrats, afin notamment de se prémunir de l’impact de sanctions ou actions « d’opportunité », lorsque par exemple l’une des parties, bien que n’étant pas l’auteur du manquement, est plus exposée ou plus solvable que l’autre. Ces clauses devront s’appuyer sur une description approfondie des engagements de chaque partie conformément à son statut, afin de pouvoir identifier simplement, en cas de litige, celle à qui le man-quement doit in fine être imputé.

23. il convient également, de ce point de vue, de porter une atten-tion accrue aux limitations de responsabilité classiquement pré-vues dans les contrats commerciaux : il est de bon aloi d’y prévoir une exception pour ce qui concerne les garanties précitées, afin que ces garanties couvrent l’intégralité du montant de la sanction injustement infligée.

24. L’adaptation des contrats au GDPR ne saurait donc se limiter à la simple insertion automatique des clauses obligatoires prévues par le texte, mais doit au contraire prendre racine dans une véri-table réflexion concernant le rôle et les fonctions respectives de chaque partie, ainsi que les régimes de responsabilité associés. L’entrée en application de ce nouveau règlement pourra ainsi susci-ter des négociations renouvelées portant sur l’ensemble du cadre juridique de la relation entre ces parties, depuis la définition des droits et obligations de chacune jusqu’à l’évaluation et la mise en jeu de leurs responsabilités respectives. Concrètement, la signa-ture d’un nouveau contrat ou d’un avenant au contrat initial seront considérées. Dans d’autres circonstances, lorsque la perspective d’une renégociation des contrats s’avèrerait trop engageante, il conviendra d’envisager la mise en place d’une documentation contractuelle spécifique et complémentaire.

25. Étant précisé que le GDPR s’appliquera directement aux contrats en cours dès le 25 mai 2018, l’heure est bien d’ores et déjà à cette réflexion.

Retrouvez toute

l’année l’ensemble

de nos produits

LexisNexis et profi tez

des nouveautés, de

nouvelles éditions

et de dossiers

spéciaux à travers

des offres spéciales

chaque semaine !


18R

EV

MD

022

- P

HO

TO ©

SU

RA

DE

CH

14 -

FO

TOLI

A

Une équipe éditoriale experte et multidisciplinaire

Le traitement de l’actualité juridique est l’ADN de notre maison d’édition et notre cœur de métier depuis plus de cent ans.

Innovons ensemble pour le droit !

* Une équipe éditoriale de 40 personnes

* 8 000 auteurs

* 6 millions d’articles consultés en ligne chaque année

* Près de 100 000 lecteurs par an

* 31 comptes twitter

* 68 339 followers

La presse en chiffres


Tout au long de l’année, nos équipes éditoriales constituées de professionnels du droit et de praticiens enrichissent les revues LexisNexis par leur savoir-faire et leur expertise.

Aujourd’hui, LexisNexis Presse, c’est 33 titres spécialisés qui couvrent tous les domaines du droit.

Notre ambition : saisir toute l’actualité, la décrypter, l’analyser et vous la délivrer sous forme de commentaires, d’études, de formules, de fiches pratiques pour vous faire bénéficier de l’information la plus fiable, la plus complète et la plus opérationnelle possible tout au long de l’année.

L’information vous est restituée au format que vous souhaitez, et vous la recevez au rythme que vous voulez :

• LexisActu.fr , pour vous alerter des sujets qui peuvent impacter vos dossiers et ceux de vos clients

• les revues , pour une lecture rapide des points essentiels, les informations de la profession, partager les points de vue d’experts et de praticiens

• Lexis 360.fr , pour aller plus loin et faire le tour des sujets qui vous concernent


> La Semaine Juridique - Notariale et immobilière - n° 5 - 2 février 2018

3 questions à Aurélie Merquiol

Le CIL« Chef d’orchestre de la conformité informatique et libertés »

Qu’apporte le rGPD par rapport à la Loi informa-tique et libertés ?> Aurélie Merquiol Ce cadre juridique uniformisé pour tous les pays de l’Union européenne renforce les droits des personnes en instaurant par exemple un droit à la portabilité des données ou encore le droit d’introduire une action collective. Les formalités déclaratives sont allégées en contrepartie d’une responsabilisation renforcée de tous les acteurs et d’une approche de conformité par le risque.

Le délégué à la protection des données devient un acteur central de la conformité.

Les sous-traitants voient leur responsabilité précisée puisqu’une grande partie des obligations imposées aux responsables de traite-ment leur seront étendues. Les sanctions sont renforcées avec une hausse considérable de l’amende administrative que peut pronon-cer la CNIL : 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires.

Quelles obligations en découlent pour les offices ?> Aurélie Merquiol Le CIL, qui devient délégué à la protection des données, est rendu obligatoire pour le notariat. Ceci signifie que, le 25 mai 2018, chaque étude devra avoir désigné un délégué qui pourra être Cil.not, un délégué interne à l’étude, ou un presta-taire externe.

En raison du risque de conflit d’intérêt, le notaire ne pourra pas exercer cette mission. Le notaire devra ensuite mettre en place les mesures préconisées par son délégué à la protection des données comme par exemple la sécurisation de ses relations contractuelles avec les prestataires de l’étude ou encore la mise en conformité de son système informatique avec les règles de sécurité.

