RGPD vs CCPA quelles différences ?

Il y a une différence de fonds entre l’Europe et les Etats-Unis sur ce que doit être la protection des données personnelles. L’Union Européenne protège globalement les personnes contre les abus alors que les Etats-Unis protègent contre l’exploitation commerciale des données. Si on résume les différences entre ces 2 textes (l’un de 21 pages et l’autre de plus de 85 en anglais), on peut les regrouper en 3 catégories : les personnes couvertes, les organisations concernées, les droits et les sanctions encourues.

1- Le « California Consumer Privacy Act » (CCPA) se focalise sur les « consumers » Californiens ce qui pourrait laisser à penser : « consommateurs résidents en Californie » et non pas, comme le RGPD, tous les résidents de l’Union Européenne. Cependant, la définition du « consumer » étant : « a natural person who is a California resident ». Le CCPA s’applique donc concrètement à tous les résidents Californiens, étant sous-entendu que tout individu est un consommateur potentiel. Ce texte se concentre en revanche sur les « businesses » donc sur le terrain commercial.

2- Alors que les organisations concernées par le RGPD sont toutes celles qui traitent des données personnelles en masse. Il s’agit des entreprises mais également toutes les administrations ou associations. Dans le cas de la Californie, le CCPA parle de « Businesses » donc d’entités commerciales qui réalisent au moins 1 des 3 conditions suivantes dans l’état de Californie: A/ réalise plus de 25 millions de dollars de chiffre d’affaires ; B/ traite des données personnelles à usage commercial de plus de 50 000 consommateurs, ménages ou périphériques ; C/ réalise plus de 50% de son revenu annuel de la vente de données personnelles de consommateurs ;

3- Les sanctions encourues sont également différentes. Le RGPD impose une sanction maximale de 4% du chiffre d’affaires mondial ou 20 Millions d’euros. Le CCPA n’émet pas de sanction maximale mais édicte des valeurs par violation : entre $2 500 et $7 500 selon que la violation soit volontaire ou involontaire. Ainsi selon certains experts américains de l’IAPP, l’amende que Facebook aurait pu subir suite au scandale « Cambridge Analytica » serait de $61,5 milliards (24,6 millions de clients Californiens multiplié par $2 500). De plus, le CCPA précise que les consommateurs peuvent également poursuivre les contrevenants sous certaines conditions.

Là où l’Europe est très large dans son champ d’application de la réglementation, l’état de Californie ne cible que les abus des entreprises commerciales sur les consommateurs. Si demain une organisation religieuse ou politique se mettait à traiter illégalement des données issues des réseaux sociaux, serait-elle concernée par le CCPA ?

La CNIL publie son registre des traitements

On ne pouvait faire plus transparent : en publiant son registre des traitements la CNIL montre l’exemple, même si aucun texte n’exige l’obligation de rendre public cette documentation.

Si vous voulez vous inspirer de ce document vous le trouverez sur le site web de la CNIL : https://www.cnil.fr/fr/la-cnil-publie-son-registre-rgpd

L’ICO inflige une méga amende à British Airways pour une faille de sécurité

L’équivalente de la CNIL Britanique, l’ICO, a l’intention d’infliger une amende de 183 Millions de Livres Sterling à British Airways pour avoir négligé la sécurité informatique des données personnelles des utilisateurs de son site web. En effet en septembre 2018, la compagnie signale que depuis juin 2018 le trafic de son site web est détourné vers un site web frauduleux récupérant les données d’environs 500 000 utilisateurs, y compris les identifiants, cartes de paiement et les détails de réservation aussi bien que les noms et adresses. L’enquête a révélé des négligences graves de la part de BT Airways.

Prêt pour le Brexit ?

Vous sous-traitez une partie de vos services informatiques ou simplement utilisez un service Cloud hébergé en Grande Bretagne ? Sachez que les termes du Brexit sont en cours de négociation mais que rien ne change jusqu’au 31 Décembre 2020. Pour ce qui est de la conformité au Règlement Général sur la Protection des Données, soit l’Union Européenne décidera d’une équivalence avec la Grande Bretagne, soit il faudra en passer par un encadrement de type clauses contractuelles spécifiques ou des mécanismes de certifications voire, au sein d’un groupe multinationale, des « Binding Corporate Rules ». Préparez-vous, just in case….

La Responsabilité des Sous-Traitants face au RGPD

Le RGPD a en changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.

