PROTECTION DES DONNÉES: KIT DU PRATICIEN

Transcription

1 PROTECTION DES DONNÉES: KIT DU PRATICIEN JULIETTE ANCELLE LL. M., Avocate MICHEL JACCARD Dr. iur., Chargé de cours à l université de Fribourg, Avocat Mots-clés: protection des données, compliance, défis pratiques Qu une entreprise se lance dans des activités nécessitant la collecte de données personnelles ou qu elle en traite depuis plusieurs années, il n est pas rare de constater une certaine perplexité, si ce n est un découragement, face aux exigences légales dans ce domaine. Face à ce défi, nous proposons une méthodologie progressive, pas à pas, qui permettra tant au client qu à son avocat de (se) poser les bonnes questions et d éviter les principaux pièges afin de se mettre et rester en conformité avec une réglementation toujours plus dense. I. Introduction La Loi fédérale sur la protection des données 1 (LPD) n est pas nouvelle: adoptée il y a plus de vingt ans, révisée plusieurs fois déjà 2, ses grands principes ainsi que les objectifs qu elle poursuit sont, le plus souvent, connus des particuliers et des entreprises. Toutefois, alors que nous entrons dans l ère du big data, son champ d application ne cesse de s étendre et sa mise en œuvre de se complexifier notamment sous l effet du développement des nouvelles technologies, de l internationalisation et de la simplification des échanges et de la multiplication des données collectées et traitées. De nombreuses entreprises semblent désemparées au moment d identifier et de mettre en place les mesures nécessaires au respect de ces dispositions légales. Les affaires ne pouvant attendre, seul un examen méthodique de la problématique du traitement de données personnelles et un accompagnement pragmatique par un conseiller juridique permettent d éviter l ornière. En effet, la législation relative à la protection de la vie privée et des données personnelles n implique pas simplement de se conformer à certaines restrictions mais nécessite l adoption de mesures concrètes, («organisationnelles et techniques» pour reprendre les termes de la LPD), que l avocat doit pouvoir recommander à son client. En matière de protection des données plus encore que dans d autres domaines du droit, les conseils prodigués ne sauraient se limiter à un simple rappel de principes abstraits à respecter. Selon la taille de l entreprise concernée, ses réglementations internes ou son type d activités, l adoption des mesures appropriées n est parfois possible qu après l accomplissement de certaines étapes préalables pouvant s avérer chronophages et potentiellement décourageantes en l absence d une stratégie et d un accompagnement appropriés. Ces contraintes ne vont d ailleurs pas aller en s améliorant, au vu de la future réglementation européenne, qui promet d être plus complexe et restrictive et dont la possible entrée en vigueur est prévue pour Si cette nouvelle réglementation ne trouvera pas d application directe en Suisse, son impact ne saurait en aucun cas être ignoré 4, tant en raison du caractère «euro-compatible» que la législation suisse a jusqu à présent cherché à maintenir (ce qui laisse présager une adaptation de la LPD dans les prochaines années) que des effets extraterritoriaux de cette réglementation. Toute entreprise suisse qui traite des données de citoyens de l Union 1 Loi fédérale du 19 juin 1992 sur la protection des données, RS L on citera notamment à titre d exemple les révisions récentes entrées en vigueur les 1 er janvier 2008 (RO ) et 1 er décembre 2010 (RO ). 3 Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM[2012]0011 C7-0025/ /0011[COD]). 4 Rapport 2014 du Préposé fédéral à la Protection des données, SYLVAIN MÉTILLE, article publié sur le blog «Nouvelles technologies et droit» le 4 août

2 Européenne ou qui reçoit des données en provenance d un de ses Etats membres devra faire l effort de s adapter pour ne pas risquer de lourdes sanctions financières. Plus généralement, les entreprises suisses se verront de plus en plus confrontées à l obligation de s aligner sur les standards de leurs voisins européens en adoptant des politiques de Privacy by design (PbD) et de Privacy by default 5. Or, avant ces changements majeurs et afin de pouvoir accompagner au mieux ces entreprises, il nous paraît utile de passer en revue ici les différentes étapes de la mise en œuvre pratique de cette réglementation par les particuliers, tenant compte non seulement des principes généraux et des obligations que la loi leur impose, mais aussi plus généralement des risques liés à la gestion de données et des problématiques opérationnelles qui en découlent. II. Analyse et mise en œuvre de la protection des données: un procédé en trois étapes Comme indiqué en introduction, la législation relative à la protection des données peut se résumer en quelques grands principes: les données personnelles doivent être collectées et traitées de manière licite et proportionnée, le but de leur collecte doit être reconnaissable, et certaines restrictions s appliquent lors de leur communication à des tiers ou de leur transfert à l étranger. Pour s assurer du respect de ces principes, la première étape consistera à opérer un état des lieux des traitements de données au sein de l entreprise (étape 1), avant de se consacrer à une analyse plus détaillée des besoins de l entreprise et des mesures manquantes (étape 2) pour enfin assurer la mise en œuvre des mesures appropriées, si nécessaire (étape 3). 