Juridique

Etienne Papin : « GDPR a oublié la réalité technique des services cloud »

Maître Papin, avocat-associé au cabinet Feral-Schuhl / Sainte-Marie ouvre la conférence (photo Bruno Levy).

Retrouvez cet article dans le CIO FOCUS n°147 !

Patrimoine Data : repenser la gestion des données à l’heure du GDPR

CIO a organisé une Matinée Stratégique « Data : de la protection au GDPR » le 17 octobre 2017 à Paris avec de nombreux témoins et experts. Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a présenté les nouvelles règles sur les données. La première table ronde, « Comment...

Découvrir

CIO a organisé une Matinée Stratégique, « Data, de la protection au GDPR », le 17 octobre 2017, avec, en ouverture, l'analyse de Maître Etienne Papin, avocat associé au cabinet Feral-Schuhl / Sainte-Marie.

Publicité« Les nouvelles règles sur les données », c'était le titre de l'intervention d'Etienne Papin, mardi 17 octobre, lors de la conférence CIO. Un thème large, traité parfois avec humour, pour une assistance de DSI et de responsables IT en pleine intégration de GDPR dans leurs systèmes d'information et dans leur organisation. Une intervention destinée à donner des clés de compréhension et un premier retour d'expérience réalisé par le cabinet.

« Ce GDPR aura peut être au moins une vertu, nous rappeler qu'il y a une règlementation qui s'applique en matière de protection des données. Beaucoup de choses se disent, mais on a une loi relative à la protection des données personnelles depuis 1978, quand même, ça commence à dater. Donc, si vous êtes en conformité avec la loi de 1978, en forçant un peu le trait, vous l'êtes avec GDPR. Le problème c'est que personne n'est en conformité avec la loi de 1978. On a 40 ans de retard », note d'entrée Maître Papin.

« GDPR, ce Règlement pris le 27 avril 2016, c'est une horreur pour un juriste, avec 173 considérants et 99 articles. Il n'y avait pas de raison de faire aussi compliqué, on aurait pu faire plus souple. Pour vous donner une clé de comparaison, la règle sur les relations entre distributeurs, c'est important, fait 10 articles, 10 considérants en une dizaine de pages ».

« On tombe dans un abime de perplexité »

On trouve plein de choses dans ce règlement, par exemple, l'article 11.2. Etienne Papin ne résiste pas au plaisir de lire un extrait : « Lorsque le responsable du traitement n'est pas à même d'identifier la personne concernée », (déjà, on tombe dans un abime de perplexité) « il en informe la personne concernée si c'est possible ». Donc, c'est pas possible puisqu'on n'a pas pu l'identifier. Ça vous donne une idée de la complexité de la mise en conformité ».

Au-delà de cette boutade, beaucoup d'éléments nécessitent de prendre le sujet à bras le corps. Ce Règlement laisse au droit national la possibilité de prendre des mesures pour réformer la loi de 1978, et d'intégrer ses dispositions. Normalement, pas besoin de transposition, avec un Règlement européen, pas besoin d'une loi nationale de transposition. Malheureusement, ce Règlement prévoit des transpositions (voir Encadré).

Si ces lois en France ont peu d'équivalent, le DPO malgré ce Règlement va devoir se « coltiner » des lois nationales liées à la protection des données personnelles. Au niveau communautaire aussi, on attend des actes d'application du Règlement, ils renvoient à la notion de code de conduite ou de délivrance de certifications. Le Règlement est complexe et, pour aider les entreprises à l'appliquer, on a mis en place des processus de certification, pour démontrer votre capacité à appliquer ce Règlement. Mécanismes de certification et codes de conduite vont être adoptés, faut se tenir à l'écoute, ce seront des outils intéressants pour montrer sa conformité à GDPR.

PublicitéPas de changements trop forts non plus

Heureusement, les grands principes que nous avons l'habitude de manier depuis 1978, on les retrouve presque textuellement dans le GDPR, détaille Maître Papin. Pas de nouveauté. Des raffinements, des complications, mais pas de changements trop forts non plus : les définitions n'ont pas évolué. Qu'est-ce que le traitement, par exemple ? Il n'y a pas de changement, « mais on aurait pourtant aimé le voir évoluer » !

Plusieurs points méritent de l'attention. Le principe du consentement des intéressés au traitement de leurs données personnelles, par exemple, avec le renforcement des informations à délivrer. Comme pour la loi de 1978, les données doivent être traitées pour des données licites, pas plus que vous n'en avez besoin pour le traitement à réaliser. Comme le stockage n'est ni un problème, ni un coût, la démarche inverse fonctionne pour GDPR. Les droits des personnes ? Ceux d'avant sont toujours là et le GDPR consacre des droits nouveaux, comme la portabilité des données.

« La durée de conservation est le sujet n°1 pour les entreprises et les organisations, nous le voyons quand nous faisons des audits, les entreprises stockent tout et ne suppriment jamais rien. 1er point : il faut définir des durées de conservations, c'est absolument nécessaire. Pour la sécurité des données, toujours présente, il faut la garantir, mais le problème juridique est d'assurer les transferts à étranger, le législateur européen raisonne de la même façon qu'avant. »

La question des services cloud

« Quand on lit le GDPR, on est étonné que le législateur ait refusé de prendre en compte la réalité technique, notamment celle des services de cloud, SaaS et IaaS. Le GDPR raisonne comme si vous identifiiez l'endroit où les données sont stockées à l'étranger, mais pour envoyer des données dans un pays en dehors de l'Union Européenne, il faut un contrat spécifique de transfert de données, pour réaliser cette opération de manière licite. Même avec le GDPR, alors que les solutions existent pour la localisation des données, cette disposition n'est plus pertinente, informatiquement parlant. Malheureusement cette réalité technique n'est pas prise en compte, vous devez toujours réfléchir comme si les datacenters étaient tous en Europe ».

GDPR repose aussi sur le mythe que le responsable du traitement est tout puissant et doit pouvoir de manière contractuelle engager les sous-traitants, sur ce que le sous-traitant doit faire en matière de gestion des données personnelles. Et le responsable de traitement doit pouvoir auditer son sous-traitant à tout moment. Dans toutes les solutions cloud ce n'est pas l'utilisateur mais le fournisseur qui fait la loi et qui fait l'audit. Quand on va imposer à Microsoft ou d'autres d'auditer ses datacenters, ce sera un peu en décalage avec ce que le GDPR demande.

GDPR présente toutefois des nouveautés. C'est d'abord la notion d'accountability, tellement étrangère au droit français qu'on a du mal à la traduire. Les aspects déclaratifs sont supprimés et on entre dans autre logique, l'entreprise doit démontrer qu'elle a mis en place des processus et des contrôles pour respecter les règles du GDPR, donc mettre en place des règles internes pour montrer le respect du Règlement. Toutes les entreprises doivent entrer dans cette logique de préservation de preuve en interne, donc on doit toujours documenter ce qu'on en fait.

Le délai de 72 heures

Autre point important, le privacy by design pour les responsables métiers. Une entreprise ne peut plus se doter d'un nouvel applicatif sans demander combien de données personnelles sont traitées, accessibles, ou transmises à l'étranger, donc il faut un pré-requis pour présider au choix de tout nouvel applicatif et ne plus le mettre sous le tapis. Avant, on pouvait tout stocker, maintenant la loi bloque. Ce n'est pas pour tous les traitements mais pour ceux dont vous identifiez s'ils ont un risque important pour les libertés des personnes, avant avec la CNIL de faire une analyse d'impact. Il faut aussi notifier la violation de données personnelles dans un délai de 72 heures.

Autre question, faut-il nommer un DPO ? Pas forcément, mais un sponsor est indispensable, si personne n'est identifié ou ne dispose des pouvoirs nécessaires, vous n'allez pas vous en sortir. Il faut mettre en place un centre de traitement de données, dans les PME c'est faisable, dans les grandes entreprises, il faut se doter d'outils spécifiques, pas seulement d'un tableau Excel.

En ce moment, GDPR impose une grande renégociation des documents contractuels, « je pense aux hébergeurs et aux personnes qui fournissent des solutions en SaaS ». Le Règlement impose de classer dans ces documents, notamment le sous-traitant ne peut recruter un autre sous-traitant sans l'accord du client. « C'est un peu kafkaïen et ridicule. Il faut s'y pencher, c'est l'une des premières étapes de la mise en conformité ».

Pour conclure, qu'est-ce qu'on fait aujourd'hui, qu'est-ce qu'on fera après, cette conformité ? Il faut plusieurs choses : désigner le sponsor interne, dresser la cartographie des traitements, prioriser les actions de mises à jour, mettre à plat les rapports avec les sous-traitants, définir les prérequis « privacy by design », définir les processus internes pour : la gestion de la confidentialité, la gestion des droits des personnes concernées, la gestion des violations de données, enfin, tenir à jour le registre.

Les actes d'application au niveau national

Des actes d'application au niveau national restent à définir pour compléter le GDPR :
- pour les données biométrique, génétique et les données de santé
- pour consultation préalable des autorités de contrôle pour les traitements qui relève d'une mission de service public
- pour les pouvoirs des autorités de contrôle
- pour le régime des sanctions autre que les amendes administratives
- pour la conciliation avec la liberté d'expression et la liberté d'information sur le NIR
- sur les données traitées dans le cadre des relations de travail
- sur les personnes soumises à des obligations de secret
- sur le traitement des données de mineurs

(source : Etienne Papin, 17 octobre 2017, conférence CIO)

En savoir plus :
- Etude Comment bien gérer ses données à l'heure du GDPR ?.
- Télécharger les contenus associés à la conférence Data : de la protection au GDPR (mises à jour régulières).