Blog : NullPointerException  -  Le RGPD en 10 minutes (ou un peu plus) [3/5]

 -  Novembre 2022 - 

Disclaimer:
Le texte qui va suivre n’est PAS une analyse juridique et ne doit certainement pas être considéré comme un conseil juridique. Je ne suis PAS juriste mais uniquement un citoyen éclairé qui (essaie de) faire respecter ses droits au quotidien. Ce texte fait volontairement des raccourcis et omet des points de détails pour rester concis mais ces raccourcis ne changent pas la teneur du texte pour le cas général standard de 99.99% des lecteurs ici.
Dans tous les cas, analysez votre situation. Ne le prenez pas pour argent comptant et n’hésitez pas à vous faire votre propre avis sur le sujet.

Du coup, avec tout ce qui précède, vous l’aurez compris : vous êtes soumis au RGPD, toutes vos données sont des DCP ou sont associées à DCP, tous vos traitements sont des traitements de DCP, car vous traitez des DCP d’Européens ou êtes vous-même une entité européenne.

Voyons ce que ça implique.

Du registre de traitement

Le registre de traitement est une obligation de l’article 30 du RGPD.

Ce registre comprend, en dehors de détails administratifs sans véritable intérêt ici (mais obligatoires, hein 😊), trois éléments essentiels à l’application du RGPD pour chacun de vos besoins : la finalité, la base légale et la durée de conservation.
À titre d’exemple la CNIL fournit le sien ici.

De la finalité

La finalité est assez simple, c’est le pourquoi vous avez besoin de faire un traitement de DCP. Envoyer une newsletter, gérer les badges de cantines, gérer la paie, gérer les candidatures dans vos campagnes de recrutement, suivre les audiences de votre site internet ou plus prosaïquement juste fournir votre service primaire à vos utilisateurs. Oui, votre gestion RH à elle toute seule fait aussi partie de votre registre de traitement et fait d’ailleurs l’objet d’un référentiel spécifique de la part de la CNIL.

Ça a l’air de rien comme ça, mais pour une commune de 100 habitants, le registre de traitement fait 200 pages. Celui de la CNIL plus de 175 pages pour autant de finalités. L’association PSES dont je suis le Président, alors même qu’on limite plus que drastiquement le traitement de DCP vu que c’est une des préoccupations principales de l’association, possède un registre de traitement d’une dizaine de pages. Une grosse entité comme un GAFAM doit à mon avis avoir rédigé un gros roman de quelques milliers de pages pour autant de finalités… Dans une PME/TPE standard, n’espérez pas moins d’une petite centaine de finalités différentes au bas mot.

De la base légale

La base légale est le fondement juridique sur lequel vous vous autorisez à réaliser la finalité. Le RGPD n’en autorise que 6 via son article 6(1) : consentement (6(1)a), nécessaire à l’exécution d’un contrat (6(1)b), obligation légale (6(1)c), nécessaire à la protection des intérêts vitaux (6(1)d), intérêt public (6(1)e) et intérêt légitime (6(1)f).
En pratique pour une entreprise conventionnelle et en dehors des très rares cas couverts par une obligation légale, il n’y en aura donc que 3 de possibles : contrat, intérêt légitime et consentement. Et attention, le RGPD n’en autorise qu’une et qu’une seule par finalité, impossible de les mélanger !

La base légale du contrat est sévèrement encadrée, les lignes directrices 2/2019 d’EDPB font 18 pages. En particulier seules les finalites strictement nécessaires à la fourniture du service peuvent être concernées par cette base légale et non tout ce que l’entreprise souhaiterait y mettre. Et ce strictement est réellement strict et s’apprécie selon l’opinion de l’utilisateur et non de l’entreprise concernée. Typiquement, vos engagements marketing, vos KPI pour votre comité de direction, l’amélioration du service ou même le debug de vos problèmes de service ne peuvent être couverts par cette base légale.

