1. L accountability dans le droit européen de la protection des données

Transcription

1 Journée d INRIA et de l AFDIT Protection de la vie privée (11/09/2013) Evolution de l accountability dans le droit européen Antoine Fobe CNIL, Affaires européennes et internationales «Accountability» est un concept qui apparaît en Europe dans le contexte de la réforme en cours de la protection des données personnelles. Ce n est pas un concept purement juridique. Il n est d ailleurs pas explicitement utilisé, ni dans la directive de 1995, ni dans la proposition de règlement présentée le 25 janvier C est un concept qui peut vouloir dire des choses différentes à différentes personnes ; un concept évasif, d autant qu il ne se traduit pas par des termes équivalents dans les différentes langues de l UE (Je l utiliserai en anglais dans mon intervention, pour plus de clarté). A l origine, l accountability est entendue dans son acceptation première : être dans une situation d avoir à rendre compte ou à répondre d obligations ou de sa conduite : c'est le sens des lignes directrices de l OCDE sur la protection de la vie privée et les flux transfrontaliers de données personnelles (1980). En Europe, c'est à partir de 2010, dans le cadre de la révision de la directive européenne de 1995, que le concept évolue progressivement pour devenir beaucoup plus dynamique, décrivant aussi et surtout un engagement et un processus, cela afin de tenir compte d opérations de traitement de plus en plus complexes. Mon intervention a pour objet d établir des liens entre le concept et les règles de droit européen existantes. Je décrirai la vision que la CNIL et, plus largement, le G29 ont de l accountability, pour montrer que cette vision est largement reflétée dans la proposition de règlement de l UE en cours d examen. J évoquerai enfin quelques motifs de préoccupation que nous avons au regard des débats qui animent le processus législatif européen en cours. 1. L accountability dans le droit européen de la protection des données La directive européenne de 1995 est le premier instrument juridiquement contraignant sur la protection des données personnelles dans l UE. Le principe d accountabilitity y est déjà présent de manière implicite. En tous cas, le G29 et les autorités nationales se sont attachés à développer le principe d accountability en soulignant son existence dans la directive de 1995, c est-à-dire en faisant le lien entre les acteurs responsables et la mise en œuvre de certaines obligations ou mesures. Quatre exemples significatifs : a) D une manière générale, le responsable de traitement est responsable à l égard du sujet de données du respect de ses droits et de veiller à ce qu il puisse effectivement exercer ses droits : Art. 6 : «il incombe au responsable de traitement d assurer le respect des principes» de licéité, de finalité, de proportionnalité et de durée du traitement, ainsi que de l exactitude des données traitées. On retrouve là l'acceptation première du concept. b) La mise en œuvre de «mesures» est requise essentiellement en rapport à la sécurité des traitements : Art. 17 : «le responsable de traitement doit mettre en œuvre les mesures techniques et d organisation appropriées pour protéger les données ( ) contre la destruction accidentelle ou illicite, la perte accidentelle, l altération, la diffusion ou l accès non autorisés ( ) ainsi que contre toute autre forme de traitement illicite.»

