Dans cet article de fond, Maître François Coupez et Maître David-Irving Tayer, du Cabinet ATIPIC Avocat, nous livrent leur analyse sur les implications du Règlement Général sur la Protection des Données ainsi que sur la problématique des bases Whois dans son application.
Le cabinet ATIPIC Avocat est dédié aux droits de l’IT/IP.
Cet article est en deux parties. La première présente le GDPR/RGPD dans ses grandes lignes afin de poser les bases de la discussion qui aura lieu dans la partie 2, GDPR vs. Whois.
“Resistance is futile. Existence, as you know it, is over, you will be assimilated”[1]… and it will be a good thing !
GDPR, quatre lettres qui secouent le monde du droit des nouvelles technologies depuis quelques années déjà, mais qui sont maintenant reconnues bien au-delà, faisant trembler les Comex à la hauteur des conséquences de l’application de ce nouveau texte européen.
Le General Data Protection Regulation, ou Règlement Général sur la Protection des Données (RGPD en français), est un règlement européen[2] adopté le 27 avril 2016, mais dont la date d’entrée en application a été repoussée au 25 mai 2018 compte tenu de son impact sur la façon même dont les entreprises traitent les données à caractère personnel. Il remplace la directive 1995/46 du 24 octobre 1995 qui n’a pas réussi à prévoir un cadre véritablement unifié sur le sujet au sein des pays de l’Union européenne et qui n’était plus armée pour encadrer les nouvelles pratiques.
Commençons par quelques éléments de contexte concernant ce RGPD :
– il s’applique aux « données à caractère personnel », définies comme toute donnée permettant, directement ou indirectement, l’identification d’une personne physique. La notion est donc très large et vise des données que beaucoup ont considéré à tort comme non concernées (fichiers d’entreprises clientes à partir du moment où apparaissent les données des personnes physiques qui les représentent, annuaire interne, données de clients, données codées qui n’ont pas été irrémédiablement anonymisées, etc.) ;
– il s’applique à tout type de traitement de données (collecte, classement, stockage, etc.) sauf quelques rares exceptions, telles que les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, ou ceux mis en œuvre à des fins de prévention et de détection des infractions pénales, au bénéfice d’enquêtes et de poursuites en la matière, ou de l’exécution de sanctions pénales. Surtout, il s’applique aux traitements papier comme aux traitements numériques, sans distinction ;
– contrairement à certains pays anglo-saxons comme les USA, le choix fait par le droit européen est de ne pas permettre la patrimonialisation des données. Le droit intègre ainsi la protection des données à caractère personnel dans le cadre des droits dits « de la personnalité », inhérents à chaque citoyen : par exemple, même si la personne concernée a donné son contentement (et obtenu une contrepartie !), il peut donc revenir à tout moment dessus, ou demander l’effacement des données à tout tiers amené à les traiter (et qui les aurait obtenues en achetant des bases de données par exemple).
Pourquoi a-t-il des visées hégémoniques mondiales ?
Ce texte s’applique à un grand nombre d’entreprises dans le monde, bien plus que les seules entreprises européennes : il a justement été conçu dans ce but. Trois hypothèses sont ainsi couvertes, outre les cas classiques de traitement en Europe par une entreprise d’un pays de l’UE :
- l’entreprise n’est pas dans l’UE, mais a ses activités dans l’UE, c’est-à-dire offre des biens ou des services à des personnes dans l’UE (Facebook, Google, Microsoft, etc.)
- l’entreprise étrangère étudie le comportement de personnes au sein de l’UE (données de transports, de télécom, données financières, etc.).
- l’entreprise étrangère traite des données à caractère personnel pour le compte d’une entreprise visée par l’application du texte (donc agit en tant que sous-traitant).
Le RGPD révolutionne en effet les relations avec les sous-traitants, en imposant une sévère mise à niveau de leur conformité avec obligation de résultat : si des données personnelles sont concernées, l’entreprise doit « uniquement » faire « appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». En résumé et comme le montrent d’autres articles du texte, les sous-traitants doivent respecter eux-mêmes le RGPD s’ils veulent continuer à faire du business avec leurs entreprises clientes, ce que doivent vérifier leurs entreprises clientes. De plus, ces prestataires deviennent directement responsables juridiquement de leur non-conformité vis-à-vis des régulateurs, alors que jusqu’à présent seul le responsable de traitement – c’est-à-dire leur client – pouvait l’être.
