Pouvez-vous nous rappeler la mission de la CNPD et plus particulièrement, son rôle issu du Règlement général sur la protection des données (RGPD) qui sera d’application dans quelques jours ?
La CNPD est chargée de vérifier la légalité des fichiers et de toutes collectes, utilisations et transmissions de renseignements concernant des individus identifiables et doit assurer dans ce contexte le respect des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée.
L’autorité de protection des données contribue au processus législatif en avisant des projets de loi ou mesures réglementaires dont la thématique touche à la protection des données. Le travail consultatif de la CNPD ne se limite toutefois pas à ces avis. Elle donne des recommandations aux entreprises, administrations ou associations qui la contactent pour vérifier si leurs traitements de données sont conformes à la loi. Au-delà du simple renseignement, la CNPD est également sollicitée dans le cadre des déclarations préalables des traitements de données. Avec le nouveau règlement européen, ces contraintes déclaratives seront nettement réduites. Les citoyens font aussi appel à la CNPD lorsqu‘ils estiment qu’il y a eu une violation de la loi ou une entrave à l’exercice de leurs droits. Ces plaintes peuvent conduire à des contrôles et investigations.
Le RGPD se caractérise par la mise en place d’une approche dite de « l’accountability » c’est-à-dire une responsabilisation des acteurs qui traitent des données personnelles. Il s’ensuit que la CNPD passera d’un système de contrôle a priori vers un contrôle a posteriori. Ce changement de paradigme lui permettra de se concentrer davantage sur sa mission de sensibilisation du grand public et de guidance des responsables de traitement de données.
Compte tenu de l’évolution écrasante de la CNPD ces dernières années, comment voyez-vous son évolution future ?
Nous sommes en train de recruter du personnel additionnel pour faire face aux missions du nouveau règlement. Nous serons à 35 à la fin de l’année 2018 et 49 en 2020.
Nous continuerons notre approche générale qui consiste à assurer un équilibre entre guidance et contrôle. Nous cherchons aussi à sensibiliser au fait que les contrôles n’ont pas comme objectif unique de sanctionner. Ils devront également nous permettre d’identifier les zones d’erreur récurrentes sur base desquelles nous pourrons élaborer une guidance qui aidera les entreprises à s’améliorer.
D’après vous, quels sont les plus grands avantages du nouveau règlement ?
Un des avantages est qu’il s’agit d’un règlement et pas d’une directive. Les mêmes règles seront donc directement applicables à tous les acteurs actifs sur le territoire de l’Union européenne. Les disparités qui caractérisaient les modalités de mise en œuvre de l’ancienne directive dans les États membres avaient donné lieu à des incohérences.
Le nouveau règlement renforce les droits existants, attribue de nouveaux droits tels que le droit à la portabilité ou le « droit à l’oubli » et octroie aux individus une maîtrise accrue de leurs données personnelles. En cas de violation de données grave, les entreprises et organismes publics doivent envoyer une notification à la CNPD et, le cas échéant, aux personnes concernées, dans un délai de 72 heures, afin que les utilisateurs puissent prendre les précautions qui s’imposent.
Très médiatisé depuis un certain temps, est-ce que le règlement constitue pour vous une révolution ?
Le contenu du règlement n’est pas si révolutionnaire qu’il ne paraît. Beaucoup des fondamentaux sont connus depuis longtemps. Principe de loyauté, d’exactitude, de sécurité, de minimisation des données et de respect des droits des individus dont les données sont traitées – ce sont tous des principes issus de la directive de 1995 et le RGPD ne cherche qu’à construire sur ces fondements.
Mais ce qui change fondamentalement, c’est que les organisations ne devront plus introduire une notification ou demande d’autorisation préalable pour traiter des données à caractère personnel. Elles devront contrôler elles-mêmes la légalité de leurs traitements et mettre les garanties adéquates en place pour protéger les personnes concernées. L’effectivité des mesures prises sera contrôlée par la CNPD avec la possibilité de lourdes sanctions en cas d’infraction. À partir du 25 mai 2018, il revient aux entreprises elles-mêmes de s’intéresser au RGPD et de se mettre en conformité. À tout moment, elles devront être capables de démontrer la pertinence et l’adéquation des mesures techniques et organisationnelles mises en œuvre pour garantir le respect des obligations introduites par le règlement.
