Le Règlement européen général sur la protection des données et la question de la responsabilité individuelle

19. Avril 2018 | Drooms Global

Pour toute entreprise, la prévention, ou le confinement, d'une violation de données est une capacité indispensable dans le monde numérique. En cas de fuite ou de divulgation d'informations confidentielles, la responsabilité devient une question fondamentale. L'identification des causes de l'incident est non seulement indispensable pour rectifier le problème, mais également afin que des mesures préventives puissent être déployées afin d'empêcher que cela se reproduise dans le futur.


Que dit le RGPD sur les violations de données ?

Ce nouveau règlement européen définit une violation des données personnelles comme étant une rupture de la sécurité qui se traduit par une destruction, une perte, une modification, une divulgation accidentelle ou illégale des données ou par un accès accidentel ou illégal à des données. Il est important de constater que les violations ainsi définies sont aussi bien accidentelles qu'intentionnelles. Les exemples incluent :

  • Envoi d'informations personnelles à un destinataire erroné
  • Action intentionnelle ou accidentelle d'un responsable du traitement ou sous-traitant
  • Perte d'accès à des informations personnelles

Dans une mesure très variable, la plupart des entreprises manipulent des données personnelles. Leurs méthodes de traitement, stockage et gestion des données déterminent si le règlement les définit comme étant des responsables du traitement ou des sous-traitants.

Les responsables du traitement des données sont des personnes physiques ou morales, des autorités publiques, des agences, ou d'autres organismes qui déterminent les objectifs et les moyens appliqués au traitement des informations personnelles. Les sous-traitants des données sont des personnes physiques ou morales, des autorités publiques, des agences, ou d'autres organismes qui traitent des informations personnelles au nom d'un responsable du traitement.

En cas de violation de données, les responsables du traitement et les sous-traitants doivent immédiatement déterminer l'étendue des dommages et prendre des mesures appropriées. S'il est probable que la violation représente un risque pour les droits et les libertés des personnes concernées, la violation doit être signalée à l'autorité de contrôle compétente dans un délai de 72 heures. En outre, selon la nature du problème, l'entreprise doit informer les personnes dont les droits et libertés sont affectés.

La législation impose des pénalités lourdes en cas de non-conformité ou de violation des données. Les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial de l'exercice précédent (le montant le plus élevé étant retenu).

Quelles sont les responsabilités d'un responsable du traitement ou d'un sous-traitant ?

Conformément au RGPD, les responsables du traitement sont les principaux responsables de la conformité. Mais les sous-traitants ont aussi de nombreuses obligations. Ils sont maintenant directement responsables envers les personnes concernées en cas de non-conformité. Lorsque plusieurs responsables du traitement ou sous-traitants sont impliqués dans une violation de données, chacun d'eux sera responsable de la totalité des dommages, lorsqu'il est démontré que ces dommages sont dus au non-respect d'une obligation d'un responsable du traitement ou sous-traitant. Par conséquent, le nouveau règlement définit un régime de responsabilité cumulatif.

La responsabilité des responsables du traitement reste similaire à celle définie par la réglementation précédente, la directive 95/46. Le RGPD stipule que : Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement.

Lorsque des dommages sont causés par un traitement illégal de données personnelles, le responsable du traitement en porte la responsabilité. La responsabilité cesse uniquement d'exister lorsque le responsable du traitement peut prouver qu'il n'est pas responsable de l'événement, par exemple une violation de données. Le responsable du traitement doit pouvoir démontrer qu'il respecte les principes de base de la protection des données et autres dispositions.

Les dispositions applicables aux responsables du traitement restent similaires, mais le RGPD augmente les responsabilités des sous-traitants. Par conséquent, les sous-traitants ont maintenant de nombreuses obligations. En outre, ils doivent se conformer à diverses exigences imposées par contrat, et pas seulement à celles qu'ils doivent automatiquement respecter.

La responsabilité proportionnelle exige aussi la preuve de négligence et de non-conformité. Pour que le sous-traitant soit responsable, il est nécessaire de démontrer qu'il n'a pas respecté ses obligations, et provoqué ainsi des dommages réels, et qu'il existe une relation causale entre la non-conformité et les dommages.

En ce qui concerne la preuve de conformité, les responsabilités des responsables du traitement sont beaucoup plus étendues. D'après le RGPD, les responsables du traitement doivent pouvoir prouver à tout moment qu'ils respectent leurs obligations. Par contre, les sous-traitants ne sont pas dans l'obligation de prouver une telle conformité.

