C’est dans un climat à la fois d’attente, d’incertitude et d’impatience que tous les regards sont aujourd’hui rivés sur les publications de l’institution française de protection des données à caractère personnel. Le Règlement européen de protection des données (RGPD) entrant en vigueur le 25 mai 2018 fascine, de par ses dispositions novatrices plaidant en faveur d’un changement de paradigme, mais effraye. Consacrant implicitement les principes américains controversés d’accountability et de privacy by design, le RGPD opère un changement de cap à 360° pourrait-on dire, faisant désormais peser sur les responsables de traitements de données de lourdes obligations à la fois de mise en conformité et d’évaluation des risques d’atteinte à la protection des données. En remplaçant le système de contrôle a priori, consacré par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en vertu duquel les responsables de traitement avaient l’obligation d’obtenir un « label Gouvernance Informatique et Libertés » de la CNIL prouvant ainsi qu’ils respectaient bien le respect de la vie privée des personnes dont les données étaient traitées, par un système de contrôle a posteriori fondé sur une confiance (aveugle ?) donnée aux responsables de traitement qui n’ont désormais « que » l’obligation de se conformer aux exigences du législateur européen, le RGPD ne répond toujours pas aux nombreuses interrogations laissées en suspens. C’est dans cette atmosphère particulière et par une volonté de clarification que le G29 (groupe de travail regroupant les « CNIL » européennes) a publié, le 4 octobre 2017, une modification de ses lignes directrices, concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé », adoptées le 4 avril 2017. La consécration du principe d’accountability en vertu duquel sont mis en place différents outils méthodologiques, dont l’AIPD, plaide-t-il en faveur d’un renforcement de la protection des données à caractère personnel ?
L’AIPD : traduction du changement de paradigme opéré par le RGPD
L’AIPD consacrée à l’article 35 du RGPD, n’est en réalité que la traduction du changement de paradigme, évoqué ci-dessus, opéré par le législateur européen. En effet, l’analyse d’impact permet de satisfaire aux nouveaux principes consacrés dans le RGPD et notamment au principe d’accountability. Le principe d’accountability, ou en français « responsabilisation », puise sa source dans le droit des sociétés américain. En vertu de lui, le mandataire social, à savoir la personne étant mandatée pour effectuer les actes relatifs à l’organisation de la société, doit agir en faisant prévaloir les intérêts des actionnaires et de la société sur ses propres intérêts tout en ayant en sa possession des éléments prouvant qu’il a agi en ce sens. Cette obligation, à la charge du mandataire, s’est généralisée et étendue aux entreprises privées depuis un décret adopté par le Gouvernement américain en 1991 qui impose aux entreprises privées de mettre en place, en interne, des outils méthodologiques ayant pour but de prévenir la commission d’actes illégaux par leurs salariés. Suite au krach boursier de 2001 causé notamment par des manipulations frauduleuses de fonds boursiers par des entreprises privées, il a été voté en 2002 par le Congrès américain, une loi fédérale dite « Sarbanes-Oxley », portant le nom du Sénateur Paul Sarbanes et du député Mike Oxley, portant réforme de la comptabilité des sociétés cotées et de la protection des investisseurs et mettant une obligation de transparence financière à la charge des entreprises. L’objectif étant que désormais les entreprises, regagnent, par le biais de la transparence, la confiance des ménages américains.
C’est à l’instar de ce principe étatsunien que l’Union Européenne, au travers du RGPD, s’est attelée à la tâche de rendre leur transparence, non pas à des opérations financières, mais aux traitements effectués relativement à des données à caractère personnel des citoyens européens, faisant ainsi peser sur les épaules des responsables de traitements de nombreuses obligations qui, si elles ne sont pas respectées, sont lourdement sanctionnées. Derrière la formulation complexe de l’article 24 du RGPD se cache en réalité le principe d’accountability appliqué à la protection des données personnelles. En effet, sans le nommer explicitement, le législateur européen met à la charge du responsable de traitement et ce « pour les droits et libertés des personnes physiques » de mettre « en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». On peut se demander alors en quoi cette disposition se départit-elle de ce qui a été consacré outre Atlantique.