L’obligation de sécurité des données est en effet alourdie dans cette nouvelle réglementation avec l’extension de l’obligation de notifi-cation des violations de données à tous les professionnels. Cette notification s’entend auprès de l’autorité de contrôle, la CNIL, mais également aux personnes concernées donc le plus souvent les clients de l’étude. En cas de violation de données, le respect de l’obligation de sécurité et de confidentialité sera apprécié au regard de règles de sécurité mises en œuvre au sein de l’étude. Pour tous les traitements de données à risque, le notaire devra en outre faire réaliser une étude d’impact sur la vie privée. Concrètement il faudra être en mesure de démontrer que des mesures de gouvernance ont été mises en œuvre pour garantir le respect de la réglementation relative à la protection des données personnelles.

Ce nouvel arsenal juridique contient certaines dispositions lais-sées à l’appréciation du législateur national qui vont être discutées dans les jours qui viennent à l’Assemblée nationale dans le cadre du Projet de loi relatif à la protection des données personnelles.

Le règlement général sur la protection des données – le rGPD - sera applicable le 25 mai 2018 (V. F. Naf-talski, JCP N 2018, n° 1, 1000). D’ici là, chaque étude de notaire devra avoir désigné le pilote de sa mise en conformité à cette réglementation : le délégué à la protection des données.

Ce dernier peut être soit une personne désignée à cet effet dans l’étude, soit, en externe, un professionnel du conseil ou encore le Correspondant informatique et Libertés – CiL - mutualisé de la profession. Aurélie Merquiol, CiL du notariat, fonction proposée au sein de l’ADsN, explique en quoi consiste sa mission et quelles sont les nouvelles obligations des notaires.

en quoi consiste votre mission de correspondante informatique et libertés du notariat ?> Aurélie Merquiol Cil.not, une entreprise du Groupe ADSN, a été mandatée par le Conseil supérieur du notariat pour veiller au respect par la profession notariale de la réglementation relative à la protection des données. C’est le Correspondant informatique et libertés (CIL) mutualisé du notariat.

Dans ce cadre et après la désignation volontaire de l’office, Cil.not cartographie les traitements de données personnelles mis en œuvre au sein de l’étude, conseille le notaire sur les pratiques de gouver-nance en matière de mise en conformité et sensibilise chaque inter-locuteur aux enjeux de la protection des données. il revient ensuite à l’étude de mettre en œuvre les préconisations du CIL.

La désignation d’un CIL ne suffit en effet pas à elle seule à garan-tir la conformité de l’étude. Notre rôle consiste également à être l’interlocuteur privilégié de la CNIL sur toutes les questions et projets concernant le notariat. Cil.not se charge aussi de veiller à la conformité des services proposés par les prestataires du notariat, tels que les éditeurs de logiciels, par exemple.

Enfin, Cil.not dispense des formations « Conformité informatique et libertés » dédiées aux collaborateurs qui sont en charge de gérer cette conformité au sein de l’étude. La mission du CIL est compa-rable à celle de chien d’aveugle du monde virtuel. C’est un outil mis à disposition des responsables de traitement leur apportant plus de sécurité juridique et de sécurité informatique. Crée en 2005 par la législation française, il a été conforté par le RGPD dans un rôle de chef d’orchestre de la conformité informatique et libertés.

La revue de référence du notariat


> La Semaine Juridique - Édition Sociale - n° 15-16 - 17 avril 2018

RGPD et RH : dernière ligne droite pour les entreprises

Guillaume Bordier, avocat associé, Capstan avocats

Basile Moore, avocat, Capstan avocats

Le régime de la notification varie selon le type de données per-sonnelles concernées par le traitement. alors que les traitements relatifs à des données dites « sensibles » 1 doivent faire l’objet d’une demande d’autorisation préalable délivrée par la CNIL, les traite-ments concernant des données usuelles doivent faire l’objet d’une simple déclaration (dite « déclaration normale ») ou d’une déclara-tion simplifiée (exemple : systèmes de traitement relatifs à la gestion du personnel 2, à défaut de bénéficier d’une dispense de déclaration (exemple : traitement de données relatives à la gestion de la paie 3.

De telles déclarations sont actuellement nécessaires lors de la mise en place d’un système de traitement de données personnelles – même lorsqu’il concerne un nombre restreint de personnes 4 – ainsi qu’en cas de « modification substantielle » 5. La suppression de ce régime de notification préalable à compter du 25 mai 2018 représentera une évolution majeure pour bon nombre d’entre-prises, qui se contentaient jusqu’alors de déclarer leurs systèmes de traitement sans concrètement s’assurer par la suite qu’ils res-taient conformes à la législation applicable en matière de protec-tion des données personnelles.

...MAis eLLes DevrONT MeNer uNe éTuDe D’iMPACT POur Les « TrAiTeMeNTs À risQue »

Le RGDP prévoit un régime particulier pour les « traitements à risque », qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques : une analyse d’impact (Privacy Impact Assessment en anglais) doit être menée préalable-ment à leur mise en œuvre. La notion de risque sur la vie privée est décrite comme un scenario décrivant : (i) un événement redouté (accès non autorisé, modification non désirée ou disparition de données et ses impacts potentiels sur les droits et libertés des per-sonnes) ou (ii) toutes les menaces qui permettraient qu’il survienne. il est estimé en termes de gravité pour les personnes concernées et de vraisemblance (exemple : risque de diffusion à un concurrent par un salarié d’un fichier des adresses email des clients de l’entre-prise, qui peut sembler peu grave au regard de ses conséquences pour les clients et vraisemblable).

