La Cnil soumet désormais au régime de la simple déclaration les traitements de données de santé qui relèvent des exceptions prévues à l’article 8 II de la loi Informatique et Libertés. Ainsi, les traitements tels que les dossiers médicaux partagés et les dispositifs de télémédecine ou d’éducation thérapeutique ne font dorénavant plus l’objet de demandes d’autorisation.
La décision de la Cnil s’inscrit dans une « logique de simplification et de responsabilisation accrue des acteurs », en lien avec l’entrée en vigueur en mai 2018 du règlement général européen sur la protection des données (RGPD).
Des obligations renforcées
Cette volonté de simplification ne doit pas pour autant faire oublier les contreparties, en particulier l’exigence de confiance des usagers que le RGPD entend restaurer en imposant des obligations renforcées pour le responsable de traitement et son sous-traitant.
Ils doivent en effet appliquer « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32 du RGPD). En d’autres termes, il s’agit d’intégrer dans tout produit ou service des mécanismes de sauvegarde de la vie privée et d’en faire le paramètre par défaut, notamment dans le cas des réseaux sociaux.
De même, toutes les entreprises, et non plus les seuls fournisseurs de communication au public en ligne1, doivent notifier toute faille de sécurité dans leur système d’information aux autorités de régulation dans les 72 heures. Ainsi, en cas de divulgation des données à caractère personnel de clients ou utilisateurs d’un service, l’entreprise concernée devra procéder à une déclaration à la Cnil. Le responsable de traitement doit en outre avertir directement la personne concernée lorsque la violation entraîne un « risque élevé pour les droits et libertés des individus »2.
Les entreprises encourent désormais des sanctions administratives particulièrement lourdes. Le non-respect de leurs obligations de sécurité fait craindre une sanction atteignant 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (article 83 du RGPD).
Étude d’impact et gouvernance
La confidentialité de la donnée nécessite d’adopter en interne des bonnes pratiques qui se matérialisent notamment par la réalisation d’une étude d’impact et la mise en place d’une politique de gouvernance.
S’agissant de l’étude d’impact relative à la protection des données, l’article 35 du RGPD l’impose dans certains traitements considérés « à risques » pour les droits et libertés des personnes (profilage ou traitement à grande échelle de données sensibles). Son objectif est double : évaluer la probabilité et la gravité du risque afin de déterminer les mesures à prendre pour sécuriser le traitement. La réalisation du PIA (Privacy Impact Assessment) permettra donc de vérifier si la confidentialité des données est suffisamment protégée et, dans le cas inverse, de corriger les vulnérabilités identifiées.
Pour le responsable de traitement et le sous-traitant, le rapport issu de l’étude d’impact démontrera également, en cas de contrôle de la Cnil, la conformité du traitement et la mise en oeuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
S’agissant de la politique de gouvernance, l’entreprise (entendue au sens large) devra mettre en place une politique d’habilitation qui détermine les personnes autorisées à accéder aux données et l’étendue de leurs droits d’accès.
Ce document devra être complété par une politique de gestion des incidents des systèmes d’information qui permettra au responsable de traitement de réagir rapidement et efficacement en cas d’accès illégitime aux données. Dans cette hypothèse, il sera nécessaire d’établir une cellule de crise, composée des acteurs clés de l’entreprise et notamment le délégué à la protection des données (DPO), le DSI ou le RSSI, le responsable des ressources humaines, le responsable juridique et le dirigeant de l’entreprise.
Ainsi, le DPO apparaît comme étant le garant du respect du RGPD au sein de l’entreprise. Il aura notamment pour mission la mise en oeuvre du Privacy by Design et du PIA, autant d’éléments participant à la préservation de la confidentialité des données.
À la simplification amorcée par la Cnil s’ajoute donc parallèlement une exigence forte d’intensification de la confiance des citoyens, à telle enseigne que l’autorité de régulation a annoncé qu’elle « renforcera son contrôle en aval afin de s’assurer du respect effectif de ses préconisations », notamment en matière de recueil du consentement des patients.
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris