Le Règlement Général sur la Protection des Données (RGPD) adopté en 2016 et entré en vigueur le 25 mai 2018 dans tous les Etats membres de l’UE, vise à renforcer et unifier la protection des données des personnes physiques au sein de l’UE. En France, il s’inscrit dans la continuité de la loi informatique et libertés de 1978 régulant déjà les problématiques sur les données.
Plusieurs obligations sont exigées auprès du responsable de traitement notamment celles relatives à la sécurisation des données, l’analyse d’impact relative à la protection des données ou encore le délégué à la protection des données.
Concernant la sécurisation des données prévue au Chapitre IV, Section 2 du règlement, la notion de sécurisation des données à caractère personnel recoupe :
- Une obligation de sécurisation des données ;
- Une obligation de notification de la violation des données.
Obligation de sécurisation de données
Cette obligation apparait pour la première fois à l’article 34 de la Loi informatique et liberté de 1978 dans laquelle « le responsable de traitement est tenu de prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ». La CNIL a considéré, lors d’une délibération du 7 août 2014 (n°2014-298) que l’obligation qui découlait de cet article était une obligation de moyens « Il est constant que l’obligation de notifier une violation de données, obligation de résultat à laquelle la société a satisfait, est distincte de celle relative à la sécurité et la confidentialité des données, obligation de moyens dont la formation restreinte doit examiner le respect ».
On retrouve cette obligation de sécurisation des données à l’article 32 du RGPD, qui indique que le responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, selon les besoins. Le RGPD n’indique cependant pas s’il s’agit d’une obligation de moyens ou de résultat, et n’a fait l’objet d’aucune précision légale sur ce point.
Néanmoins, en s’appuyant sur :
- La délibération de la CNIL énoncée supra, non contestée avec l’entrée en vigueur du RGPD ;
- Le renversement de la charge de la preuve, par laquelle le responsable de traitement doit apporter la preuve de la suffisance et l’effectivité des mesures de sécurité qu’il aurait prises « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques» ;
- L’impossibilité technique d’une sécurité absolue de protection des données ;
- Les ressources inégales à la disposition des responsables de traitement ;
on peut mettre en exergue, qu’il s’agirait d’une obligation de moyen renforcée.
Par conséquent, on pourrait considérer que, le responsable de traitement ou sous-traitant qui prendrait toutes les mesures appropriées pour sécuriser les données, se conformerait au RGPD.
Obligation de notification de violation des données
Il ressort des articles 33 et 34 du RGPD, que le responsable de traitement doit informer la CNIL et la personne concernée de toute violation de données personnelles.
Cette notification doit être faite à la CNIL dans les meilleurs délais, au plus tard 72 heures après en avoir pris connaissance ; au-delà il devra justifier son retard. Contrairement à l’obligation de sécurisation des données, la CNIL dans sa délibération du 7 août 2014 considérait déjà, concernant cette obligation de notification, qu’il s’agissait d’une obligation de résultat.
Concernant la notification à la personne concernée, qui n’est exigée que pour le responsable de traitement, l’obligation de résultat susmentionnée lui serait étendue.
Pour ces deux obligations, il existe un vide juridique depuis l’application du RGPD. Il appartiendra à la jurisprudence de confirmer et déterminer les contours de la nature de ces obligations.