Sont notamment concernés les traitements à grande échelle de données « sensibles » ou des traitements reposant sur « l’évalua-tion systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions » (notamment le profilage).

Pour la CNIL, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d’une analyse d’impact :

L’échéance est connue de longue date : le 25 mai 2018 marquera l’entrée en vigueur du règlement général sur la protection des données (« rGPD ») applicable dans l’ensemble de l’union européenne. Quels que soient la taille de leurs entreprises et leurs domaines d’activité, les employeurs doivent adopter une approche pragma-tique pour assurer la conformité de leurs systèmes de traitement de données rH (recrutement, évaluation, rémunération, formation, protection sociale, gestion des accès et outils informatiques...) d’ici le 25 mai pro-chain et ce, alors même que l’ensemble de l’environne-ment juridique applicable à la protection des données personnelles n’est pas encore entièrement figé – pour rappel, le projet de loi « relative à la protection des données personnelles » dont l’objet est de mettre à jour les dispositions de la loi « informatique et Libertés » de 1978, est actuellement encore en cours de discussion devant le Parlement alors qu’elle est censée entrer en application en même temps que le rGDP... Dans cette perspective, il est utile de rappeler les principales évolutions et d’identifier les outils dont les entre-prises devront se doter dans leur démarche de mise en conformité.

suppression de la majorité des obligations déclara-tives auprès des autorités de contrôle

Les eNTrePrises N’AurONT PLus À DéCLArer Leurs TrAiTeMeNTs De DONNées PersONNeLLes AuPrès De LA CNiL...

Le RGDP et le projet de loi « relative à la protection des données personnelles » suppriment la plupart des obligations déclaratives auprès des autorités de contrôle. Pour rappel, la mise en place d’un système de traitement de données personnelles est actuellement en France subordonnée à sa notification préalable à la Commission nationale de l’informatique et des libertés (CNIL).

1. Exemples de données sensibles : origines raciales ou ethniques, opinions poli-tiques, philosophiques ou religieuses ou appartenance syndicale des personnes, ou données relatives à la santé ou à la vie sexuelle, données biométriques,... (RGPD, art. 9. – L. n° 78-17, 6 janv. 1978 dite loi « Informatique et libertés », art. 6).

2. Norme simplifiée n° 46 (CNIL, délib. n° 2005-002, 13 janv. 2005, portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels, modifiée par CNIL, délib. n° 2005-277, 17 nov. 2005).

3. Dispense n° 002 (CNIL, délib. n° 2004-097, 9 déc. 2004, décidant la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par les personnes morales de droit privé autres que celles gérant un service public).

4. La Cour de cassation a considéré qu’un traitement de données à caractère per-sonnel doit être déclaré à la CNIL même s’il ne concerne qu’une seule personne et ne contient que peu de données (Cass. crim., 8 oct. 2015, n° 13-85.587).

5. Toutefois, les traitements pour lesquels le responsable a désigné un correspondant informatique et libertés sont dispensés des déclarations normales et de déclarations sim-plifiées, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de l’Espace économique européen est envisagé (Cass. soc., 23 avr. 2013, n° 11-26.099).


évaluation/scoring (y compris le profilage), décision automatique avec effet légal ou similaire, surveillance systématique, collecte de données sensibles, collecte de données personnelles à large échelle, croisement de données, personnes vulnérables (patients, personnes âgées, enfants, etc.), usage innovant (utilisation d’une nouvelle tech-nologie), exclusion du bénéfice d’un droit ou d’un contrat.

À titre d’exemple, la CNIL considère que la mise en place d’un sys-tème de contrôle de l’activité des salariés requiert une analyse d’impact dès lors que ce traitement implique une surveillance sys-tématique et concerne des personnes « vulnérables » au sens des lignes directrices du G29 (groupe des autorités de contrôle euro-péennes) 6.

Une analyse lourde de conséquences pour des employeurs dont les dispositifs de contrôle de l’activité des salariés sont aussi nom-breux que variés (dispositifs de badgeuse, de géolocalisation, de contrôle du temps de travail, etc.). Par ailleurs, quelles seront les conséquences d’un éventuel défaut de réalisation d’une étude d’impact ? Les informations issues de ces dispositifs seront-elles considérées comme illicites et inopposables aux salariés lors d’une instance prud’homale ?

Des nouvelles problématiques qui pourraient assez rapidement faire l’objet de débats devant les juridictions dans les prochains mois.

Consciente de ces enjeux, la CNIL se veut toutefois rassurante. Elle précise qu’une étude d’impact ne sera pas exigée pour (i) les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (sous réserve qu’ils ne fassent pas l’objet d’une modification substantielle à compter de cette date) et (ii) les traitements qui ont été consignés au registre d’un corres-pondant informatique et libertés. Cette dispense sera cependant limitée à une période de 3 ans 7.