1. Etat des lieux A) Identification des données collectées et traitées La LPD ne s intéresse qu aux données personnelles, soit «toutes les informations qui se rapportent à une personne identifiée ou identifiable; [ ]» 6. Ce ne sont donc pas toutes les données collectées par une entreprise qui seront concernées par cette législation, mais bien seulement des données dites personnelles. A ce sujet, on constate souvent une prolifération de collecte de données personnelles 7 et ce alors même que le caractère identifié ou identifiable des données en question ne se révèle pas toujours nécessaire et qu il serait donc parfaitement envisageable d échapper aux contraintes posées par la LPD par le biais d une simple anonymisation. Or, si aucune entreprise ne peut affirmer qu elle ne traite aucune donnée personnelle, ne serait-ce que les données relatives à ses propres employés, celles conscientes du nombre et du type de données qu elles collectent et des traitements opérés ne sont pas légion. Ainsi, la première étape consistera toujours en l identification des données effectivement collectées et traitées (même simplement stockées) au sein de la société. Cet exercice nécessite souvent une coordination entre tous les acteurs concernés au sein de l entreprise, et non seulement du service juridique, chaque département opérationnel ayant en général une meilleure connaissance des informations gérées quotidiennement. Dans les PME ne disposant pas de département juridique ou de personnel spécialisé, cet exercice peut déjà se révéler difficile, car il implique de détourner des ressources de l entreprise sans rendement direct. Il est ici essentiel que les juristes, internes ou externes à l entreprise, et les «opérationnels» communiquent et s entraident dans l identification des traitements de données personnelles. En effet, si certaines données sont facilement identifiables comme données à caractère personnel 8, d autres cas sont moins évidents 9 et une connaissance des processus (notamment informatiques) de l entreprise est indispensable. Afin d assurer un état des lieux efficace, le travail du juriste consistera donc à poser les questions pertinentes aux opérationnels, à savoir par exemple: «Quels types de fichiers utilisez-vous pour votre personnel, vos clients, vos fournisseurs? Quelle méthode utilisez-vous pour collecter des informations? Les données que vous traitez sont-elles anonymes? Pouvez-vous, d une manière ou d une autre, les rattacher à une personne identifiable?» S agissant de la dernière question, il convient de préciser toutefois que toute donnée qui permettrait théoriquement d identifier une personne ne constitue pas une donnée personnelle: selon la jurisprudence, si l identification nécessite des moyens disproportionnés qui ne seraient pas mis en œuvre dans le cours ordinaire des choses, alors il ne s agit pas de données personnelles au sens de la LPD 10. L examen interne visant à identifier les données personnelles collectées et traitées par l entreprise devra donc permettre de déterminer s il s agit de données relatives à des personnes identifiées ou identifiables, mais aussi, dans le second cas, quels moyens devraient être déployés pour effectivement identifier ces personnes. B) Identification des domaines concernés et des buts poursuivis Tout travail d identification des données collectées personnelles doit s accompagner de l identification des départements et des projets concernés (il est essentiel de pouvoir interagir avec les personnes directement impliquées dans la collecte des données), mais aussi des buts poursuivis par la collecte et le traitement desdites données. 5 The EU: Privacy by default, NEIL HODGE, In-House Perspective, Volume 8, Issue 2, Avril Article 3 lit. a LPD e rapport d activités 2013/2014 du Préposé fédéral à la protection des données et à la transparence, Avant-propos. 8 A ce sujet, l on pense notamment aux données relatives aux employés d une entreprise. 9 Il a ainsi fallu une décision du Tribunal fédéral pour confirmer que les adresses IP (Internetworking Protocol address) constituaient des données personnelles au sens de l article 3 lit. a LPD, dans la mesure où elles permettaient d identifier les titulaires de ces adresses après certaines recherches (ATF 136 II 508). 10 RDAF 2011 I

3 En effet, le principe voulant que le traitement des données soit non seulement licite mais aussi proportionné, il est essentiel de connaître les conditions de traitement, l usage qui est fait des données, le but déclaré aux personnes concernées lors de la collecte et le but effectivement poursuivi. Trop souvent, on constate que de nombreuses informations personnelles sont collectées à de multiples reprises par des départements différents, traitées à des fins différentes, stockées dans des fichiers séparés et conservées sans limite de temps, souvent en raison d un manque d alignement des différents départements impliqués mais aussi par une définition trop vague des buts poursuivis. Or, qu une entreprise traite déjà régulièrement des données ou qu elle choisisse d initier ce type d activités, elle devra se poser les questions suivantes: toutes les données collectées sont-elles nécessaires pour atteindre le but poursuivi? Les données peuvent-elles être anonymisées après un premier traitement? Une telle conservation est-elle toujours nécessaire? Sans nécessairement prendre pour référence le cas extrême des entreprises exploitant certains médias sociaux basées aux Etats-Unis, qui ont délibérément défini les buts poursuivis de manière vague et extrêmement large pour se réserver la plus grande liberté d action possible 11, il n est pas rare que certaines données, collectées dans un premier but affiché soient par la suite conservées à des fins statistiques; or, dans ces circonstances, l identité attachée à ces données n est plus toujours nécessaire à l accomplissement de ces analyses. Parfois, des fichiers de données constitués pour un projet sont simplement oubliés sur un serveur, et demeurent stockés au sein de l entreprise des années après la fin du projet concerné. De même, il est fréquent de constater que, par excès de zèle ou manque d identification précise du but poursuivi, les entreprises ne se limitent pas toujours aux données strictement nécessaires dans leurs activités de collectes. Dans ce contexte, une identification et analyse des fichiers de données réalisés et dans certains cas annoncés aux autorités compétentes 12 permettra de réconcilier des objectifs communs mais aussi d adapter les informations théoriques annoncées à la pratique réelle de l entreprise. C) Identification des outils en place Outre l identification du type de données collectées et du but attaché à une telle collecte, le processus d état des lieux ne saurait être complet sans une identification des mesures déjà en place au sein de l entreprise: la collecte des informations personnelles est-elle reconnaissable pour les tiers (formulaires, notice informative, conditions générales, politique de confidentialité, etc.)? Le but de cette collecte est-il annoncé? Quelles mesures de sécurité ont été adoptées pour assurer le traitement et le stockage de ces données? Des mesures juridiques, techniques et organisationnelles doivent en effet être prises à plusieurs égards: le Préposé fédéral à la protection des données préconise ainsi aux particuliers «qui traite[nt] les données de prévoir et de documenter un processus de destruction des documents. Il est notamment conseillé de définir les acteurs concernés de même que leurs rôles, y compris leurs droits et leurs obligations. [ ]», en sus de l adoption d un règlement interne pour régir la procédure de contrôle et de traitement 13. Ce n est ainsi qu en déterminant au préa lable quelles dispositions ont déjà été prises qu il sera par la suite possible de déterminer si des mesures complémentaires ou des modifications organisationnelles sont nécessaires ou non. D) Identification des possibles transferts de données, notamment internationaux L avocat devra attirer l attention de son client sur les cas particuliers susceptibles de déclencher l application de règles et d obligations spécifiques: on pense notamment à la transmission de données à des tiers, qui ne peut intervenir qu aux conditions de l article 10a LPD, mais aussi à la transmission de données à l étranger, interdite si elle risque de gravement menacer la personnalité des personnes concernées 14. Dans le cadre de la première étape et du travail d identification effectué par l entreprise, cette dernière devra notamment tenir compte des critères suivants: même au sein d un même groupe d entreprises, la transmission de données personnelles d une entité à l autre du groupe sera en principe considérée par les autorités comme un transfert auprès d un tiers. De même, le simple fait de rendre des données accessibles depuis l étranger, et ce, alors même qu elles resteraient stockées en Suisse, peut constituer un transfert de données à l étranger. De même, en pratique, les cas les plus fréquents entraînant l accès aux données par des tiers sont les cas où les entreprises font appel à des sous-traitants, notamment à des sociétés tierces pour l hébergement de leurs données hébergement qui se fait d ailleurs