Dans un premier temps, la mention à l’article des « droits et libertés des personnes physiques » fait directement écho au droit à la protection des données à caractère personnel et à son essence fondamentale, celle-ci étant rappelée à l’emblématique considérant 1er du RGPD qui rappelle que ce principe est à la fois protégé à l’article 8 §1 de la Charte des droits fondamentaux de l’Union Européenne ainsi qu’à l’article 16 §1 du traité sur le fonctionnement de l’Union Européenne. Aux Etats-Unis aucune mention n’est faite concernant le caractère fondamental du droit à la protection des données, ce droit ayant une valeur plus économique qu’inhérente à des valeurs fondamentales. Ce qui nous amène au second temps de l’analyse, le RGPD en faisant le lien entre la Charte des droits fondamentaux de l’Union Européenne et le Traité sur le Fonctionnement de l’Union Européenne consacre l’esprit profondément européen dont il est empreint, unique en son genre qui appelle dès lors à la mise en place de dispositions particulières au service des droits et libertés de ses citoyens. Ainsi, le traitement, pour être conforme aux exigences européennes qui visent à garantir le respect des données à caractère personnel des citoyens européens, doit être pensé préalablement à sa conception et à sa mise en œuvre pour savoir s’il porterait atteinte ou non au respect des droits des données à caractère personnel. Seulement, comment savoir si un traitement contrevient au respect des valeurs humaines ? Existe-t-il aujourd’hui des outils permettant de le détecter en amont, avant même l’élaboration de la technologie permettant le traitement ?
C’est à cette question que tente de répondre le G29 en publiant ses lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et concernant la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé ». En effet, grâce à l’AIPD, introduite à l’article 35 du RGPD, qui est « un processus vis[ant] à assurer la conformité aux règles et à pouvoir en apporter la preuve », il est possible de déterminer si un traitement (ou technologie) contrevient aux respects de certaines valeurs fondamentales telles que la protection des données à caractère personnel et le cas échéant d’y remédier. L’AIPD, selon les lignes directrices publiées par le G29, consiste en une description précise du traitement de données, en une évaluation de sa nécessité et de sa proportionnalité et permet in fine, « de gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en évaluant les dits risques et en déterminant des mesures concrètes pour y faire face ». Comme le précise le considérant 84 du RGPD une telle analyse est nécessaire lorsque « les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». La question étant de savoir en quoi consiste un « risque élevé », il est revenu au G29 d’en déterminer les contours, le contenu et la portée. Après avoir définit le terme risque et gestion du risque, le G29 estime, en s’appuyant sur les dispositions du RGPD, que l’AIPD n’est pas nécessairement obligatoire, mais qu’elle l’est notamment lorsque qu’un traitement satisfait à aux moins deux critères parmi la liste des neufs critères qu’il dresse. Il est à noter que ces critères étaient au nombre de dix lors de la première version des lignes directrices adoptées le 4 avril 2017 et qu’ils n’étaient pas, pour la plupart, mentionnés dans les mêmes termes que dans la présente version.