Par ailleurs, la CNIL accompagne les responsables de traitement dans la réalisation de leurs études d’impact en mettant à leur dis-position certains outils tels que le « Guide Pia » ou le « logiciel Pia ». La CNIL a également indiqué qu’elle publierait prochainement « la liste des traitements obligatoirement soumis à analyse d’impact et la liste des traitements pour lesquels, au contraire, aucune analyse n’est requise ». 8 Dans l’attente de ces précisions, une étude d’im-pact devrait à tout le moins être envisagée pour les traitements actuellement soumis à des demandes d’autorisation (dispositifs de géolocalisation, d’alertes professionnelles, etc.).

Enfin, il convient de préciser que si au terme de son étude d’impact le responsable du traitement ne parvient pas à réduire le risque par des mesures appropriées, il devra consulter la CNIL avant de mettre en œuvre le traitement, celle-ci pouvant le cas échéant s’opposer à sa mise en place.

intégrer les principes de responsabilité et de protec-tion des données dès la conception

Le resPONsABLe De TrAiTeMeNT : PreMier GArANT De LA PrOTeCTiON Des DONNées

Parallèlement à la suppression des obligations déclaratives auprès des autorités de contrôle, le RGDP crée un principe de responsabi-lité particulièrement étendu.

Les responsables de traitement deviennent les premiers garants de la protection des données qu’ils traitent : ils doivent définir dès la conception du traitement (principe du privacy by design), puis mettre en œuvre à tout moment les mesures techniques et organisation-nelles nécessaires pour assurer la conformité des traitements qu’ils opèrent et enfin, pouvoir le démontrer en cas de contrôle (principe d’accountability) par une documentation adéquate 9. En particulier, la sécurité des données doit être assurée en continu et prendre en compte les évolutions technologiques. En premier lieu, les employeurs devront s’assurer que leurs traitements répondent a minima aux principes de base posés par l’article 5 du RGDP et l’ar-ticle 6 de l’actuelle loi Informatique et Libertés : collecter et traiter les données personnelles de manière loyale et licite ; collecter les données personnelles pour des finalités déterminées, explicites et légitimes et s’assurer qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; s’assurer que les don-nées personnelles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; s’assurer que les données sont exactes, complètes et, si nécessaire, mises à jour ; conserver les données sous une forme permettant l’identification des personnes concer-nées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

En pratique, les entreprises devront se poser les premières ques-tions suivantes :

* Réalisons-nous des traitements de données à caractère person-nel soumis au RGPD et à la loi Informatique et Libertés ?

* Suis-je bien responsable de traitement au sens de ces disposi-tions ?

* Fais-je appel à des sous-traitants ou prestataires qui traitent des données personnelles pour mon compte ?

* La collecte des données personnelles est-elle faite de manière licite et transparente ?

À noter que les règles applicables à la licéité du traitement ne sont pas bouleversées par le RGDP : un traitement de données personnelles n’est licite que si la personne concernée a formelle-ment consenti au traitement de ses données personnelles ou si le traitement correspond à certains autres fondements juridiques autorisés, notamment s’il est nécessaire pour l’exécution d’un contrat auquel la personne concernée est partie (contrat de travail, contrat commercial...), pour le respect d’une obligation légale (paie-ment des cotisations sociales, prélèvement de l’impôt à la source...), s’il est justifié par un « intérêt légitime » suffisant poursuivi par le responsable de traitement (contrôles d’accès, vidéosurveillance...), etc.

Le RGDP durcit considérablement le régime du consentement qui doit désormais se manifester par une déclaration ou un acte positif clair (plus de consentement par défaut) et n’est pas valable en cas de « déséquilibre manifeste » (telle qu’une relation salariée) entre la personne concernée et le responsable de traitement, sur lequel repose la charge de la preuve. En outre, la personne concernée peut ensuite retirer son consentement à tout moment. Par conséquent, le recours à un fondement juridique autre que le consentement devra être privilégié chaque fois qu’il sera possible (exemples : trai-tement nécessaire à l’exécution d’un contrat de travail, traitement 6. CNIL, Publication des lignes directrices du G29 sur les DPIA, 18 oct. 2017 :

www.cnil.fr.7. CNIL, Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA) : www. cnil.fr.8. www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periodetransitoire. 9. V. infra.

Le RGPD durcit considérablement le régime du consentement qui doit désormais se manifester par une déclaration ou un acte positif clair


nécessaire au respect d’une obligation légale à laquelle l’employeur est soumis, justification par l’« intérêt légitime » de l’entreprise).

* Les principes de proportionnalité et de minimisation des don-nées traitées sont-ils bien respectés au regard de la finalité du trai-tement et des catégories de données collectées ?

* Des données sensibles, d’infractions ou relatives au NIR 10 sont-elles collectées ? Si oui, les règles spécifiques applicables sont-elles bien respectées ?

* Des études d’impact 11 doivent-elles être menées concernant les traitements mis en place ? Si oui, ces études d’impact doivent-elles être communiquées à la CNIL ?

* Des durées de conservation ont-elles été définies pour chaque catégorie de données ? Comment seront-elles respectées ? Des modalités d’archivage des données ont-elles été définies ?