Pour la très grosse majorité des finalités d’une entreprise, il faut alors se rabattre vers l’intérêt légitime. Sauf que là aussi elle est très sévèrement encadrée, les lignes directrices WP 217 06/2014 d’EDPB définissant ces limites sur 78 pages. La plus grosse incompréhension (volontaire la plupart du temps, soyons honnêtes) est qu’avoir un intérêt légitime ne permet pas automatiquement de se prévaloir de la base légale de l’intérêt légitime. Il faut aussi passer un triple test de légitimité, de nécessité et de proportionnalité.

Le test de légitimité est souvent expédié vu qu’évident (sauf à être vraiment d’extrême mauvaise foi avec un traitement qui n’est déjà même pas légitime pour le service donné).

Le critère de nécessité revient en fait à l’article 6(1)c qui impose de devoir minimiser les données de tout traitement et l’entreprise doit donc étudier s’il n’existerait pas une solution alternative qui demanderait moins de DCP. Et la nécessité doit être concrète, réelle et immédiate, et non vaporeuse, supposée ou future (coucou le marketing, je te vois…), avec toutes les démonstrations et éléments de preuve qui vont avec.

Enfin le critère de proportionnalité va s’attacher à vérifier si les effets sur les droits des personnes concernées ne seraient pas un peu trop disproportionnés par rapport à la finalité visée. Encore une fois ces libertés et ces droits correspondent à tout le socle défini par la CEDH en plus de ceux spécifiques apportés par le RGPD. On parle de choses aussi génériques et pourtant si importantes que le libre arbitre, la liberté de déplacement, de pensée, de conscience ou de religion. Oui, si vous êtes victime d’un traitement discriminatoire, vous pouvez être privés en pratique de certains de ces droits. Les risques et les effets de l’auto-censure suite à la connaissance de l’existence d’un traitement effectué sur vous seraient par exemple à envisager.

Il suffit d’un seul des 3 critères en défaut pour ne pas pouvoir se placer sous le régime de l’intérêt légitime. Trop souvent le critère de nécessité n’est même pas étudié, alors qu’il existe manifestement des solutions plus minimales mais que l’entreprise privilégie une autre solution moins onéreuse. Celui de proportionnalité est trop souvent facilement retoqué par une analyse éthique de la problématique posée par la finalité, mais encore une fois cette étude n’est généralement juste pas du tout menée.

Le consentement est la base légale la plus protectrice pour l’utilisateur. Il doit être donné de manière éclairée (on sait réellement à quoi on s’engage), libre (pas contraint), spécifique (pas de consentements multiples mélangés), et univoque (pas de case précoché). Les lignes directrices 05/2020 d’EDPB font 33 pages sur le sujet.
Les entreprises veulent à tout prix éviter cette base légale parce que l’utilisateur peut à tout moment retirer son consentement et ne doit en subir aucune conséquence (comme l’arrêt de la fourniture du service). En pratique les conditions de récolte légitime d’un consentement sont aussi difficiles à mettre en œuvre et la conservation de la preuve de consentement (article 7(1)) tout aussi complexe.

Le choix de la base légale pour une finalité donne du coup lieu à de véritables trolls géants de la part des entreprises. Celles-ci ne souhaitant pas du consentement pour de (mauvaises) raisons évidentes (refus possible de l’utilisateur, difficulté de récolte…) et ne pouvant pas se réclamer de la nécessité pour l’exécution du contrat (vu que très restrictif) se retrouvent à devoir placer ça sous le régime de l’intérêt légitime ou à devoir purement et simplement supprimer leur traitement faute de base légale restante…
Ne souhaitant pas supprimer le traitement, les entreprises le font rentrer au chausse-pied dans l’intérêt légitime… et se font dégommer en justice par la suite. L’article 6(1)f « intérêt légitime » est certainement le plus sanctionné, conduisant dans l’extrême majorité des cas poursuivis en une requalification de la base légale et donc à l’illicéité du traitement réalisé jusqu’à maintenant. La sanction est souvent assortie d’une obligation de placer le traitement sous le régime strict du consentement, et en pratique à le supprimer purement et simplement étant donné que l’entreprise ne trouve alors subitement plus du tout d’intérêt à cette finalité (ce qui au passage prouve la non nécessité…).