Mais la pression ne va pas que dans un sens : le sous-traitant doit lui-même s’inquiéter de la conformité RGPD de ses clients : « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement »… Entreprise cliente et entreprise sous-traitante se contrôlent donc mutuellement pour faire progresser ensemble la conformité de la protection des données à caractère personnel.
Pourquoi fait-il si peur ?
D’abord parce que les sanctions ne sont plus anecdotiques, comme elles ont pu l’être en matière de protection des données à caractère personnel depuis près de 40 ans. Alors que la loi pour une République numérique[3] a multiplié par vingt l’année dernière les amendes administratives à la disposition de la CNIL (elles sont ainsi passées de 150 000 € à 3 millions €), le RGPD prévoit une augmentation jusqu’à 20 millions € ou « dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».
De quoi intéresser pour une fois le Comex à la question de la protection des données à caractère personnel, alors que ce problème était en général relégué deux niveaux hiérarchiques en dessous, au minimum.
Surtout parce qu’une fois que le Comex s’intéresse à cette question, il se rend compte que la conformité à ce texte nécessitera pour beaucoup d’entreprises de repenser de fond en comble leur façon de concevoir la gestion de leurs données internes, quand ce n’est pas leur manière de faire du business.
Quels changements apporte-t-il ?
Le RGPD prévoit tout d’abord d’abandonner le principe des formalités préalables aux traitements de données, pour le remplacer par la notion d’accountability, la conformité à tout moment du traitement qu’il va s’agir de prouver notamment du fait d’une traçabilité sans faille de tout ce qui est réalisé sur les données à caractère personnel collectées.
Il prévoit également la notion de Privacy by design imposant de concevoir la protection des données à caractère personnel dès l’origine de la conception d’un projet, d’un logiciel ou d’une fonctionnalité amenés à en traiter. Alliée avec un renforcement notable de l’information transmise aux personnes dont les données sont traitées (indication des informations classiques du type finalités, etc., mais également des destinataires, de la durée de conservation des données, etc.) et surtout avec un renforcement certain des droits de la personne concernée, les traitements deviennent nécessairement plus encadrés au sein de l’entreprise : le fait de prévoir la possibilité d’effacer les données à tout moment (droit à l’oubli) ou de prévoir dans certains cas la portabilité vers un autre fournisseur impose de penser ces processus dès l’origine.
Ce faisant, le RGPD impose la mise en place d’une cartographie non seulement des données à caractère personnel traitées dans l’entreprise, mais également des flux de ces données dans le système d’information élargi de l’entreprise (clients, partenaires, sous-traitants).
Pour y aider, le correspondant internet à la protection des données, appelé CIL en France, devient le Délégué à la Protection des Données (ou DPO) et sa nomination s’impose dans un plus grand nombre de cas (par exemple si le traitement est effectué par une autorité ou un organisme public, si les activités du responsable consistent en des traitements exigeant un suivi régulier et systématique des personnes concernées, etc.)
Si l’on pouvait croire que le Règlement allait imposer un droit unique au sein de tous les pays de l’Union européenne, ce n’est toutefois malheureusement pas le cas : pas moins de 57 domaines (sur les 99 articles que comptent le RGPD) peuvent donner lieu à des règles locales spécifiques, telles que les données liées aux ressources humaines, le traitement de données de mineurs entre 13 et 16 ans, le traitement de données génétiques, biométriques ou de santé, ou encore les systèmes de profilage : il va donc être très intéressant de suivre les différentes propositions de loi locales en cours d’apparition (projet allemand, projet belge, projet français, etc.) pour « transposer » ces nouvelles règles dans le cadre local existant[4] afin d’avoir une vision plus claire du droit/des droits applicable(s) sur le sujet dans les pays européens.
Par ailleurs, dans un grand nombre de cas (profilage, traitement à grande échelle de données sensibles, contrôle des salariés, etc.) le RGPD conduit à imposer à l’entreprise la mise en place d’Études d’impact sur la Vie Privée (ou Privacy Impact Assessments). Ces EIVP/PIA sont des analyses de risques qui ne s’intéressent pas aux risques pour l’entreprise si un tiers accède illicitement aux données, les détruit, etc., mais bien aux risques pour les personnes concernées… et aux solutions palliatives que l’entreprise doit mettre en œuvre.
Insistant sur la sécurité des traitements de données mis en œuvre, il impose la notification de toute atteinte à la confidentialité, mais également à l’intégrité ou encore à la disponibilité des données à caractère personnel traitées, qu’elles le soient sous forme papier ou numérique (c’est ce qu’il appelle « violation de données »). Cette notification se fait à la CNIL sous 72 heures, mais aussi auprès des personnes concernées si la violation de données a entraîné un risque élevé pour celles-ci.
Pourquoi est-ce une opportunité sans précédent qu’il faut saisir sans tarder ?
Le RGPD rend tout d’abord possible la prise en compte de la protection des données à caractère personnel et la conformité des traitements les plus actuels tels que le Big Data, ce qui était très difficile avec l’ancienne réglementation.
Surtout :
– il donne un nouvel espoir aux citoyens en leur accordant un véritable empowerment sur leurs données à caractère personnel, grâce à l’information poussée qu’il impose et au consentement qu’il généralise ;
– il les guide vers les sociétés de confiance, en permettant d’une part aux entreprises vertueuses de bénéficier de labels européens sur le sujet, et obligeant d’autre part les entreprises ayant souffert de violations de données à le notifier. Le marché risque donc de s’autoréguler très vite en forçant les acteurs mêmes les plus récalcitrants à se mettre en conformité ;
– il impose une mise en conformité de tous les acteurs de la chaîne, par la responsabilisation des sous-traitants, puisque les sous-traitants qui ne seraient pas en conformité seront de facto exclus des marchés.
Cerise sur le gâteau : la cartographie précise des données traitées par l’entreprise que va entraîner la mise en conformité est un travail long et coûteux, mais nécessaire à tous points de vue et reporté depuis la nuit des temps au sein de la plupart des entreprises. Donnant une vision très précise du patrimoine informationnel de l’entreprise, elle permettra :
– d’optimiser sa protection à l’encontre des pirates comme des concurrents ;
– et surtout de maximiser l’exploitation des données client !
Pourquoi un report de son application ne sauvera pas des sanctions ?
Certains espèrent encore, au vu de l’immensité des travaux restants à accomplir au sein de leur entreprise, que l’application du texte sera repoussée de quelques années. Le report est théoriquement imaginable, mais croire que cela exonérerait de tous risques pendant encore quelques années est une folie dont il convient de se prémunir : si le report de l’application des nouveaux droits (portabilité, etc.) peut en effet faciliter leur mise en œuvre, les règles de base prévues par le RGPD existent en droit français depuis presque… 40 ans (6 janvier 1978). Croire que les régulateurs tels que la CNIL ne sanctionneront pas des manquements à la transparence des traitements ou aux finalités par exemple est tout simplement illusoire.
GDPR vs. Whois
Pourquoi un grand émoi touche les registrar quant au Whois ?
Un registrar ou bureau d’enregistrement s’engage contractuellement vis-à-vis de l’ICANN[5] à tenir à jour une base de données dite « Whois » qui comporte diverses informations techniques, mais surtout des informations à caractère personnel relatives notamment aux titulaires de noms de domaines, tels que nom, prénom, adresses postale et électronique, ainsi que numéro de téléphone, ce qui permet à n’importe qui de les identifier. La loi française reconnaît d’ailleurs explicitement le rôle de « responsable de traitements » qu’endossent ces registrar au sens de la loi applicable[6].
Le service Whois, qui remonte à 1982, a au fil du temps pris une signification (voire une nécessité) toute particulière : il permet de faciliter la lutte contre de nombreux dommages en communiquant le point de contact auprès de qui il convient d’agir. On pense bien sûr aux titulaires de droits (auteurs, titulaires de marques, sociétés dont le nom commercial a été détourné, etc.), victimes des atteintes, qui peuvent ainsi agir, mais ce peut également être une autorité judiciaire, un groupement qui lutte contre le spam, etc.
L’arrivée du RGPD semble pourtant jeter un pavé dans la mare et troubler les bureaux d’enregistrement. Cette base de données à caractère personnel, librement accessible sur Internet, est en effet une cible de choix pour la réflexion plus globale sur l’application de ce texte. Si le fondement du traitement des données nous apparaît licite au sens de l’art. 6.1 du RGPD), des questions se posent, concernant notamment :
– l’information des personnes sujettes au traitement de données ;
– le rôle exact des chacun des acteurs concernés (responsable de traitements ? Coresponsable ? sous-traitant ?) ;
– les transferts s’opérant hors de l’Union européenne, le Whois étant accessible mondialement ;
– ou encore la durée de conservation des données.
Précisons tout d’abord un point important : que ces données soient en libre accès n’autorise en rien des sociétés à les traiter pour d’autres finalités, notamment commerciales. La publication d’une donnée à caractère personnel ne signifie pas qu’elle soit « disponible pour tout pillage » ou « libre de tout droit ». La décision de sanction de la CNIL dans l’affaire « pages jaunes », confirmée par le Conseil d’Etat le 12 mars 2014[7], l’a montré avec suffisamment de force, en rappelant que faute de « consentement explicite et éclairé des intéressés » la réutilisation de données publiées par eux était constitutive d’une « collecte déloyale et illicite. ». Le Conseil d’Etat a ainsi rappelé que la CNIL pouvait parfaitement sanctionner ce manquement… auparavant d’une amende maximale de 150 000 €, aujourd’hui de 3 millions €, et à partir du 25 mai 2018 jusqu’à 4 % du chiffre d’affaires !
Toutefois, poursuivant ses efforts à limiter la diffusion de telles informations, la CNIL a demandé par courrier à l’AFNIC le 6 avril 2006 de systématiquement protéger les coordonnées des personnes physiques demandeurs à l’enregistrement d’un nom de domaine (il existe une procédure particulière de « levée d’anonymat »). Cela est comparable à ce que la CNIL avait fait quelques années auparavant via une délibération spécifique[8] concernant l’anonymisation des décisions de justice : sans motif légitime de protection des tiers, c’est la légitime protection des personnes physiques parties ou témoins au procès citées dans ces décisions et la volonté́ de prévenir la constitution de véritables fichiers de renseignement sur les personnes citées dans des décisions de justice qui prédominent.
La question pourrait à ce titre être posée de l’équilibre des droits institués à l’époque par la CNIL : ainsi, concernant les données à caractère personnel contenues dans le RCS cette fois-ci, la Cour de Justice de l’Union Européenne a mis en balance de façon différente la protection des associés d’une société et celle des tiers dans le cadre du droit des sociétés. Dans cette décision du 9 mars 2017, la CJUE a pris en compte l’importance pour les tiers justement de connaître les informations concernant les personnes physiques dirigeantes des entreprises. Pour elle, à ce titre, non seulement la publication de ces données n’a pas à être remise en cause, mais surtout le (nouveau) droit à l’oubli serait très limité, car il ne s’appliquerait pas aux données à caractère personnel contenues dans le RCS, sauf disposition légale nationale qui prévoirait que les personnes physiques « peuvent demander à l’autorité chargée de la tenue du registre de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données. »[9]
Pourquoi la base Whois semble poser problème ?
Il n’en reste pas moins que la profusion des informations publiées et leur exploitation illicite (cf. ci-dessus) a conduit un certain nombre d’offices étrangers à suivre l’exemple français et à proposer des procédures permettant l’anonymisation, ou en tout cas la pseudonymisation comme dirait le RGPD. Car en effet, la possibilité de pouvoir toujours revenir aux données à caractère personnel originelles disqualifie la notion d’anonymisation, qui nécessite qu’il n’y ait aucun retour possible. Les données pseudonymes sont donc des données à caractère personnel et sont protégées par le, RGPD.
Ces offices ont pu agir sur ce terrain, car ils sont en charge d’extensions nationales, et ne sont liés à l’ICANN que par un simple engagement de reconnaissance mutuelle. Pour tous les autres acteurs, les contrats ICANN empêchent encore à notre connaissance une telle pseudonymisation aussi aboutie.
La base Whois, dont l’opposition au principe même de « privacy by design » est si ostensible, pourrait dès lors vivre ses derniers mois en l’état.
Pourquoi la discussion doit se poursuivre ?
Même si l’ICANN tient à faire appliquer ses règles contractuelles, c’est le RGPD qui, comme dans beaucoup d’autres domaines (contrats avec les prestataires de cloud, etc.), risque de faire bouger les lignes. En effet, avec le principe de coresponsabilité des traitements, un opérateur économique qui imposerait à un autre acteur de collecter des données et de les traiter d’une certaine manière (empêchant une pseudonymisation efficace) pourrait peut-être, même sur ce seul fondement, être considéré comme fixant les « finalités et moyens » du traitement et donc être directement responsable des manquements constatés. Notons à ce titre que si la sanction par le chiffre d’affaires n’apparaît pas possible, la seconde option proposée par le RGPD est une sanction de 20 millions € au maximum. Comme on l’a vu, le fait d’être un opérateur étranger ne permet en rien d’échapper à l’application du texte.
Un argument susceptible, d’ici mai 2018, de rouvrir le débat sur les modifications contractuelles nécessaires, mais également de régler la question de l’information claire, complète et transparente des personnes, ou encore de la durée de conservation ?
Pour conclure, le RGPD est une avancée pour la protection des données à caractère personnel et ne doit pas nécessairement être vu comme un frein au développement des activités sur Internet, au contraire.
Il ne doit pas non plus être perçu comme mettant en risque une entreprise et notamment un bureau d’enregistrement, sous réserve bien entendu que les bonnes pratiques soient mises en place et que les évolutions souhaitées puissent se faire dans le bon sens, de la même façon que les contrats proposés par des prestataires de cloud ont pu évoluer parfois de façon drastique ces derniers mois pour permettre à leurs clients entreprises de s’acheminer vers une conformité complète au RGPD.
À ce sujet d’ailleurs, même si les bureaux d’enregistrement ont le regard attiré vers la problématique du Whois, il convient de garder en tête que la conformité RGPD est une trajectoire globale, tous les traitements (RH, clients, prospects, etc.) et tous les prestataires de l’entreprise traitant des données à caractère personnel devant être scrutés : l’arbre, fût-il immense, ne doit pas cacher la forêt…
Par François Coupez,
Avocat à la Cour,
Associé du cabinet ATIPIC Avocat,
Titulaire du certificat de spécialisation en droit des nouvelles technologies
Chargé d’enseignement à l’Université Paris II Panthéon-Assas, au CELSA et à l’Institut Léonard de Vinci
Et
David-Irving Tayer
Avocat à la Cour,
Associé du cabinet ATIPIC Avocat,
Membre de l’IPC de l’ICANN
Chargé d’enseignement à l’EDC Paris business School, au CELSA et à l’Institut Léonard de Vinci
[1] Le lecteur avisé aura reconnu la phrase amicale d’introduction des Borgs issus de l’univers Star Trek
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=5D7EBC2C90DE02921F7E0477F9B13A6C.tplgfr33s_3?cidTexte=JORFTEXT000033202746&categorieLien=id
[4] Juridiquement, le règlement européen s’impose tel que et annule et remplace toute règle contraire dès sa mise en application. Il n’a donc pas besoin d’être transposé en droit local comme une directive. Mais les législateurs locaux ont déjà prévu d’ajouter des règles dans les domaines que le règlement ne couvre pas (ex : les données à caractère personnel des personnes décédées en France depuis la loi pour une République numérique) et en même temps de conserver leur loi locale pour des raisons de référence historique. C’est le cas de loi du 6 janvier 1978 en France dont la référence subsistera même si son contenu changera de façon assez importante.
[5] Internet Corporation for Assigned Names and Numbers, Association à but non lucratif de droit américain qui, sous contrat, assure la gestion de la racine de l’internet et la délégation des extensions.
[6] Article L. 45-5 du Code des Postes et Communications Electroniques (CPCE) : « Ils collectent les données nécessaires à l’identification des personnes physiques ou morales titulaires de noms et sont responsables du traitement de ces données au regard de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
[7] https://www.legalis.net/actualite/les-pages-jaunes-le-conseil-detat-valide-la-sanction-de-la-cnil/
[8] Cf. Délibération n°01-057 du 29 novembre 2001 portant Recommandation de la Commission nationale de l’informatique et des libertés du 29 novembre 2001 sur la diffusion de données personnelles sur Internet par les banques de données de jurisprudence.
[9] https://www.legalis.net/actualite/pas-de-droit-a-loubli-pour-des-donnees-personnelles-dans-un-registre-des-societes