Ainsi, les critères dont devront tenir compte les responsables de traitement pour savoir si l’opération de traitement engendre un risque élevé sont : l’évaluation ou la notation, la prise de décision automatisée avec effet juridique ou effet similaire ou significatif, la surveillance systématique, le fait d’être en présence de données sensibles ou à caractère hautement personnel, de données traitées à grande échelle, lorsque l’on procède à des croisements ou combinaisons d’ensemble de données, lorsqu’on est en présence de données concernant des personnes vulnérables, lorsque l’on est en présence d’une utilisation innovante des données ou que l’on est en présence d’une application de nouvelles solutions organisationnelles ou technologiques et enfin, si les traitements eux-mêmes « empêchent [les personnes concernées] d’exercer un droit ou de bénéficier d’un service ou d’un contrat ». Comme le souligne très justement Nathalie Mettalinos dans son article « consécration du rôle central des études d’impact sur la vie privée » paru à la revue Commerce électronique n°6 de juin 2017, le G29 ici, tout comme en avril, « se gard[e] d’indiquer quelle pondération doit être accordée aux critères ». Cela met naturellement les responsables de traitement dans l’embarras, puisque, désormais, seuls juges du caractère sensible ou non du traitement qu’ils effectuent, ils pourront se voir infliger de lourdes sanctions administratives (pouvant aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise) en cas d’absence d’analyse alors que celle-ci était nécessaire, en cas de mauvaise analyse ou encore en cas d’absence de consultation de l’autorité de contrôle compétente lorsque la situation l’exigeait. Dès lors, que retenir de ces critères et des précisions apportées par ces lignes directrices quant à la définition de l’étude d’impact ?
L’AIPD un outil méthodologique aux conséquences multiples
La première critique que l’on peut adresser à ces lignes directrices, c’est qu’elles ne consacrent pas le caractère systématique de l’AIPD. En effet, dans le considérant 89 du RGPD est fait mention du remplacement de l’obligation générale de notifier des traitements de données à caractère personnel aux autorités de contrôle au profit de « mécanismes efficaces ciblant […] [des] opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le remplacement d’une obligation générale n’induit-il pas la mise en place d’une nouvelle obligation toute aussi générale ? Sachant de plus que, les cas dans lesquels l’AIPD n’est pas obligatoire sont peu nombreux. En effet, le G29 considère qu’une AIPD n’est pas nécessaire lorsque : le traitement n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. On peut d’ailleurs à cet égard, se poser la question, au regard de cette première exception, de savoir qui aura la faculté d’apprécier si un tel risque n’est pas présent ? Les responsables de traitement sont-ils les mieux à même d’évaluer si leurs traitements répondent à au moins deux des critères énumérés ci-dessus ? Le champ de ces exceptions laisse désormais la porte ouverte à de possibles abus de la part des responsables de traitement qui pourraient se dispenser de toute mise en conformité par rapport aux exigences européennes et s’ils ne sont pas contrôlés, d’échapper à toute sanction. Par la suite, le G29 s’exprime en termes on ne peut plus flous en estimant qu’une AIPD n’est pas nécessaire « lorsque le traitement est très similaire […] à un autre traitement qui a fait l’objet d’une AIPD ». Une fois encore, qui peut juger du caractère « très similaire » ? Et d’ailleurs que signifie cette expression, comment l’apprécier ? Voilà encore beaucoup d’interrogations demeurant sans réponses. De plus, il est fait mention au titre des exceptions à l’AIPD le cas où « le traitement a fait l’objet d’un examen mené par une autorité de contrôle avant mai 2018 dans des conditions spécifiques qui n’ont pas changées ». Cependant, peut-on concevoir que les conditions d’un traitement n’ont pas vocation à changer, sachant que, le traitement, s’effectuant souvent par le biais de nouvelles technologies ayant la plupart du temps vocation à évoluer, va de facto s’améliorer et être modifié ? Cette exception va également à l’encontre de l’exigence posée in fine à l’article 24 du RGPD en vertu de laquelle « [l]es mesures » à savoir « techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement », « sont réexaminées et actualisées si nécessaire ». Ainsi, ne devrait-on pas, pour s’assurer de la conformité par rapport aux nouvelles exigences posées dans le RGPD des traitements précédemment mis en œuvre, procéder à leur réexamen, notamment pour les plus anciens d’entre eux ? Le G29 mentionne encore deux dernières exceptions à la nécessité de procéder à une AIPD, la première étant « lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’Etat membre » et « lorsque le traitement figure dans la liste facultative (établie par l’autorité de contrôle) des opérations de traitement qui ne requièrent pas d’AIDP ». Dans le cadre de cette dernière exception, l’on ne comprend pas pourquoi une faculté de dresser une liste d’exceptions est laissée à l’autorité de contrôle sachant de plus qu’il est mentionné, plus haut dans le même texte, en guise de remarque que « les autorités de contrôle sont tenues d’établir, de publier et de communiquer au Comité européen de la protection des données (CEPD) une liste des opérations de traitement nécessitant une AIPD ». Ainsi, la même question demeure, pourquoi ne pas avoir systématisé, par souci de simplification, le recours à l’analyse d’impact ?