* Une politique de sécurité et de confidentialité des données a-t-elle été définie ? Est-elle communiquée dans l’entreprise ?

* Des transferts de données en dehors de l’espace économique européen sont-ils opérés ? Si oui, font-ils l’objet d’un encadrement juridique approprié ?

* Une politique de documentation de la conformité est-elle mise en œuvre ? Si oui, dans quelles conditions exactes ?

* Des procédures sont-elles définies afin de respecter les droits des personnes dans les délais requis (information, accès, rectification, opposition et recueil du consentement exprès lorsqu’il est requis) ?

LA POssiBiLiTé De reCOurir Aux OuTiLs éTABLis PAr LA CNiL

Les entreprises peuvent utiliser un certain nombre d’outils de conformité : processus d’habilitation, certifications, labels, audit de conformité, codes de conduite d’associations ou organismes profes-sionnels soumis aux autorités de contrôle, politiques internes, etc.

Si certains existent déjà (exemples : label « CNIL Gouvernance pour une procédure tendant à assurer la protection des données »14, guide CNIL relatif à la sécurité des données personnelles - Edition 2017), de nouveaux outils de conformité devraient être créés par

la CNIL prochainement, étant précisé que l’établissement de tels outils sera expressément prévu parmi les missions confiées à la CNIL à compter du 25 mai 2018 15. La CNIL a notamment annoncé qu’un « pack TPE-PME » sera disponible dès le mois d’avril 2018, ainsi qu’un plan d’accompagnement dédié aux start-up.

Enfin, les entreprises pourront s’inspirer de la doctrine de la CNIL actuellement en vigueur pour assurer la conformité de leur sys-tème de traitement. Dans son « question-réponse règlement », la CNIL a en effet précisé que les « dispenses, les normes simplifiées et les autorisations uniques constitueront des bonnes pratiques »16 à compter du 25 mai 2018.

Par conséquent, une entreprise mettant en place un système de gestion du personnel pourra se baser sur les dispositions conte-nues dans la norme simplifiée n° 46 pour assurer la conformité de son système de traitement. Une entreprise soumise à l’obligation de mettre en place un dispositif d’alerte professionnelle pourra de même s’inspirer des dispositions de l’Autorisation Unique AU-004, etc.

Les entreprises pourraient avoir intérêt à déclarer avant le 25 mai 2018 leurs systèmes de traitement dans le cadre des normes sim-plifiées et demandes d’autorisation.

En effet, ces déclarations à la CNIL pourraient constituer un moyen utile pour documenter la conformité de ces traitements à compter du 25 mai 2018. Toutefois, l’intérêt de cette démarche pourrait être limité en pratique s’agissant des demandes d’autorisation : la CNIL a en effet précisé sur son site internet que « compte tenu des actions nécessaires à l’accompagnement des responsables de traitement, la CNIL ne sera pas nécessairement en mesure de traiter, dans le délai imparti, l’ensemble des demandes d’autorisation qu’elle a déjà reçues et qui seront adressées d’ici le 24 mai 2018. [...] La CNIL invite dès lors les responsables de traitement à privilégier dès à présent les actions de mise en conformité avec les règles de fond du RGDP et à préparer si nécessaire une analyse d’impact » 17.

15. Article 1er du projet de loi « relative à la protection des données personnelles».

16. « Règlement européen : que vont devenir les dispenses, les normes simplifiées et les autorisations uniques de la CNIL ? » (www.cnil.fr/cnil-direct/question/1256 ?visiteur=part).

17. www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire.

14. CNIL, délib. n° 2017-219, 13 juill. 2017, portant modification du référentiel pour la délivrance de labels en matière de procédures de gouvernance tendant à assurer la protection des données.

• Tenir un registre des activités de traitement pour « cartographier » les données personnelles traitées par l’entrepriseL’outil indispensable pour assurer et documenter sa conformitéL’occasion de vérifier la conformité des transferts de données personnelles à l’étranger et de s’assurer de la conformité des traitements de données mis en œuvre par des sous-traitants

• Désigner un délégué à la protection des données personnelles (DPD)Une désignation obligatoire ou fortement recommandéeLe statut et les missions du DPD

• Informer et former les salariés sur la protection des données personnellesAdapter les informations préalables : un paradoxe...Établir des procédures internes et former les salariés pour assurer la conformité de l’entreprise

• Risques et sanctions en cas de manquementLes pouvoirs de sanction accrus des autorités nationales de contrôleRisque civil et responsabilité pénale

L’article complet à lire dans le n° 15-2018


> La Semaine Juridique - Administrations et Coll. territoriales - n° 2 - 15 janvier 2018

Les enjeux du projet de loi relatif à la protection des données personnelles (« CNIL3 »)

Toutefois, dans son avis (CNIL, délib. n° 2017-299, 30 nov. 2017), après avoir salué cette adaptation du droit français au nouveau cadre européen, la CNIL regrette une « occasion manquée de procéder à un réexamen global du droit », qui aboutit à un texte manquant de lisibilité. Elle suggère à cette occasion plusieurs amendements.