2 Si le responsable de traitement a recours à un sous-traitant pour le traitement : - Le responsable de traitement est responsable envers l autorité de contrôle du choix d un sous-traitant qui offre suffisamment de garanties eu égard aux mesures de sécurité requises. il doit veiller au respect par le sous-traitant de ces mêmes mesures, à l appui d un contrat ; - Le sous-traitant est tenu envers le responsable de traitement au respect de ses obligations légales eu égard à la protection des données selon la loi de son pays d établissement, ainsi que du respect de ses obligations découlant de son contrat avec le responsable de traitement, par lesquelles celui-ci veille au respect de la directive. On voit bien que les mesures de sécurité visées à l'art. 17 sont destinées à garantir la mise en conformité, c est-à-dire le respect des principes de protection des données personnelles. c) On retrouve la même logique dans les dispositions relatives aux transferts de données vers un pays tiers, où elles feront l objet d un traitement (art. 25 et 26) : à défaut pour le pays tiers en question d offrir un niveau de protection adéquat, l autorité nationale peut autoriser le transfert à condition que le responsable de traitement offre «des garanties suffisantes» au regard aux principes de protection des données personnelles contenus dans la directive et de l exercice des droits correspondants, notamment sous forme de «clauses contractuelles appropriées». En pratique, cela a pris la forme de CCT proposées par la Commission européenne, ou de BCR (règles internes d entreprises pour les groupes internationaux) - je reviendrai sur les BCR et sur les transferts. d) Dernier exemple : la désignation par le responsable de traitement, conformément au droit national d un «détaché à la protection des données à caractère personnel» est une circonstance de simplification des formalités: la notification du traitement est allégée, voire il est dérogé à cette obligation (Art. 18). La loi Informatique et Libertés a été amendée en conséquence : elle prévoit la possibilité de désigner des CIL dans les entreprises. Quant à la CNIL, elle a un service consacré au soutien et à la formation des CIL 2. L avis du G29 vision CNIL (et G29) de l accountability Le 13 juillet 2010, dans la perspective de la réforme européenne de la protection des données, le G29 a publié un avis sur le principe d accountability. Cet avis était inspiré 1 par le constat que les principes et obligations de la protection des données contenus dans la directive de 1995 ne se traduisait pas suffisamment dans la pratique, et 2 par l idée qu un principe général d accountability clairement affirmé pourrait y remédier et, par la même occasion, faciliter la tâche des autorités de contrôle. Dans son avis, le G29 proposait qu un principe général d accountability requière explicitement des responsables de traitement : de mettre en œuvre des mesures effectives et appropriées visant à garantir le respect des principes et obligations définies par la directive, et d être en mesure de le démontrer aux autorités de contrôles, à leur requête. L avis souligne la nécessaire flexibilité et graduation des mesures pour tenir compte du type de données traitées et de la dimension de l entreprise. C est pourquoi l avis ne propose pas de dresser

3 une liste des mesures d accountability à mettre en œuvre par toutes les entreprises et pour tous les traitements, quand bien même la sécurité juridique en pâtirait un peu. Le G29 indique par ailleurs qu il considère les BCR comme un exemple de la manière d appliquer des principes de protection des données sur la base de ce principe. En effet, les BCR ont ceci d intéressant qu elles expriment des valeurs, des principes, et en même temps elles créent des outils. C est une nouveauté à l'époque de l'apparition des BCR. On notera que ces règles internes à un groupe sont d'ailleurs approuvées par la ou les autorités de protection des données concernées en Europe. La CNIL est particulièrement active parmi les autorités de contrôle en Europe pour le développement et la promotion des BCR. En fait, l intention du G29, dans son avis, était de préciser sont point de vue que l accountability concept jugé très positif en soi ne devait pas être l instrument d une dérive vers un droit «mou». Car il y a une différence importante de philosophie : Aux Etats-Unis, le fait de se doter d outils d accountability, même en l absence de tout référentiel, suffit en soi à assurer la conformité des entreprises. La vision de la CNIL et le G29 de protection des données est plutôt la suivante : l'accountability comme mise en conformité réelle et vertueuse s inscrivant dans un processus durable de responsabilité, et encadrée par des obligations juridiques. Autrement dit : l accountability ne doit pas être comprise comme auto-régulation, ou comme la contrepartie de moins de réglementation et de contrôle. Il s agit plutôt d une forme de «corégulation» : les outils d accountability aident les entreprises à se mettre en conformité mais ne garantissent pas la conformité ; ces outils servent à démontrer le respect des principes et obligations du règlement mais ils ne suffisent pas, par eux-mêmes, à démontrer ce respect. Le régulateur continue de contrôler le respect des principes. Le cas échéant, le sérieux avec lequel les responsables de traitement auront fait preuve d accountability pourra être pris en compte par les autorités de contrôle dans leurs politiques de sanctions. Qu en est-il dans la réforme européenne en cours? 3. L accountability dans la proposition de règlement de l UE La proposition de règlement du 25 janvier 2012 vise à harmoniser et par la même occasion moderniser le cadre législatif devenu obsolète depuis les bouleversements technologiques intervenus depuis Le défi est de trouver le bon équilibre entre protection des droits fondamentaux des individus, d'une part, et intérêt des entreprises d'autre part - notamment l'intérêt à valoriser le potentiel de l économie numérique. La proposition exprime un changement de paradigme dans protection des données personnelles : Le système actuel se caractérise par l'importance des formalités préalables, notamment dans le cadre du régime des «déclarations» de traitements automatisés auprès des autorités de contrôle nationales. Ce dispositif est vécu comme très lourd, et parfois parcellaire, tous les acteurs concernés n ayant pas toujours conscience de leurs obligations de déclaration.

4 La réforme vise 3 changements : atténuer considérablement le poids des formalités préalables (simplification administrative) ; à renforcer les pouvoirs de contrôle et de sanction a posteriori ; et entre les deux, à insérer une nouvelle couche de responsabilité des entreprises, l «accountability». L'idée de base est la suivante : face à l explosion des données personnelles, les responsables de traitement doivent intégrer dans leurs pratiques les principes de protection des données en s appuyant sur un nombre d outils prévus par le règlement. Le texte présenté par la Commission n utilise pas le mot accountability, néanmoins le concept y occupe une place centrale. En témoignent, dans l exposé des motifs de la proposition de la Commission : Cet extrait de la description des résultats escomptés : «Les personnes physiques ( ) constateront que la responsabilité [«accountability» dans la version anglaise] des personnes ou entités chargées du traitement des données à caractère personnel est renforcée». La description de l article 22 : L article 22 tient compte du débat sur un «principe de responsabilité» [«accountability» en anglais] et décrit en détail les obligations incombant au responsable du traitement pour se conformer au présent règlement et en apporter la preuve, notamment par l'adoption de règles internes et de mécanismes à cet effet. De quels types de mesures s agit-il? L article 22 mentionne «notamment» les 5 mesures suivantes : la tenue par les responsables de traitement et sous-traitants d une documentation de tous les traitements (article 28); des mesures adéquates pour garantir la sécurité des données (article 30); la réalisation d'une analyse d impact relative à la protection des données préalablement à la mise en œuvre de traitements à risques (article 33); le respect des obligations en matière d'autorisation ou consultation préalable de l'autorité de contrôle (article 34, paragraphes 1 et 2); la désignation d'un délégué à la protection des données pour toute entreprise employant plus de 250 personnes ou dont l activité de base consiste en des traitements exigeant un suivi régulier de sujets de données (article 35, paragraphe 1). Au-delà de l évocation des mesures d accountability, l article 22 ajoute : «Le responsable du traitement met en œuvre des mécanismes pour vérifier l efficacité des mesures. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification.» Là aussi, la Commission européenne pourra préciser les conditions relatives à ces mécanismes de vérification interne et audit visés au paragraphe 3, et le critère de proportionnalité, notamment en fonction de la taille de l entreprise. Par ailleurs, le responsable de traitement et le sous-traitant ont une obligation de documenter les mesures (art. 28), ce qui est crucial pour les contrôles a posteriori. La liste des mesures relevant de l'accountability n est pas exhaustive. Il est précisé que la Commission européenne pourra préciser davantage. D ailleurs, on pourrait dire que ces autres obligations faites au responsable de traitement relèvent aussi de l accountability : La notification des failles de sécurité (c'est le prolongement de la sécurité des données) ; La protection des données dès la conception et par défaut (on peut dire que l analyse d impact est de la privacy by design et by default systématisée) ; La désignation d un représentant dans l UE pour les responsables de traitement n ayant pas d établissement dans l UE (l accountability suppose un interlocuteur);