Les délégués à la protection des données

Conformément au RGPD, les entreprises qui doivent nommer un délégué à la protection des données (DPD) incluent :

  • Les autorités publiques (à l'exception des tribunaux)
  • Les opérations de traitement systématiques concernant un grande nombre de personnes
  • Les opérations de traitement à grande échelle portant sur des catégories particulières de données ou sur des données concernant des condamnations pénales et des infractions.

Lorsqu'un DPD est nommé, il a :

  • Le droit d'exiger de l'entreprise qu'elle fournisse les ressources nécessaires pour protéger les données
  • L'autorité requise pour accéder aux opérations et aux membres du personnel exécutant le traitement des données
  • Le droit de bénéficier d'une protection contre le licenciement ou des pénalités pendant l'exécution de ses obligations professionnelles.

En termes de responsabilité, il est important de noter que le RGPD ne spécifie aucune responsabilité spécifique pour les DPD. Le responsable du traitement ou le sous-traitant reste responsable de la conformité et la charge de la preuve de la conformité incombe à ces deux parties. Cela signifie que le DPD n'est pas personnellement responsable des problèmes de non-conformité.

Cependant, le DPD est évidemment responsable de ses activités, incluant la législation pénale telle que définie au niveau national dans les pays membres concernés. Par conséquent, si une intention criminelle existe clairement, le DPD porte aussi une part de responsabilité. Ce qui n'annule pas nécessairement la responsabilité du responsable du traitement ou du sous-traitant.

Les responsabilités personnelles

L'impact du RGPD n'est encore totalement connu et l'élimination des incertitudes prendra un certain temps. Cependant, le RGPD et certaines règles font comprendre que l'entreprise est responsable de la mise en conformité. Le cabinet juridique international, Norton Rose Fulbright, indique dans son blog : « la responsabilité de la mise en conformité au RGPD est la responsabilité des dirigeants de l'entreprise ».

Un récent cas a démontré que l'entreprise est responsable même lorsqu'un seul employé a provoqué la violation des données, et même si le RGPD n'est pas encore en vigueur. Bien que ce cas soit spécifiquement britannique et qu'il ait été traité au regard de la loi sur la protection des données de 1998, ses principes apportent une leçon utile pour l'avenir, et en particulier compte tenu des principes de protection des données repris dans le RGPD. Le cabinet juridique Gilson Gray a présenté ce cas sur son site internet. Il impliquait plusieurs employés du supermarché Morrison et l'entreprise Morrison elle-même. En bref, le tribunal a jugé que la chaîne de supermarchés britannique est responsable de la non-conformité aux lois sur la protection des données, en dépit du fait qu'un seul employé mécontent ait fuité des informations personnelles en ligne. Le cabinet juridique conclut : « le tribunal a jugé que la simple existence d'une fuite de données personnelles implique nécessairement la responsabilité de l'entreprise Morrisons », en dépit des mesures qu'elle a prises pour minimiser l'accès à ces données. En outre, le tribunal a jugé que l'employeur est responsable puisqu'il a confié l'accès aux données à cet employé, ce qui la rend responsable, même si cet employé a fait une utilisation abusive de cet accès.

Que faire pour se préparer au RGPD ?

Ce que vous venez de lire prouve que les entreprises doivent prendre la protection des données très au sérieux. Devant les enjeux en termes de responsabilité, les questions de conformité doivent être une priorité pour toutes les entreprises. Il ne s'agit pas seulement de protéger l'entreprise contre des menaces externes, mais aussi de limiter les risques internes de violations potentielles des données. Les entreprises ont non seulement des responsabilités plus étendues, mais aussi une obligation beaucoup mieux spécifiée de prouver leur conformité.

Les entreprises doivent maintenant se concentrer sur la mise à jour de leurs protocoles de sécurité des données, leurs politiques de protection des données et les déclarations de confidentialité. En outre, la formation du personnel est un élément crucial de la protection et de la gestion des données, de même qu'un contrôle rigoureux des personnes ayant accès aux données, quand et comment. Les entreprises doivent évaluer avec rigueur les risques et mettre en œuvre une phase d'essai des mesures correctives.

En tant que fournisseur européen de services et défenseur de la protection et de la sécurité des données, Drooms est déjà conforme au Règlement général de la protection des données et prend son rôle de sous-traitant avec le plus grand professionnalisme.

La protection des données apporte des avantages aux entreprises

Bien que le RGPD soit considéré par certains comme un mécanisme conçu pour pénaliser les entreprises, la protection des données avancée et améliorée peut apporter des avantages aux entreprises. Le public doit pouvoir faire confiance à l'entreprise qu'elle utilise et ceux qui se concentrent sur une mise en conformité sérieuse bénéficieront d'un excellent niveau de confiance. De tels efforts amélioreront la sécurité et apporteront une meilleure protection contre les activités criminelles.