Il nous semble utile de compléter ces suggestions de la CNIL par d’autres pistes, visant notamment à diminuer les écarts entre la future loi modifiée dite « CNIL3 » et le RGPD, et à compléter le pro-jet par une mise en cohérence du volet pénal (V. § 10).

un projet de loi complexe

NéCessiTé De LéGiFérer

2. La loi Informatique et Libertés, qui date de 1978, a connu de nombreuses modifications depuis cette époque, notamment en 2004 à l’occasion de la transposition de la directive européenne 95/46/CE, et encore dernièrement, notamment par la loi du 7 octobre 2016 pour une République numérique (L. n° 2016-1321, 7 oct. 2016 : Journal Officiel du 8 Octobre 2016 ; JCP A 2016, act. 774).

3. Toutefois, cette loi doit à nouveau impérativement être modifiée avant l’entrée en application le 25 mai 2018 du RGPD, et également pour transposer la directive européenne 2016/680 sur la protec-tion des données dans les cas d’enquêtes et de poursuites pénales.

MAis POurQuOi DONC Le rGPD, Qui esT D’APPLiCATiON DireCTe, iMPOse-T-iL De LéGiFérer ?

Il y a plusieurs raisons à cela.

Tout d’abord, il est nécessaire d’abroger les dispositions nationales contraires au RGPD, par exemple le montant des sanctions de la CNIL, et de modifier celles dont la rédaction présente des diffé-rences notables avec les dispositions équivalentes du RGPD, par exemple la liste limitative des données dites « sensibles ».

il est également indispensable de revoir dans son intégralité le régime des formalités préalables, celles-ci étant dans la majorité des cas supprimées par le RGPD - bien entendu, des formalités nationales peuvent subsister en parallèle pour les traitements ne relevant pas du champ du RGPD ou dans certains cas particuliers prévus par le RGPD.

Le Parlement est en train de débattre d’un projet de loi relatif à la protection des données personnelles. Ce projet vise à modifier la loi Informatique et libertés pour la rendre compatible avec le rGPD, mais aussi pour adopter les options nationales prévues par ce règlement et pour transposer la directive 2016/680 sur les traitements de données dans un cadre pénal.

Cet enchevêtrement d’objectifs en rend la rédaction malaisée, et la CNiL s’alarme du manque de lisibilité du résultat.

Au-delà des amendements proposés par la CNiL, d’autres amendements sont possibles pour réduire les divergences entre le droit national et le rGPD, et pour mettre à jour les articles du code pénal réprimant les atteintes aux données personnelles.

1. Depuis le lancement en 2012 du chantier qui devait aboutir au RGPD, l’évolution prévisible du cadre juridique des données person-nelles pouvait paraître simple : le RGPD, d’application directe, allait remplacer notre bonne vieille loi Informatique et Libertés (L. n° 78-17, 6 janv. 1978), et fournir ainsi un nouveau cadre européen unifié.

Voire !

C’était oublier que le RGPD ne s’applique qu’à certains types de traitements, qu’il prévoit plus de cinquante options à déterminer par le droit national, qu’en parallèle il faut transposer la directive 2016/680 sur la protection des données dans les cas d’enquêtes et de poursuites pénales, et que, de toute façon, les traitements qui échappent à la compétence de l’Union européenne, notamment les traitements de souveraineté, ne peuvent être régis que par le droit national.

Le projet de loi relatif à la protection des données personnelles déposé par le Gouvernement le 13 décembre dernier (Proj. de loi AN n° 490, 13 déc. 2017 : JCP A 2017, act. 857) et adopté en pre-mière lecture par l’assemblée nationale le 13 février 2018 (Texte adopté n° 84), vise donc à traiter en même temps tous ces aspects (V. § 2).

Fabrice Mattatia ingénieur général des mines, docteur en droit, chercheur associé à l’université Paris 1, directeur exécutif du mastère spécialisé Data Protection Management de Télécom École de Management

Point de vue par Fabrice Mattatia


Ensuite, le RGPD prévoit 56 marges de manœuvres nationales, pour lesquelles chaque État membre peut décider d’adopter des dispositions spécifiques - ou pas : ainsi pour les modalités des actions collectives, ou pour l’âge à partir duquel un mineur peut consentir à un traitement de données lié à l’offre directe de ser-vices de la société de l’information.

Le PrOJeT De LOi

4. Le projet se divise en cinq titres.

5. Le titre I traite des dispositions communes au RGPD et à la directive. Il modifie notamment les missions et les compétences de la CNIL, ainsi que ses procédures de sanction, créant par exemple une injonction sous astreinte à 100 000 EUR par jour.

6. Le titre II du projet de loi traite des marges de manœuvre per-mises par le RGPD. Il ajoute notamment à la loi n° 78-17 un article 5-1 nouveau précisant le champ d’application territoriale de ces marges de manœuvre.

Concernant les formalités préalables, il supprime le régime de déclaration actuel, ainsi que la plupart des formalités. Certaines subsistent, soit dans les cas prévus par le RGPD, comme l’utilisa-tion du numéro de sécurité sociale, soit pour les traitements ne relevant pas du RGPD. Concernant les données de santé, le projet de loi procède à une réécriture complète du chapitre IX de la loi qui leur est consacré. Contre l’avis du gouvernement, les députés ont abaissé à 15 ans (contre 16 ans dans le projet initial) l’âge à partir duquel les mineurs peuvent s’inscrire sur les réseaux sociaux sans le consentement de leurs parents et, plus important, ils ont élargi à la réparation des préjudices matériels et moraux la possibilité d’exercer des actions de groupe.