5 Enfin, les BCR sont expressément mentionnées dans la proposition de règlement comme une des formes de garanties appropriées pour les transferts hors UE. A noter : l accountability ne s applique pas uniquement au responsable de traitement. Les soustraitants aussi sont concernés, dans une co-responsabilité (art. 26). Cela reflète la responsabilité croissante des sous-traitants, qui de moins en moins ne font que suivre des instructions. A tout moment, les entreprises peuvent se voir demander par l autorité nationale de démontrer que leurs systèmes de traitement et les contrôles y relatifs sont en ordre. Et le défaut de se conformer à l article 22 peut donner lieu à des sanctions très lourdes (parmi les plus sévères dans la hiérarchie (art. 79, par. 6 (e)), et cela même en l absence de violation des droits des sujets de données. Bref, l approche de la Commission européenne dans sa proposition de règlement correspond bien à la vision de l accountability qu ont les autorités de contrôle européennes. Les entreprises sont obligées de mettre en œuvre des procédures et des mécanismes de protection des données dans leurs politiques internes. Il ne s agit pas de la simple mise en œuvre de bonnes pratiques. Les Etats membres, les autorités de contrôle et la Commission européennes sont eux invités à accompagner les entreprises dans leur démarche d accountability, notamment en encourageant le développement de codes de conduite (art. 38) ainsi que de mécanismes de certification, de marques et de labels (art. 39). A noter : la loi Informatique et Libertés a été amendée en 2011 pour permettre à la CNIL de délivrer des labels. Elle a commencé à délivrer des certificats en rapport aux procédures d audit et de formation. 4. Quelques motifs de préoccupations de la CNIL dans le cadre de la réforme en cours Le lobbying autour de la réforme est sans précédent par son intensité et les débats sont très animés ; un nombre record d amendements a été déposé au Parlement européen par les nombreuses commissions saisies, et les réunions au Conseil de l UE se succèdent à un rythme intense. Cela témoigne de l importance des enjeux de la réforme. La CNIL s inquiète des nombreux amendements considérés, inspirés par les représentants des intérêts des entreprises, qui, sans remettre en question la simplification administrative, c est-à-dire la suppression des formalités préalables, tendent à en minimiser la contrepartie (l accountability). Quelques exemples : L obligation de tenir une documentation ferait double emploi avec celle d informer le sujet. Or, comment l autorité de protection des données peut-elle procéder à des contrôles a posteriori digne de ce nom sans s appuyer sur une documentation? Les besoins du sujet et ceux de l autorité sont différents. De plus, la documentation est un véritable outil de gestion pour une mise en conformité de l entreprise. La CNIL soutient au contraire les amendements visant à étendre l obligation de documentation par la précision qu elle doit être régulièrement tenue à jour et qu elle doit couvrir aussi les rapports d analyse d impact, les mesures de privacy by design et les transferts. L obligation de procéder à une analyse d impact pour les traitements à risque serait réduite dans son champ d application. La CNIL soutient plutôt une extension, notamment la précision que l analyse d impact couvre tout le cycle de vie du traitement (de la collecte des données jusqu à leur destruction), et qu elle doit faire l objet d une mise à jour et révision régulières. La CNIL soutient aussi l implication du délégué à la protection dans le processus d analyse d impact.

6 A propos du délégué à la protection des données, sa désignation devrait demeurer facultative, ou alors une obligation d en désigner devrait être laissée à la discrétion du législateur national. Avec l expérience des CIL, la CNIL est bien placée pour mesurer l importance d un délégué à la protection des données : c est un interlocuteur privilégié et averti (à l extérieur et à l intérieur de l entreprise) et la force motrice de l accountability. Il y a aussi quelques amendements allant dans le sens de l accountability comprise comme autorégulation. Exemples : La désignation d un délégué à la protection des données pourrait dispenser de l obligation de consultation préalable pour les traitements à hauts risques. La mise en conformité pourrait être démontrée par le responsable de traitement par voie d adhésion à des codes de conduite ou à des mécanismes de certification, et non in concreto. On notera enfin que la proposition de règlement en elle-même contient une application dangereuse de l accountability. Elle ouvre en effet la possibilité aux entreprises d encadrer les transferts vers des pays hors UE "non adéquats" (ne disposant pas d un même niveau de protection) sur la base d une simple auto-évaluation par le responsable de traitement des risques impliqués par le transfert. Cette application de l accountability aux transferts est douteuse car, en cas de transfert vers des pays tiers, le volet contrôle et sanctions a posteriori peine à s appliquer. La CNIL considère que ces transferts doivent demeurer encadrés par des CCT ou des BCR approuvées à l avance par l autorité ; ou alors, si le transfert se fait sur la base d une dérogation aux règles, il doit faire l objet d une autorisation préalable par elle. Conclusion La CNIL est très favorable au développement de l accountability dans le droit européen dans la mesure où elle permet de moderniser notre dispositif ; de passer de la théorie de la protection des données personnelles à la pratique. La mise en conformité («compliance») est le grand enjeu des prochaines années. Les sanctions sont un bon argument dissuasif, mais ce n est pas un outil de protection des données personnelles au quotidien. Les entreprises doivent intégrer la protection des données personnelles dans leur politiques et pratiques, comme un élément de leur responsabilité sociale. Pour autant, il ne faut pas abandonner l'approche réglementaire spécifique à l Europe. C est tout l enjeu de la «bataille» législative qui se joue actuellement. Les autorités de protection des données doivent quant à elles accompagner les entreprises dans leurs efforts de conformité, notamment afin d éviter des sanctions imprévisibles. Les nouvelles dispositions génèreront - c'est notre espoir - des échanges constructifs entre les entreprises et les autorités de contrôle, notamment afin de permettre le développement de solutions adaptées à la réalité des entreprises et garantissant un niveau élevé de protection des citoyens.