de plus en plus souvent via des solutions cloud. Dans ce contexte, l entreprise devra prendre un certain nombre de précautions dans la sélection de l hébergeur (lieu de stockage, mesures de sécurité en place, instructions et obligations contractuelles) et les risques liés à cette externalisation devront être pris en compte dans le cadre de la deuxième étape du processus, soit l établissement des besoins et des mesures à prendre. Afin de faciliter l accomplissement de cet état des lieux, l entreprise, assistée de son conseil, pourra travailler à la rédaction d un formulaire réunissant les différents élé- 11 Nous pensons notamment à la politique de confidentialité de Facebook qui prévoit que l utilisation des données des utilisateurs se fait dans le but de fournir un service sûr, efficace, et une expérience personnalisée (article 4 de la politique de confidentialité). 12 Article 11a LPD. 13 Protection des données, Sécurité des données, Préposé fédéral à la protection des données et à la transparence ( edoeb.admin.ch/datenschutz/00683/00803/00818/index. html?lang=fr). 14 Article 6 al. 1 LPD. 371

4 ments mentionnés jusqu à présent, qu il suffira de faire circuler et remplir au sein des différents départements avant d aborder le travail d analyse des réels besoins de l entreprise. 2. Analyse des besoins de l entreprise Après avoir procédé dans le cadre d une première étape au travail d identification nécessaire des données effectivement collectées et traitées par l entreprise, la deuxième phase consiste principalement à l analyse concrète des besoins effectifs de l entreprise en lien avec les informations qu elle récolte, ce travail étant rarement effectué à une échelle globale. A) Identification des données requises et des buts de la collecte Si la tendance est à la collecte étendue, voire excessive, de données personnelles, ainsi qu à des buts de traitement de plus en plus larges (on pense notamment aux phénomènes de Data Mining et de Data Warehousing 15 ), il convient de rappeler que le principe de proportionnalité applicable au traitement de données personnelles impose à un maître de fichier de ne traiter que de données absolument nécessaires et pertinentes pour l accomplissement de ses tâches 16. Au surplus, la proportionnalité impose, lorsque le choix est possible, de choisir la mesure la moins intrusive vis-à-vis de la personnalité des personnes concernées. Il en découle une obligation pour chaque maître de fichier de s interroger sur la nécessité concrète à obtenir les données qu il collecte (Sont-elles toutes nécessaires et pertinentes?) mais aussi sur la possibilité d utiliser des méthodes moins intrusives (Si les données sont conservées à des fins statistiques après un premier usage, les personnes concernées doivent-elles continuer à être identifiées ou identifiables? Les données peuvent-elles être anonymisées 17? Pour quelle durée les données doivent-elles être conservées pour l accomplissement du but poursuivi?). Ce n est qu à la lumière des objectifs définis par l entreprise que l analyse du respect du principe de proportionnalité sera possible, et une réflexion concertée à ce sujet permettra de définir les contours de la politique de l entreprise en la matière. B) Implication des différents acteurs concernés et évaluation des risques Ce travail d identification des besoins du maître de fichier implique pour être efficace de faire intervenir tous les acteurs internes concernés par les informations collectées. Ce processus permettra en effet d identifier dans certains cas des besoins communs, évitant ainsi des collectes multiples d informations identiques, mais aussi une compréhension et une approche communes de l entreprise dans son traitement des données personnelles. Elle permettra également l accomplissement d un travail d évaluation des risques découlant de la protection des données liés à un projet défini. Le Préposé fédéral à la protection des données fournit d ailleurs un outil en ligne 18 en vue d accompagner les entreprises dans leur analyse de risques. C) Détermination des mesures à prendre (consentements, mesures techniques, communications) Ce travail commun d identification des mesures actuellement en place, des données collectées ou que l entreprise envisage de collecter ainsi que des buts et des besoins de l entreprise permettra alors de déterminer les éventuelles mesures à entreprendre afin d assurer à l interne le meilleur niveau de conformité à la législation en place. Ainsi, si l entreprise arrive à la conclusion que la collecte de certaines données qualifiées de «sensibles» au sens de la LPD est nécessaire, elle devra alors décider de mettre en œuvre la récolte des consentements explicites requis de la part des personnes intéressées. Dans ce contexte, il est utile de s inspirer des mesures prises par d autres entreprises soumises à des obligations similaires. L on pense notamment