7. Le titre III du projet de loi transpose la directive 2016/680 sur la protection des données dans les cas d’enquêtes et de pour-suites pénales. La nature de ces traitements justifie que les obliga-tions des responsables ainsi que les droits des personnes soient

adaptés : on comprendra aisément que le droit d’information ou le droit d’opposition puissent y être restreints.

8. Le titre IV du projet de loi prévoit une habilitation à ordon-nance. Comme l’indique le texte, « sans remettre en cause les choix du législateur dans le cadre du présent projet de loi, l’habilitation a pour objet de permettre au Gouvernement de prendre, dans un délai de six mois, une ordonnance pour procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978 afin notamment d’améliorer son intelligibilité, de mettre en cohérence avec ces changements l’ensemble de la législa-tion applicable à la protection des données à caractère personnel et d’en prévoir l’application à l’outre-mer ».

9. Enfin, le titre V du projet de loi, consacré aux dispositions finales, met notamment à jour les références internes de la loi, et fixe la date d’entrée en vigueur de la loi au 25 mai 2018.

PisTes D’AMeNDeMeNTs

10. Il convient tout d’abord de souligner la difficulté que représen-tait la rédaction de ce projet de loi. Comme rappelé plus haut, la future loi modifiée doit articuler les dispositions applicables aux traitements relevant respectivement du RGPD, de ses options nationales, de la directive 2016/680, ou du droit strictement national, avec à chaque fois éventuellement des droits et des obligations différents.

En outre, il est temps de reconnaître que le RGPD lui-même est un monstre de 99 articles négociés dans l’urgence, souvent peu lisibles, chaque règle admettant des exceptions, et qu’il contient quelques contradictions internes.

L’étude d’impact du projet de loi reconnaît ainsi au détour d’un article (p. 94) que l’interprétation du RGPD est parfois délicate et sujette à caution : « Le mécanisme mis en place par l’article 35.10 du règlement semble être le suivant (...) ».

Dans ces conditions, on ne peut que saluer les efforts déployés pour rénover une loi qui fait figure de symbole, voire d’icône, tout en en conservant la structure fondamentale.

R éférence pour les collectivités terri-toriales, avocats, magistrats, notaires, administrations centrales et territoriali-

sées, universités…

Retrouvez chaque semaine toute l’actualité du droit traitée à chaud, des commentaires de jurisprudence pour rester en prise avec une actualité mouvante, des études pour prendre de la hauteur, des chroniques (Urba-nisme, procédure contentieuse, propriétés publiques, droit des aides d’État, …) pour faire le point et des fiches pratiques, pour faciliter la mise en œuvre de la règle de droit.

La revue des acteurs publics


NéCessiTé D’AMeNDer Le PrOJeT

11. À la fin du projet de loi, l’habilitation du gouvernement à réé-crire le droit par ordonnance répond à une raison simple : le droit positif résultant de l’adoption du projet de loi actuel manquera de lisibilité.

Comme le souligne la CNIL dans son avis, « la loi pourra induire en erreur le lecteur sur la portée de ses droits et obligations. En effet, des dispositions formellement inchangées et toujours en vigueur de la loi de 1978 ne seront en réalité plus applicables, car substituées, dans leur champ, par les dispositions du Règlement (...), tandis que la loi nationale ne comportera aucun écho à certains nouveaux droits ou nouvelles obli-gations posés par le Règlement. D’autre part, la loi du 6 janvier 1978 ne donnera pas de grille de lecture permettant aux citoyens et aux respon-sables de traitement de comprendre les droits et obligations différenciés qui existeront demain dans les trois grands compartiments de la protec-tion des données que seront le champ du Règlement (à savoir les fichiers « civils et commerciaux », mais également certains fichiers relevant de l’administration), celui de la Directive (...) et, enfin, ce qui ne relève pas du champ du droit de l’Union ou relève du seul chapitre 2 du titre V du traité sur l’Union européenne (traitements intéressant la sûreté de l’État et la défense) ». Par conséquent, « la Commission appelle dès lors de ses voeux l’adoption des plus rapprochées de l’ordonnance annoncée, ainsi qu’une réécriture du droit français conforme aux principes ci-dessus, de manière à ce que la loi du 6 janvier 1978 puisse donner un mode d’em-ploi clair, ce qui est démocratiquement l’une de ses vocations ».

12. En outre, la CNIL formule dans son avis quelques amende-ments qui lui semblent nécessaires au projet de loi.

13. De notre côté, il nous semble utile d’y ajouter quelques pistes d’amendements.

suggestions supplémentaires

14. Dans l’attente de l’ordonnance, pendant plusieurs mois, respon-sables de traitements et personnes concernées risquent de demeu-rer dans l’incertitude quant à leurs droits et à leurs obligations.

La principale source de conflit réside dans la coexistence de dis-positions de la loi informatique et libertés et de dispositions diffé-rentes du RGPD sur le même sujet.