Le règlement impose sous certaines conditions la nomination obligatoire d’un « Data Protection Officer », quel rôle joue-t-il dans la mise en conformité de l’entreprise ?
Le délégué à la protection des données joue un rôle important dans la mise en conformité de l’entreprise. Il doit notamment :
- s’informer sur le contenu des nouvelles obligations ;
- sensibiliser les décideurs sur l’impact de ces nouvelles règles ;
- réaliser l’inventaire des traitements de données ;
- concevoir des actions de sensibilisation ;
- piloter la conformité en continu.
Sa charge de travail peut varier en fonction de nombreux facteurs (taille de l’organisation, nombre de données traitées, type de données, etc.). Il ne s’agit donc pas forcément d’un poste à plein temps. Une personne peut dans certains cas aussi assurer cette fonction à côté de ses tâches principales ou le responsable de traitement peut s’adjoindre un DPO externe à son organisme.
À l’égard des sanctions lourdes et des incertitudes de nombreuses entreprises en la matière, quelle sera la position de la CNPD après cette date redoutée du 25 mai ?
Il est vrai que la CNPD aura maintenant le pouvoir d’imposer des sanctions financières, ce qu’elle ne pouvait pas faire avant. Il est vrai que les entreprises craignent le maximum de 20 millions d’EUR ou 4 % du chiffre d’affaires annuel mondial autorisés sous la nouvelle législation.
Mais c’est alarmiste de suggérer que nous allons marquer des premiers exemples avec des institutions pour des violations mineures ou que les amendes maximales deviendront la règle.
La détermination de la CNPD à guider, conseiller et éduquer les institutions sur la façon de se conformer avec la loi ne va pas changer sous le RGPD. Nous préférons la carotte au bâton.
Des amendes lourdes pour des violations sévères reflètent l’importance de la protection des données dans le 21e siècle. Mais nous avons l’intention d’utiliser nos pouvoirs de façon proportionnée et judicieuse.
Nous comptons sanctionner chaque infraction au cas par cas, en évaluant la gravité des faits, l’ampleur de la violation, des dommages, du nombre de personnes touchées, etc.
Le RGPD exige que les sanctions soient « effectives, proportionnées et dissuasives » – ceci implique que la taille, le niveau de risque et les moyens d’une entreprise pour se mettre en conformité soient pris en compte. Il est clair que nous serons moins tolérants avec des grandes organismes disposant d’amples ressources qu’avec des petites entreprises avec des moyens plus limités.
Comment voyez-vous concrètement le rôle du comité européen de la protection des données qui remplacera à partir du 25 mai le groupe de travail « G29 » ?
L’EDPB est un organe de l’UE qui possède la personnalité juridique et aura des pouvoir plus étendus que le groupe de travail de « G29 ». Le RGPD lui confie notamment la mission d’adopter des décisions contraignantes envers les autorités de contrôle nationales afin de garantir une application cohérente de ses dispositions.
L’EDPB peut aussi adopter des documents d’orientations générales afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et, de cette manière, fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations.
Le groupe de travail peut également :
- conseiller la Commission européenne sur toute question liée à la protection des données à caractère personnel et sur les nouvelles propositions de législation dans l’Union européenne;
- adopter des conclusions relatives à la cohérence sur des questions de protection de données transfrontalières; et
- promouvoir la coopération ainsi que l’échange efficace d’informations et de bonnes pratiques entre les autorités de contrôle nationales. Des amendes lourdes pour des violations sévères reflètent l’importance de la protection des données dans le 21e siècle. Mais nous avons l’intention d’utiliser nos pouvoirs de façon proportionnée et judicieuse.