Outre les quelques critiques que l’on peut adresser à l’AIPD, force est de constater que son utilité est bien réelle, permettant l’application d’un autre principe d’inspiration américaine, consacré par le RGPD qui est le concept de privacy by design. En effet, le RGPD, dans son article 25, consacre le principe de la protection des données dès la conception. Autrement dit, il oblige les responsables de traitement de données à inclure dans leurs technologies, des moyens permettant aux traitements, par le recours par exemple à la « pseudonymisation », de « répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ». Et c’est notamment grâce à l’AIPD, qui permettra de mettre en lumière les risques qu’encourent certaines données personnelles, qu’il sera possible d’inclure dans la technologie une norme de protection des données à caractère personnel adaptée. Le principe de privacy by design est un principe conceptualisé et découlant d’un rapport de 1995 sur la Privacy-enhancing technologies à la rédaction duquel a participé la Commissaire à l’Information et à la Vie Privée de l’Ontario, Ann Cavoulian, de l’Autorité de Protection des Données Néerlandaise et de l’Organisation Néerlandaise pour la Recherche Scientifique Appliquée. Ce principe est un exemple de ce qui est appelé la Value sensitive design, en vertu de laquelle, il est nécessaire d’intégrer lors de toute conception d’une nouvelle technologie, des normes relatives aux intérêts des êtres humains permettant ainsi que ladite technologie puisse exister en toute conformité avec les valeurs de nos sociétés. Ainsi, comme le décrit Monsieur Loiseau dans son article, « De la protection intégrée de la vie privée (privacy by design) à l’intégration d’une culture de la vie privée », Légipresse 2012/300, p. 712, « il s’agit de faire ab initio de la garantie de la vie privée une cellule de veille placée au sein de la technologie en phase de conception ». C’est en vertu de cette idée que les responsables de traitement de données à caractère personnel devront désormais penser leurs outils de traitements. Cependant aujourd’hui, à l’heure de l’hyper datification, de l’émergence des smart cities et de la multiplication exponentielle des objets connectés, n’est-il pas utopique de croire que chaque responsable de traitement sera en mesure à la fois de réaliser une étude d’impact et de concevoir une norme de protection des données à caractère personnel sachant de plus qu’il est la plupart du temps contraint de courir après l’innovation pressé par la concurrence ?
L’AIPD et le développement du concept de privacy by design, constituent aujourd’hui des outils méthodologiques permettant la confection d’objets connectés respectueux des problématiques de protection des données à caractère personnel. Tel est en tout cas son objectif. En effet, aujourd’hui, et notamment en France, plusieurs dizaines de villes et jeunes start-up innovantes élaborent des nouvelles technologies au service des villes dont la visée est à la fois de limiter les coûts liés à l’organisation de la ville, de rendre la ville plus durable (c’est-à-dire respectueuse de l’environnement) tout en améliorant le confort des citoyens. Ces nombreuses innovations et applications, concourant au développement de ce qu’on appelle la smart city, utilisent, pour pouvoir être pleinement efficaces, les données personnelles des citoyens. A ce titre, Célia Zolynski dans son article « La privacy by Design appliquée aux Objets Connectés : vers une régulation du risque informationnel ? » publié dans la Revue Dalloz IP/IT de 2016, se pose la question de savoir si une conciliation entre protection des données et innovation réelle est possible et si, comme l’indique le titre de son article, grâce à la privacy by design, une régulation du risque informationnel est effective. Et notamment au sein des smart cities où les objets connectés ont une place de première importance. Madame Zolynski dans son article met en exergue le fait qu’environ « une cinquantaine de milliards d’objets devraient être connectés dans le monde à court terme qui permettront de recueillir des données ensuite transmises à un équipement électronique pour piloter une application, traiter ces données corrélées et proposer un produit ou un service adapté ». Le problème est posé, le développement des nouvelles technologies pose la question de l’accès aux informations des citoyens qui peuvent désormais faire l’objet d’un profilage, il reviendra alors aux responsables de traitements d’évaluer le risque et de recourir ou non à une AIPD. AIPD qui permettra ainsi de parvenir à une protection effective des données à caractère personnel.
Ainsi, l’AIDP et la privacy by design constitueraient de possibles remparts à la méfiance des citoyens et réinstaureraient ainsi une sorte d’équilibre entre les pouvoirs publics et privés détenteurs d’un savoir sur les citoyens et ceux-ci mêmes. En effet, lorsqu’on apprend par exemple, qu’en vertu de la loi du 17 août 2015 relative à la transition énergétique pour la croissance verte, une généralisation des compteurs électriques communicants pour l’électricité est prévue, la question du profilage se pose directement et l’on voit ici toute l’utilité de procéder à une étude d’impact qui permettra d’évaluer les risques pour les citoyens de voir leurs données relatives à leur consommation d’électricité mesurées par ces compteurs électriques. En effet, les compteurs communicants Linky, développés par la société Enedis (anciennement ERDF), sont des compteurs permettant de relever automatiquement, sans intervention humaine, à des fréquences régulières et à intervalles de temps très courts, les consommations d’électricité des ménages. Les courbes de charges ainsi enregistrées permettent, en plus de déterminer le volume de consommation d’électricité des ménages, d’obtenir des informations sur les activités des personnes se trouvant dans le ménage. Il est par exemple possible de déterminer l’heure d’éveil et de sommeil des personnes, de détecter leur présence ou non dans la maison ou encore leur nombre. D’ailleurs, à cet égard, la CNIL, dans une recommandation en date du 15 novembre 2012, est venue mettre à la charge des responsables de traitement des données relatives à la consommation électrique, une obligation de collecte de consentement des personnes concernées par la collecte. De plus, la CNIL considère que cette collecte d’informations ne pourrait pas perdurer pendant plus d’un an. Ces exigences s’inscrivant dans la lignée des exigences posées dans le RGPD et allant dans le sens du respect du principe d’accountability.
Dès lors, l’utilité de l’AIPD est incontestable dans le cadre du changement de paradigme opéré par le RGPD, cependant sa mise en application semble difficile à mettre en œuvre notamment dans le contexte d’hyperdatification qui se développe au sein des villes qui ont vocation à devenir de plus en plus connectées ce qui conduit à relativiser sa vocation à renforcer la protection des données à caractère personnel.
SOURCES :
METALLINOS (N), « Projet de lignes directrices du G29, Consécration du rôle central des études d’impact sur la vie privée », Communication Commerce électronique n° 6, Juin 2017, comm. 57
Lignes directrices concernant l’ (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 par le G29, modifiées et adoptées en dernier lieu le 4 octobre
Zolynski (C), « La privacy by Design appliquée aux Objets Connectés : vers une régulation du risque informationnel ? », Dalloz IP/IT, 2016, p 404
LOISEAU (G), « De la protection intégrée de la vie privée (privacy by design) à l’intégration d’une culture de la vie privée », Légipresse 2012/300, p. 712
Maxwell (W), « L’accountability , symbole d’une influence américaine sur le règlement européen des données personnelles ? », Dalloz IP/IT, 2016 p.123