en Suisse au cas des caisses de pension suite à l arrêt rendu par le Tribunal administratif fédéral contre AXA Wintherthur 19, qui s est vu imposer de prendre les mesures adéquates pour empêcher que les courriers adressés aux employés ne puissent être lus par les employeurs de ces derniers: sur la base de cette décision, AXA Winterthur a travaillé en collaboration avec le Préposé fédéral à la protection des données afin de déterminer les mesures les plus appropriées (envoi direct à l adresse privée des employés, envoi sous pli indiqué comme confidentiel, etc.) et les autres caisses de pension, sans être parties à la procédure susmentionnée, doivent s inspirer des mesures prises par AXA pour respecter au mieux leurs obligations légales. 3. Mise en œuvre Une fois les deux premières phases (état des lieux et identification des besoins) réalisées, les activités de mise en œuvre peuvent finalement être effectuées par l entreprise, qui aura à sa disposition une palette de mesures envisageables selon les besoins concrets qu elle aura su définir, en particulier les outils suivants: Politique de confidentialité: L un des instruments les plus fréquemment mis en œuvre par un maître de fichier consiste en l adoption d une politique de confidentialité (privacy policy). Ce document, souvent publié en ligne ou mis à disposition des employés, permet de réunir les différents éléments discutés préalablement, en informant les personnes concernées par la collecte de leurs données personnelles (1) du type de données collectées et (2) du but poursuivi par leur traitement. D autre éléments d information pourront y être mentionnés (niveau 15 Jusletter Guide pour le traitement des données personnelles dans le secteur privé. 17 Arrêt 1C_230/2011, arrêt «Street View», Tribunal fédéral, 31 mai Voir l analyse d impact relative à la protection des données proposée par le Préposé fédéral à la protection des données et à la transparence. 19 Arrêt du Tribunal administratif fédéral A 4467/2011 du 10 avril 2012, ATAF 2012/

5 de sécurité assuré, communication à des tiers, coordonnées de la personne de contact pour l exercice du droit d accès). Contrat interne Règlement interne: L adoption d un règlement interne ou la conclusion d un contrat régissant le traitement des données personnelles pourra également entrer en ligne de compte comme mesures utiles, voire requises pour des questions de conformité. Si la législation suisse ne connaît pas en tant que telle la notion de Binding Corporate Rules (BCR) 20 telle qu elle existe au niveau européen, elle connaît et recommande l adoption de mécanismes similaires, notamment dans le contexte de groupes de sociétés internationaux pratiquant des transferts intra-groupes récurrents de données personnelles. Acquisition ou mise à jour des outils informatiques: Selon les mesures déjà adoptées, l entreprise pourra se voir imposer l acquisition de nouveaux outils informatiques ou la mise en œuvre de mesures pratiques et physiques de protections des données (lieux de stockage sécurisés, personnel qualifié, etc.). Annonce de fichiers: Selon le type de données collectées et traitées et les mesures adoptées, l entreprise devra parfois se plier à l obligation d annoncer ses fichiers auprès des autorités compétentes si cela n a pas encore été fait; ce devoir d annonce implique une communication sur les fichiers conservés, les données collectées et traitées mais aussi sur l identité des personnes responsables à l interne de ce traitement. Nomination d un conseiller interne à la protection des données: Enfin, l on peut encore citer comme mesure de plus en plus fréquemment adoptée la désignation à l interne d un conseiller à la protection des données qui se chargera de la mise en œuvre interne et du respect des dispositions de la législation applicable, désignation qui permet également en Suisse d échapper à l obligation d annonce des fichiers. III. Conclusion Si le contenu de cet article pourrait en effrayer certains, à constater la nécessité de procéder en plusieurs étapes et d impliquer un nombre important de personnes dans le processus, nous constatons en pratique qu une bonne méthodologie permet en général de mieux anticiper les problématiques, d aborder les différentes étapes avec sérénité et d obtenir au final une stratégie efficace sur le long terme et la mise en œuvre des mesures strictement nécessaires. Nous espérons en tout cas que ce «kit du praticien» facilitera la préparation des particuliers aux futures réglementations qui pointent le bout de leur nez. 20 Voir à ce sujet le Working Paper 74 du Article 29 Data Protection Working Party à l origine des BCR. Inseratengrösse: Seite quer: mm Ihre Spende macht Marlènes Leben leichter. Schweizerische Stiftung für das cerebral gelähmte Kind Wir danken dem Verlag für die freundliche Unterstützung dieses Inserates. Spendenkonto: rz_ _inserat_drache_182x58.indd :25 373