On pourrait être tenté d’abroger simplement les articles de la loi n° 78-17 redondants avec des articles du RGPD. Mais dans ce cas, plus aucune disposition n’existerait pour les traitements non cou-verts par le RGPD.

Il faut donc, soit systématiquement recopier mot à mot ce der-nier dans la loi, soit insérer dans toutes les dispositions nationales concernées un renvoi aux dispositions du RGPD correspondantes, en précisant leur champ d’application : ou bien elles ne s’appliquent que dans le champ du RGPD, ou bien on décide de les étendre aux traitements non concernés par le RGPD.

15. On peut noter que cet exercice a été effectué une fois dans le projet de loi : ce dernier ajoute à l’article 35 de la loi n° 78-17, consacré aux sous-traitants, un alinéa ainsi rédigé : « Toutefois, dans le champ d’application du règlement (UE) 2016/679, le sous-traitant respecte les conditions prévues au chapitre IV de ce règlement ».

16. il est donc suggéré de généraliser cette solution, en l’adaptant bien entendu pour chaque disposition. Sont notamment concernés les articles 6, 7, 32, 34, 34 bis, 38, 39 et 40 de la loi, dont la rédaction diffère significativement des articles correspondants du RGPD.

17. Plus délicat est le cas du champ d’application territoriale. alors que la loi actuelle s’applique (art. 5) lorsque le responsable de traitement ou les moyens de traitement se trouvent en France, le RGPD s’appliquera (art. 3) lorsque le responsable de traitement ou la personne concernée se trouveront dans l’Union européenne, ce à quoi le projet ajoute à la loi un article 5-1 nouveau selon lequel les options nationales du RGPD s’appliqueront pour les personnes résidant en France.

Outre qu’il n’est pas évident pour le public de savoir, dans la future loi, quelles dispositions relèvent de chacun de ces champs, cette superposition de trois régimes d’application territoriale risque de mener à des contradictions ou à des conflits d’applicabilité dans

leur mise en œuvre. Pour atténuer cette difficulté, il est suggéré d’aligner l’article 5 de la loi informatique et libertés sur l’article 3 du RGPD.

Enfin, alors que le RGPD augmente sensiblement les sanctions pécuniaires en cas de violation de ses dispositions, le projet de loi harmonise les montants de l’article 45 de la loi, mais pas les articles 226-16 et suivants du Code pénal visés à l’article 50, ni son article 51 réprimant « l’entrave à la CNIL ».En outre, la rédaction de ces articles du Code pénal n’est plus adaptée à la situation, ignorant les nouvelles obligations du RGPD et faisant référence à des formalités abrogées (demande d’avis, déclaration, norme simplifiée...). Il est donc suggéré de profiter de ce projet de loi pour aligner les montants des amendes pénales sur les sanctions pécuniaires du RGPD, et pour mettre à jour la rédac-tion de ces articles quand nécessaire.

Il conviendra de ne pas oublier les articles R. 625-10 à R. 625-13 du Code pénal, actuellement simples contraventions, mais qui répriment des infractions (non-respect des droits d’accès, de rec-tification, etc.) particulièrement sanctionnées par le RGPD : une requalification en délits s’impose.

18. Le Sénat saisira-t-il l’occasion d’adopter ces amendements ?

Service incLuS dAnS votre Abonnement

Téléchargez graTuiTemenT

l’appli eT laissez-vous guider…

www.lexisnexis.fr/lexiskiosque* Sauf la Semaine Juridique Notariale et Immobilière

Développez votre activité avec un logiciel métierDisponible en mode Saas ou sur site

RETROUVEZ TOUTES NOS SOLUTIONS

www.lexisnexis.frINFORMATIONS / DÉMONSTRATIONS

Logiciels.lexisnexis.fr / 01 71 72 47 48

Lexis PolyOffi ce®

Le logiciel intelligent des cabinets d’avocats

#AVOCATENTREPRENEUR 17

LAW

SV0

55 –

552

029

431

RC

S Pa

ris -

09/

2017

- ©

Isto

ck

17LAWSV055.indd 1 05/10/2017 11:16

Notre application et vos données sont hébergées dans nos data centers situés en France, assurant le plus haut degré de fiabilité et de sécurité. Ils disposent des meilleures certifications, notamment ISO 14001

et ISO 27001. Notre procédure vous assure une confidentialité maximale : contrôles d’accès physique aux serveurs, limitation des accès aux données de production, traçabilité, sauvegardes cryptées,…

Filiale d’un des plus grands groupes d’information professionnelle dans le monde, nous disposons d’équipes dédiées pour assurer la sécurité de vos données. Nous réalisons la maintenance proactive

des serveurs et la mise à jour de nos solutions afin de vous permettre de vous consacrer à vos affaires.

Nous assurons aussi la plus grande disponibilité de l’application, 24h/24 et 7j/7, vous pouvez ainsi travailler n’importe où, même en mobilité, et à n’importe quel moment. Vous n’êtes plus dépendant de connexion compliquée

comme un VPN mais bénéficiez d’un accès simple et rapide en permanence.

Documents

avocat juriste expert-comptable notaire RGPD · La presse juridique de référence Extraits avocat juriste expert ... Lexis 360® La solution de recherche intelligente #AVOCAT STRATÈGE