On peut regrouper ces obligations en 4 grandes catégories :

  1. la transparence et la traçabilité des traitements (via les clauses contractuelles spécifiques, le registre des traitements, la désignation d’un DPO etc…) ;
  2. la prise en compte des principes de protection des données (licéité et minimisation de la collecte, durée de rétention, etc….) ;
  3. l’obligation de garantir la sécurité et la confidentialité des données (politique de sécurité documentée, audits et tests d’intrusion récurrents, segmentation du réseau avec droits d’accès restrictifs, registre des incidents, etc…) ;
  4. l’obligation d’assistance, de conseil et d’alerte. L’assistance se traduit par des actions à mener par le prestataire en cas d’exercice du droit des personnes (droit d’accès, modification, suppression ou limitation), de contrôle de la CNIL ou d’audit du client.

Pour remplir ses obligations, le sous-traitant en sécurité informatique doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra par exemple rappeler à ce dernier l’obligation d’informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D’autre part, avant de mettre en place une solution de type « Data Leak Prevention » ou de filtrage Web, le responsable de traitement doit effectuer une Etude d’Impact sur la Vie Privée (« EIVP » ou en anglais « PIA »). Il s’agit d’une étude des risques vis-à-vis des données personnelles. En cas de risque important, le client devra en informer la CNIL et attendre son retour avant de mettre en place la solution décalant d’autant le déploiement par le prestataire. Une formation des forces de vente et des équipes techniques de celui-ci est dont indispensable. Enfin, « le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance » (Article 33 du RGPD), le responsable de traitement doit à partir de ce moment-là notifier la CNIL sous 72 heures. Le sous-traitant doit donc tenir un registre des incidents afin de se protéger et prouver qu’il a notifié le client dès qu’il a pris connaissance de la violation.

En mettant en place et gérant à distance des solutions de Cybersurveillance, les SSII en sécurité traitent forcément des données personnelles voire des données sensibles au sens du RGPD (opinions politiques, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l’expertise et l’autonomie laissées au sous-traitant, d’où l’importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.

Quels sont les autres risques pour le sous-traitant en cas de manquement à ces obligations ? Ils sont de 3 ordres : d’image, administratifs et judiciaires.

  • Ce qui est nouveau avec l’application du RGPD, c’est la possibilité pour l’autorité locale d’appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le prestataire sous-traitant pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l’image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu’à 10 millions d’euros ou 10 % du C.A. mondial de l’exercice précédent.
  • En sus, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s’il s’agit d’une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu’à 300 000 Euros.
  • Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013). Dans tous les cas, cela peut s’avérer critique pour la survie du sous-traitant concerné.

En résumé, les sous-traitants ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Car ceci pourrait mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leurs propositions de valeurs et leurs images de professionnels de la sécurité tout en réalisant un checkup complet de leurs procédures.

Publication de l’ordonnance de réécriture de la loi Informatique et Libertés

L’ordonnance n° 2018-1125 du 12 décembre 2018, publiée le 13 décembre 2018, achève, au niveau législatif, la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale. Cette ordonnance améliore la lisibilité du cadre juridique en matière de protection des données. La CNIL a rendu le 15 novembre 2018 un avis sur ce texte.  

Dans son avis, la CNIL a insisté cependant sur la nécessité de clarifier au maximum les obligations imposées aux organismes traitant des données à caractère personnel, et notamment à des petites et moyennes entreprises ou à des organismes publics de taille modeste. Elle a également émis des observations plus techniques, afin de clarifier ou préciser les conditions de l’action collective ou les modalités d’utilisation des données personnelles à des fins de recherche en santé. Plusieurs de ces observations ont été prises en compte par le Gouvernement dans l’ordonnance promulguée.

Cette ordonnance entrera en vigueur au plus tard en juin 2019, en même temps que le nouveau décret d’application de la loi Informatique et Libertés. Dans l’attente, les dispositions actuelles de la loi Informatique et Libertés, dans sa version modifiée par la loi du 20 juin 2018, restent seules applicables.

Enfin, la CNIL rappelle que l’entrée en application du cadre juridique européen impose une réflexion de fond sur certaines législations sectorielles touchant à la protection des données personnelles, par exemple en matière de vidéoprotection. 

Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse est requise par la CNIL

Le RGPD prévoit que les autorités de protection des données doivent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données est requise. La CNIL a adopté sa liste définitive le 11 octobre dernier, après avoir soumis un projet au Comité européen de la protection des données. Elle publie également ses lignes directrices relatives aux AIPD.

https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements