« Fuite » de données personnelles : comment procéder aux notifications et gérer la crise ?
Publié le 16 mai 2018
Par Sabine Marcellin, avocate à la Cour, Aurore Legal (Sabine Marcellin est créatrice et directrice de la publication du Guide Lamy Droit du numérique 1995-2015, coauteur du « Secret des Affaires », LexisNexis, 2016),
Et Jérôme Boisseau, docteur en droit, avocat à la Cour, Schroeder & Boisseau.
Chaque semaine apporte son lot de scandales relatifs à l’utilisation de données personnelles illégalement collectées.
Le scandale Cambridge Analytica révélé courant mars 2018 ne cesse d’alimenter les peurs. Des données personnelles, dont le traitement a pu influencer l’arrivée de Donald Trump à la Maison Blanche, ont été collectées à très grande échelle via un « test de personnalité » mené à l’origine auprès de 270 000 utilisateurs du réseau Facebook (http://www.slate.fr/story/159250/cambridge-analytica-facebook-scandale-triche), mais dont le traitement viserait finalement les données de plus de 87 millions de personnes (https://www.20minutes.fr/high-tech/facebook/2249287-20180404-scandale-facebook-cambridge-analytica-finalement-accede-donnees-87-millions-utilisateurs). Dans la foulée, l’action de Facebook au Nasdaq plongeait de 20 %, retombant au niveau de sa valorisation de juillet 2017.
Les médias amplifient considérablement les « fuites » de données et les réactions des entreprises
Début avril, on apprenait que le site de rencontres Grindr aurait donné accès à des prestataires externes à des données aussi sensibles que l’orientation sexuelle et le statut VIH de nombre de ses utilisateurs (http://www.e-sante.fr/une-application-de-rencontre-divulgue-le-statut-vih-de-ses-utilisateurs/breve/616088), sans leur consentement.
Dans ces deux affaires, les pertes d’informations ne sont pas consécutives à un « piratage » ou à une défaillance technique mais bien causées par des politiques volontaires des sociétés collectrices de données, connues de longue date (Sheryl Sandberg, n°2 chez Facebook, soutient qu’en l’absence de publicités ciblées ou de transferts non autorisés de données personnelles, le réseau social serait nécessairement payant : http://www.lefigaro.fr/secteur/high-tech/2018/04/06/32001-20180406ARTFIG00148-pour-sheryl-sandberg-sans-publicites-ciblees-facebook-deviendrait-payant.php) : au vu de la gravité des infractions, on est cependant frappé par la timidité des réponses judiciaires apportées en France et en Europe.
La CNIL a certes condamné en avril 2017 la société de droit américain Facebook Inc. et sa filiale irlandaise au paiement d’une amende de 150 000 euros pour avoir collecté des informations sensibles relatives aux origines raciales ou ethniques, aux opinions religieuses ou à l’orientation sexuelle de ses utilisateurs sans avoir au préalable obtenu leur consentement libre et éclairé (dans sa délibération, la CNIL souligne que « la possibilité offerte aux utilisateurs de paramétrer la confidentialité de leurs comptes ne saurait conférer un caractère public à leurs données, celles-ci étant traitées dans le cadre d’une communauté d’intérêts fermée, celle de FACEBOOK, et accessibles à ses seuls membres. » : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000034728338). Ce montant reste dérisoire au regard des amendes administratives qui pourront être prononcées à compter du 25 mai 2018.
De même en décembre dernier (https://www.cnil.fr/fr/transmission-de-donnees-de-whatsapp-facebook-mise-en-demeure-publique-pour-absence-de-base-legale), la CNIL mettait en demeure la société WhatsApp (acquise par Facebook en 2014) de transmettre à Facebook les données de ses utilisateurs sous condition d’avoir obtenu leur consentement préalable (il faut préciser ici qu’en 2017, la Présidente de la CNIL a prononcé 79 mises en demeure dont moins d’une dizaine ont été rendues publiques (trois ou six). V. son rapport annuel 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil-38e_rapport_annuel_2017.pdf).
La judiciarisation est incontournable, à la suite du renforcement des règles et des sanctions encadrant le traitement des données personnelles
En Allemagne, un tribunal civil berlinois condamnait le 12 février 2018 Facebook pour avoir activé par défaut plusieurs paramètres d’utilisation de son site et l’enjoignait à renforcer l’information due à ses utilisateurs sous peine de sanction de 250 000 euros par infraction constatée (http://www.lepoint.fr/monde/allemagne-facebook-condamne-a-modifier-ses-conditions-d-utilisation-12-02-2018-2194306_24.php).
Le 16 février 2018, le tribunal de première instance de Bruxelles confirmant la décision de la Commission de la protection de la vie privée – la CNIL belge (https://www.privacycommission.be/fr) – imposait au réseau social de cesser d’enregistrer les comportements de navigation des personnes tant qu’il ne se conformerait pas au droit belge, et de détruire toutes données à caractère personnel obtenues illégalement, sous astreinte de 250 000 euros par jour dans la limite de 100 millions d’euros (https://www.privacycommission.be/en/news/victory-privacy-commission-facebook-proceeding).
Le 17 avril, la Quadrature du net annonçait une campagne d’actions de groupe dirigées contre les GAFAM en ce qu’ils contournent ou se passent du « consentement » des internautes au traitement de leurs données (https://www.laquadrature.net/fr/campagne_gafam).
Ces premières réponses judiciaires en annoncent d’autres : la judiciarisation des enjeux de protection de la vie privée est inexorable (Il faut ici préciser que les tribunaux français connaissent déjà, bien entendu, des infractions et manquements à la loi du 6 janvier 1978.
En 2013, la Cour de cassation jugeait ainsi que « tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite », Cass. com., 25 juin 2013, requête n°12-17037).
L’anticipation par les sociétés utilisant des données personnelles des risques encourus est devenue primordiale.
L’impact considérable du RGPD sur la force contraignante des standards de protection des données personnelles
Il n’est pas inutile de rappeler que le RGPD est un règlement de l’Union : il est par nature d’application directe et sera uniformément appliqué dans l’ensemble des États membres, ce qui n’est pas le moindre de ses apports (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016). Il fait pourtant actuellement l’objet d’un texte de « réception » en droit français couplé avec la transposition de la directive (UE) 2016/680 du 27 avril 2016 (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680&from=FR : Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.). Applicables l’un et l’autre dès le 25 mai 2018, ils inversent la logique déclarative des traitements de données et renforcent la responsabilité des acteurs.
Le RGPD étend aussi le champ d’application des règles aux acteurs non établis sur le territoire d’un État membre de l’Union : les entreprises étrangères qui proposent des produits et services aux consommateurs européens sont désormais concernées par l’application du RGPD.
Quant aux sanctions encourues pour violation du nouveau cadre de protection, elles vont s’aggraver sensiblement, au pénal comme au civil. Les amendes civiles pourront atteindre jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de la société réfractaire, voire 4% en cas de violation des principes fondateurs du RGPD (Art.5 et 6 du RGPD). À noter que ces sanctions encourues en cas de violation du règlement « e-Privacy » du Parlement européen et du Conseil seront probablement de même ampleur (http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=FR : encore à l’état de proposition, ce règlement n’a pas encore été soumis en première lecture devant le Parlement européen de telle sorte qu’il est peu probable qu’il entre en vigueur lui aussi le 25 mai 2018. Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »), 10 janv. 2017, COM(2017) 10 final, 2017/00003).
Bien appliqué, le RGPD constitue un véritable instrument de gestion de crise.
De nombreuses sociétés affirment avoir déjà intégré dans leurs process les nouvelles normes du RGPD. Cette opération est l’occasion de redéfinir le périmètre des données personnelles utilisées, caractériser leur sensibilité, vérifier le consentement des personnes concernées à la collecte et au traitement, les informer de leurs droits, revoir les politiques contractuelles à l’égard des sous-traitants et des clients finaux ou des prospects.
Le RGPD institue des instruments proposant de nouvelles politiques de gestion des données personnelles : déclaration obligatoire résiduelle auprès de la CNIL de certains traitements de données sensibles, désignation d’un DPO, tenue de registres des activités de traitement, mise en place d’audits, d’analyses d’impact (Art. 35 du RGPD), certifications, etc.
Ces nouveaux instruments doivent être couplés à des pratiques renforcées de sécurité de l’information : étanchéité entre traitements, sécurité des flux, politique de sécurité, chiffrement ou pseudonymisation des données, gestion des habilitations, application des durées légales d’archivage exploitation des traces, etc.
Naturellement, une politique de prévention des fuites d’information (ou data leak prevention) permettra d’identifier les étapes (repérage des vecteurs de fuite et solutions) et d’inventer les actions efficaces pour couvrir ces risques (sensibilisation, contrats, outils, etc.)
La mise en œuvre loyale de ces instruments constitue incontestablement une première réponse adaptée à la gestion des risques associés au traitement des données : il est plus que probable qu’en cas d’audit par une autorité de contrôle ou de contentieux civil ou pénal, le fait pour le responsable du traitement d’établir que des dispositions techniques et juridiques ont été adoptées amoindrira sensiblement le risque de sanction. La mise en place de ces réponses issues du RGPD sera l’occasion de réfléchir à d’autres actions juridiques, y compris en indemnisation des préjudices propres subis par la société responsable des traitements de données.
Les responsables de traitement doivent d’ores et déjà anticiper les notifications à venir de violation de données personnelles
En marge de la mise en œuvre de ces instruments, il existe une autre obligation créée par le RGPD : les sociétés confrontées à un incident dans le traitement ou le transfert de données personnelles devront signaler cette faille de sécurité aux autorités concernées.
L’article 33 du RGPD encadre ce signalement dans un délai très court de 72 heures, dont le respect influera assurément sur la décision subséquente de l’autorité de contrôle. Une autre notification devra être faite aux personnes concernées par la violation, selon des modalités distinctes, si l’incident peut générer un risque élevé pour les droits de ces personnes (Art. 34 du RGPD).
Dans ce délai, il incombera au responsable du traitement de prendre plusieurs décisions stratégiques, et d’abord celle d’apprécier la pertinence du signalement : l’article 33 réserve le cas où « la violation en question [n’est] pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
Or, la teneur du signalement est vaste puisqu’il couvre les faits de la violation, ses effets et les mesures prises pour remédier à l’incident. Une documentation spécifique devra notamment être transmise à la CNIL. Mais le responsable du traitement conserve là aussi une latitude.
Comment l’entreprise doit-elle anticiper les notifications de fuite de données ?
La préparation en amont de ces notifications demeure la part visible et sanctionnée de la mise à niveau requise par le RGPD. Cette préparation sera plus déterminante encore pour les TPE PME et ETI, comme l’indique le rapport d’information de l’Assemblée nationale sur les incidences des nouvelles normes européennes en matière de protection des données personnelles en droit français (http://www.assemblee-nationale.fr/14/rap-info/i4544.asp#P492_116631).
L’entreprise doit anticiper le risque de perte de données en construisant un dispositif de gestion de crise. Il est nécessaire pour cela d’identifier les actions prioritaires, de simuler la crise potentielle et de sensibiliser tous les acteurs, internes et externes.
L’enjeu est déterminant : au-delà de la seule mise en conformité au RGPD, l’anticipation par l’entreprise du risque de fuite d’information peut être, en cas de crise, un facteur déterminant de limitation de sa responsabilité, et d’un gain considérable de temps.