Par Gérard Haas et Céline Rodier
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, l’attention portée à la protection des données à caractère personnel a pris une autre dimension.
Un des acteurs essentiels de ce nouveau schéma est le responsable de traitement. Aux termes de l’article 121 de la loi « informatique et libertés » (LIL) du 6 janvier 1978, « le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
La CNIL multiplie les contrôles et les sanctions, comme en témoigne l’amende de 500 000 euros infligée par la formation restreinte de la CNIL à la société BRICO PRIVE le 17 juin 2021 pour divers manquements au RGPD.
En effet, si l’autorité de contrôle constate que les principes relatifs à la protection des données à caractère personnel ne sont pas respectés au sein des organismes, elle peut les mettre en demeure et/ou les sanctionner.
Les articles 33 et 34 du RGPD évoquent respectivement la notification à l’autorité de contrôle et la communication à la personne concernée d’une violation de données à caractère personnel.
L’article 4.12 du RGPD définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Cependant, ici, il s’agit d’une violation de données à caractère personnel qui est établie. Il n’est pas question d’une violation potentielle de données personnelles. On remarque que le RGPD et la LIL restent silencieux en cas de risques potentiels.
Les responsables de traitement ou les sous-traitants doivent respecter une obligation générale de sécurité. Si la CNIL constate que les mesures de sécurité ne sont pas adaptées et sanctionne le risque potentiel d’une violation de données, cela signifie que le dommage est encore hypothétique. Ce dernier n’est pas certain.
Ainsi, l’autorité de contrôle fait application d’un principe de précaution. Or, on ne trouve aucune trace de ce principe au sein du RGPD ou de la LIL.
En effet, ce principe est consacré en droit de l’environnement, à l’article 5 de la Charte de l’environnement notamment. On le retrouve également à l’article L. 110-1 du code de l’environnement : « 1° Le principe de précaution, selon lequel l'absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l'adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l'environnement à un coût économiquement acceptable ».
Ici, « le doute ne porte pas sur la réalisation du dommage né d’un risque avéré mais sur l’existence du risque lui-même »[1].
Or, l’article 32 du RGPD relatif à la sécurité du traitement précise que le « degré de probabilité et de gravité » des risques pour les droits et libertés des personnes physiques varient.
Dans l’arrêt Artegodan GmbH e. a. c/ Commission (TPICE 26 nov. 2002, no T.-74/00), le juge européen a érigé le principe de précaution en principe général du droit de l’Union, l’étendant ainsi au-delà du seul droit de l’environnement[2].
Cependant, il reste difficile d’envisager que ce principe s’applique à toutes les branches du droit. Le tribunal administratif d’Amiens a notamment jugé en 2007 qu’il n’a pas vocation à protéger la sécurité des personnes et des biens (TA Amiens, 23 avr. 2007, Préfet de la Somme, no 0601149)[3].
Plus précisément, on constate que les fois où le principe de précaution a été appliqué à d’autres domaines du droit, il était en réalité étroitement lié au droit de l’environnement. Par exemple, le Conseil d’Etat a admis que ce principe s’appliquait également en matière d’urbanisme[4].
Mais, force est de constater que le lien entre le droit de l’environnement et une violation de données à caractère personnel est beaucoup moins évident.
Pour que la CNIL puisse sanctionner des risques potentiels de violations de données à caractère personnel, il faudrait que le principe de précaution soit consacré en matière de protection des données personnelles.
* * *
Le Cabinet HAAS Avocats est fort d’une expertise de plus de 20 ans en droit des nouvelles technologies.
Nous accompagnons tous les professionnels dans leur démarche de conformité au RGPD.
Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise tout type de mission en lien avec la protection des données personnelles au sein de deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici.
[1] Comm. sous « Constituion de 1958 – Charte de l’environnement – Art. 5 », Dalloz.
[2] Ibid.
[3] Ibid.
[4] CE 19 juill. 2010, Assoc. du quartier Les Hauts de Choiseul, no 328687: Lebon 333; AJDA 2010. 1453, note Y. J.