Par Laurent Goutorbe et Vickie Le Bert
En 2020, 2/3 des sanctions prononcées par la CNIL visaient des manquements par des responsables de traitements à leur obligation de sécurité des données, et plus de 40% d’entre elles étaient prises sur ce seul fondement.
La notion de risque potentiel est alors au cœur des préoccupations du responsable de traitement, celui-ci étant soumis, par le RGPD et par la loi « Informatique et Libertés », à une obligation générale de sécurité. Le passage par le RGPD à une logique de responsabilisation du responsable de traitement pousse en effet ce dernier, soucieux de se conformer aux dispositions légales, à une vigilance accrue concernant l’existence de risques potentiels qu’il convient de prévenir.
L’article 32 du RGPD, relatif à la sécurité du traitement, énonce ainsi qu’en considération des risques que peut présenter le traitement, « (…) dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
L’article 24 du même règlement, cette fois au titre des obligations générales incombant au responsable de traitement, réitère cette obligation de précaution s’incarnant par l’adoption, par le responsable de traitement, de mesures adaptées et nécessaires à la préservation des droits et libertés de la personne concernée en cas de risques.
Ce risque potentiel que le responsable de traitement se doit d’évaluer et de prévenir, est d’autant plus crucial pour lui qu’en cas de non-respect de ses obligations, celui-ci est susceptible de se voir opposer des sanctions par l’autorité de contrôle compétente.
La gestion des risques par le responsable de traitement
La CNIL a élaboré en 2018 un guide de bonnes pratiques par lequel elle incite les responsables de traitement à adopter une démarche systématique de gestion des risques renforcée.
Ce faisant, la CNIL les invite à procéder de manière constante à une gestion des risques en quatre étapes:
- Identification des impacts potentiels sur les droits et libertés des personnes concernées, pour trois évènements redoutés :
- Accès illégitime à des données
- Modification non désirée de données
- Disparition de données
- Identification des sources de risques, en prenant en compte des sources humaines internes et externe, et des sources non humaines internes ou externes.
- Identification des menaces réalisables
- Déterminer les mesures existantes ou prévues qui permettent de traiter chacun des risques
Une fois ces éléments déterminés, le responsable de traitement doit opérer une analyse globale de la situation, pour estimer la gravité et la vraisemblance des risques identifiés.
Le G29 s’est également prononcé sur la gestion des risques devant être mise en œuvre par les responsables de traitement et leurs sous-traitants. Il précise ainsi dans ses lignes directrices que cette évaluation des risques doit être menée de manière continue et pour chaque traitement, et qu’il n’est pas suffisant de procéder uniquement à cette évaluation avant la mise en œuvre du traitement.
De plus, dans l’hypothèse où le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée, aux fins des articles 35 du RGPD et 62 de la loi « Informatique et Libertés », le responsable de traitement est cette fois dans l’obligation de se livrer, de manière préalable au traitement, à une analyse d’impact.
L’analyse d’impact sur la protection des données, ou AIPD, est un outil d’identification et de gestion des risques permettant au responsable de traitement d’élaborer un traitement conforme aux dispositions du RGPD. La CNIL précise dans ses lignes directrices sur les analyses d’impact relatives à la protection des données la liste des opérations de traitement pour lesquelles une AIPD est requise.
Dans l’hypothèse où l’AIPD fait ressortir qu’un risque élevé existe pour la sécurité des données et la protection des droits et libertés de la personne concernée en l’absence de mesures prises par le responsable de traitement pour l’atténuer, l’article 36.1 du RGPD impose au responsable de traitement de consulter l’autorité de contrôle compétente (la CNIL, pour la France), toujours de manière préalable au traitement. L’article 63 de la loi du 6 janvier 1978 reprend cette obligation particulière du responsable du traitement.
Des mesures nécessaires pour contrer le risque potentiel
Le système de gestion des risques initié par le responsable de traitement doit permettre in fine à ce dernier d’évaluer les risques potentiels présentés par le traitement envisagé, et de déterminer les mesures adaptées qu’il convient d’adopter « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (article 34 de la loi « Informatique et Libertés »).
L’article 32 du RGPD précise encore que la protection des données personnelles nécessite que le responsable de traitement soucieux de se conformer à ses dispositions prenne des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cet article s’inscrit dans la continuité du principe de protection des données dès leur création et par défaut, prévu à l’article 25 du RGPD.
Ces mesures techniques et organisationnelles devant être prises par le responsable de traitement en vue de prévenir ces risques potentiels sont diverses, et évoquées de manière non exhaustive à l’article 32 du RGPD. Elles recouvrent, entre autres:
a) la pseudonymisation et le chiffrement des données à caractère personnel ;b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
La sanction du manquement à l’obligation générale de sécurité
En cas de manquement par le responsable de traitement à ses obligations légales découlant du RGPD et de la loi « Informatique et Libertés », l’autorité de contrôle est en mesure de prononcer des sanctions. Pour la CNIL, c’est à la formation restreinte que revient cette tâche.
Le mécanisme de sanction institué par la CNIL lors de la constatation d’un manquement est graduel :
- Avertissement
- Mise en demeure
- Prise de mesures correctrices
En cas de non-respect de ses obligations par le responsable de traitement ou le sous-traitant (en matière de sécurité, d’analyse d’impact ou de tenue du registre des activités notamment), la CNIL est en mesure d’émettre une amende administrative pouvant atteindre un montant de 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial lorsqu’une entreprise est en cause.
Au titre des manquements les plus fréquents relevés par la CNIL, l’on trouve le cas de données rendues librement accessibles par modification d’URL, l’existence d’une politique de mot de passe non conforme, la transmission de mot de passe en clair ou encore l’absence de verrouillage automatique des sessions des postes de travail.
En cas de manquement par le responsable de traitement au RGPD et à la loi « Informatiques et Libertés », notamment au regard de son obligation générale de sécurité des données, la formation restreinte est en mesure de prendre des mesures correctrices diverses :
- rappel à l’ordre ;
- injonction de mise en conformité du traitement avec les obligations prévues par les textes ou une injonction de satisfaire aux demandes d’exercice des droits des personnes.
- limitation temporaire ou définitive du traitement, interdiction de ce dernier, ou le retrait d’une autorisation ;
- retrait d’une certification ;
- suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;
- amende administrative dont le montant est déterminé en fonction des éléments mentionnées aux 5 et 6 de l’article 83 du RGPD.
Ces sanctions de la CNIL au titre des manquements par les responsables de traitement à leur obligation de sécurité des données ne sont pas anecdotiques :
Encore récemment, dans une affaire Credential Stuffing, la formation restreinte a pu considérer que des sociétés n’avaient pas respecté leur obligation de préservation de la sécurité des données personnelles de leurs clients, prévue à l’article 32 du RGPD. Elle a ainsi prononcé deux amendes distinctes – 150 000 euros à l’encontre du responsable de traitement et 75 000 euros à l’encontre du sous-traitant – au titre de leur responsabilité respective.
Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements aux obligations imposées par le RGPD.
Pour nous contacter, cliquez ici.