Le cahier tendance du Welcome City Lab
Cédric Vanderzanden Avocat au Barreau de Paris. KGA Avocat
La loi dite « Informatique et Libertés » demeure en France le texte central fixant les conditions de traitement des données à caractère personnel. Contrairement aux idées reçues, la protection des données à caractère personnel est encadrée, en France, pays précurseur en la matière, depuis l’entrée en vigueur de la loi n°78-17 du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés ».
Par Cédric Vanderzanden Avocat au Barreau de Paris. KGA Avocat
Cette dernière a fait l’objet de multiples modifications dont les plus importantes, et récentes, résultent notamment du règlement général 2016/679/UE relatif à la protection des données personnelles (« RGPD ») et de la loi n°2018/493 « relative à la protection des données personnelles » du 20 juin 2018 modifiée par l’ordonnance n°2018- 1125 du 12 décembre 2018 qui effectue de nombreuses répétitions et renvois au RGPD (la « Réglementation Informatique et Liberté»).
MISE EN PRATIQUE
L’identification de données dites « sensibles » par le législateur justifie le recours à un régime de protection renforcé, par application du principe de proportionnalité. En effet, au regard de la spécificité de certaines catégories de données, le législateur s’est détaché de la simple mise en balance entre finalité du traitement et données traitées et octroie une protection particulière aux données sensibles en interdisant « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique », sous réserve des exceptions limitativement énumérés par les textes parmi lesquelles le consentement de la personne concernée.La protection des données sensibles impose aux organismes la mise en place de mesures de sécurité renforcées. Pour satisfaire à l’obligation de sécurité des données qu’il traite, tout organisme doit déterminer si les mesures techniques et organisationnelles mises en place sont proportionnées aux risques sur les droits et libertés des personnes concernées. En pratique, la sécurité des données doit couvrir tous les aspects du traitement, de l’accès, la conservation et la communication. Le risque à identifier par un responsable de traitement est celui d’une éventuelle « violation de données », notion définie de manière particulièrement large dans la Régle-mentation Informatique et Libertés »
L’ANALYSE D’IMPACT PRÉALABLE
L’accroissement du risque sur les droits et libertés des personnes, lié à la nature sensible des données impactées par une violation de données, justifie l’obligation de réaliser des analyses d’impact pour les traitements à grande échelle. Cette analyse doit notamment comporter (i) l’identification des risques que le traitement est susceptible de créer pour les personnes concernées et (ii) une description des mesures envisagées pour minorer ces risques.Une réglementation stricte qui s’explique par le risque croissant de cyber-attaques. « L‘accès illicite » aux données est souvent la conséquence d’une cyber-attaque ou de la « divulgation non autorisée ». Concernant les ransomware, l’application de la RGPD peut résulter du chiffrement des données sensibles dès lors qu’il y a (i) atteinte à la disponibilité et (ii) « altération » des données chiffrées contre le gré du responsable de traitement, ou du sous-traitant le cas échéant.
Attention danger
Des sanctions lourdes avec un rôle prépondérant de la CNIL mais également des possibilités d’actions pénales qui pourront donc être menées par le ministère public et les victimes. En plus des sanctions administratives infligées par la CNIL pouvant justifier d’une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende pour les manquements les plus graves, le code pénal prévoit notamment des sanctions pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour les infractions délictuelles d’atteinte aux droits des personnes résultant de fichiers, sans préjudice des dommages et intérêts que les victimes pourront obtenir.A l’étranger, certaines réglementations interdisent purement et simplement le traitement de certaines données sensibles, il y a eu par exemple un cas récent aux Etats-Unis avec la ville de San Francisco qui a approuvé une ordonnance interdisant aux services de police et aux autres services municipaux d’utiliser la technologie de reconnaissance faciale sur les résidents, empêchant ainsi le traitement de leur données biométriques