C’est à l’occasion de la publication en octobre 2017 du pack de conformité intitulé « Véhicules connectés et données personnelles »[1] que la CNIL a apporté quelques précisions quant à l’interprétation et aux apports du RGPD.
- Devoir d’information :
Le RGPD fait peser un devoir d’information plus contraignant sur le responsable de traitement en ce qui concerne les détails des traitements devant être communiqués aux personnes (articles 12, 13 et 14 du Règlement).
La CNIL révèle un élément important concernant la mise en pratique de ce devoir d’information: il peut être accompli en deux étapes : seront transmises en premier lieu, l’identité du responsable de traitement, les finalités du traitement et « toutes informations supplémentaires nécessaires afin de garantir un traitement loyal de l’information vis-à-vis des personnes concernées » (notion vague mais impliquant certainement les destinataires, les éventuels transferts hors UE – voir notamment article 13.1 du Règlement – ainsi que le contact pour exercer son droit d’accès, de rectification ou d’opposition). Il convient d’y ajouter la durée de conservation des données depuis la Loi République Numérique du 7 octobre 2016. Les autres informations (notamment la base légale du traitement, le droit à la portabilité, le droit à la limitation du traitement, le droit d‘introduire une réclamation auprès de la CNIL, les analyses de comportement, la prise de décision automatisée, les traitements ultérieurs envisagés) pourront être transmises dans un second temps. Cette deuxième phase pourrait être l’envoi des Conditions Générales ou un lien vers la Politique données personnelles.
- Formalités préalables :
Le RGPD va opérer de nombreuses évolutions concernant les formalités préalables qui s’imposaient au responsable de traitement. Si la CNIL rappelle une certitude, celle de la suppression du régime déclaratif, les effets du Règlement concernant le régime d’autorisation ne semblent pas, pour l’heure, encore bien définis.
L’article 35 du RGPD dispose que lorsque « compte tenu de la nature, de la portée, du contexte et des finalités du traitement, [s’il] est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », une analyse d’impact devra être menée par le responsable de traitement. Si ledit article établit les critères concernant ce type de traitement, il dispose aussi que la CNIL a compétence pour établir une liste de traitements imposant obligatoirement la réalisation d’une telle étude.
L’article 36 du RGPD prévoit que lorsque les résultats de l’analyse d’impact révèlent que le traitement présenterait un risque élevé pour les personnes, la CNIL doit être saisie pour avis. Ni le RGPD, ni même la CNIL ne donnent de précision supplémentaire concernant la nature de cet avis. Pourtant, il est évident qu’il aura une importance déterminante dans la mise en place effective du traitement. En conservant la possibilité de se prononcer sur les études d’impact des traitements à risque, c’est en quelque sorte le régime d’autorisation qui subsiste.
- Licéité du traitement :
Pour rappel, concernant la licéité du traitement de données personnelles, l’article 6 du RGPD reprend les conditions déjà imposées par l’article 7 de la Loi Informatique et Libertés, en disposant que :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
| a) | La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; |
| b) | Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; |
| c) | Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; |
| d) | Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; |
| e) | Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; |
| f) | Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » |
La Commission insiste sur le fait que lorsque le consentement constitue la base légale du traitement de données, l’article 7 du Règlement impose l’expression d’un consentement spécifique au traitement. Il en résulte que dans la déclaration écrite présentée à la personne concernée par le traitement, « la demande de consentement est présentée sous une forme qui la distingue clairement des autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». Malgré l’assurance de ce consentement éclairé, la personne concernée sera en droit de le retirer à tout moment. Ultime précision, la charge de la preuve pèse sur le responsable de traitement : il devra démontrer que le consentement a valablement été donné par la personne concernée.
- Mesures de proportionnalité et de sécurité :
Dès le début du document, la CNIL insiste, en se fondant sur la loi Informatique et Libertés, sur le principe d’autodétermination, en vertu duquel quiconque a le droit à la maitrise de ses données tout au long du traitement. Elle illustre l’exercice de ce droit, par la possibilité pour la personne visée de contrôler les paramétrages des systèmes sur lesquels se base le traitement, d’ajuster la précision des données collectées…
La Commission insiste également sur le principe de proportionnalité de la collecte, imposant dès lors un procédé de minimisation dans de nombreuses situations. A titre d’exemple, les données de localisation d’un véhicule ne sauraient être traitées en continu alors que la finalité du traitement ne vise qu’un service de maintenance technique de l’automobile.
Enfin, la CNIL recommande de mettre en place des mesures de pseudonymisation ou d’anonymisation propres à assurer une plus grande sécurisation des données personnelles. A cet égard, elle met en garde les responsables de traitements en rappelant que les données pseudonymisées présentent toujours un risque quant à la possibilité de réidentification de la personne concernée. A ce titre, elles ne permettent pas d’échapper à la législation applicable en matière de données personnelles[2].
***
Le pack conformité publié par la CNIL constitue donc un outil de travail intéressant afin d’appréhender dès à présent la mise en conformité des traitements d’ici au 25 mai 2018, date d’entrée en vigueur du RGPD. A défaut, rappelons que les sanctions pouvant être prononcées en cas de non-respect du RGPD peuvent entrainer une amende variant de 10 à 20 millions d’euros ou représentant 2 à 4% du chiffre d’affaires annuel mondial (la somme la plus haute étant retenue).
Charlotte GALICHET
[1] Synthèse disponible à l’adresse suivante :
http://avocatspi.com/2017/10/30/vehicules-connectes-et-donnees-personnelles/
[2] Synthèse de l’avis du G29 n°05/2014 sur les Techniques d’anonymisation, disponible à l’adresse suivante :
http://avocatspi.com/2017/10/16/donnees-personnelles-anonymisation-ou-pseudonymisation/