Encore une fois, le manque de considération de l’esprit de la loi fait perdre un temps précieux en tergiversations administratives et juridiques, avec des condamnations courues d’avance mais extrêmement longues à obtenir. Alors qu’une analyse éthique conformément à la CEDH dès le départ aurait conclu à la même chose très rapidement. Et généralement au consentement sinon rien.

De la durée de conservation

Il s’agit ici de respecter l’article 6(5)e qui impose de conserver les données exclusivement pour la stricte durée nécessaire à la finalité. En théorie il ne devrait pas y avoir de difficultés sur ce morceau mais en pratique c’est tout autant l’anarchie que pour la base légale.

Les durées de rétention sont manifestement illicites, comme la conservation de CV pendant plus de 10 ans alors qu’ils devraient être supprimés dès l’acceptation ou le refus de la candidature (cf SI RH CNIL), ou encore la non purge des données des utilisateurs inactifs. Bien souvent aucun processus régulier de revue des données n’existe, le système s’encrassant au fur et à mesures du temps qui passe de données obsolètes inutilisées ou carrément inutiles. Les data analystes ou le marketing conservent les données « parce qu’on ne sait jamais » et la BI espère tirer des indicateurs corporate de tonnes de données « un jour peut-être ».

Lors de mes nombreuses demandes d’accès RGPD dont on parlera par la suite, il n’est pas rare de voir des durées de conservation absolument sidérantes, comme une entreprise de chasseur de tête me contacter sur une adresse email de 14 ans d’âge ou un site de vente en ligne me ressortir mes échanges pour un problème de livraison vieux de 10 ans…

Des analyses de risque

En fait en déterminant vos finalités, vos bases légales et vos durées de rétention, vous avez réalisé une analyse d’impact relative à la protection des données (IAPD). Ceci est défini à l’article 35.

La rédaction d’une IAPD est obligatoire dans pas mal de cas :

• elle est imposée par la loi, la liste des traitements concernées étant ici, par exemple une application mobile utilisant de la géolocalisation
• votre traitement coche au moins 2 critères parmi
  • évaluation/scoring (banque par exemple)
  • décision automatique avec effet légal (ParcourSup)
  • surveillance systématique (une application mobile, oui oui)
  • données sensibles ou hautement personnelles (lecteur d’ePub avec prise de note, et oui oui aussi…),
  • collecte à large échelle (lignes directrices WP243, 25 pages)
  • croisement de données (le marketing, vous allez m’adorer 🥰)
  • personnes vulnérables (vos salariés, si si, relisez bien les directives SI RH de la CNIL, page 17)
  • usage innovant (coucou les startups !)
  • exclusion du bénéfice d’un droit/contrat (assurance, mutuelle, banque…)

Les lignes directrices WP248 (22 pages) donnent pas mal d’exemples d’obligation et explicites les points possiblement flous. Certains sont même totalement pas naïfs, comme par exemple ce qu’est un traitement à large échelle.

Ici encore, en pratique les entreprises sont globalement de mauvaise foi et tendent à limiter les obligations d’IAPD alors que les cas couverts légalement sont plutôt extensifs. Si vous n’avez conduit aucune IAPD dans votre entreprise, en particulier sur votre gestion RH, il y a de fortes chances pour que vous ayez raté quelque chose quelque part et que vous êtes dans l’illégalité.

D’une manière générale, vous avez de toute façon toujours intérêt à réaliser une IAPD pour chacun de vos traitements, ne serait-ce que pour justifier de vos choix de base légale ou de durée de conservation. Sans forcément partir dans une paperasserie administrative lourde, couchez sur le papier tout votre processus de raisonnement que vous devez de toute façon réaliser pour remplir votre registre de traitement. Ça vous servira aussi en cas de contrôle de la CNIL et en particulier à prouver votre bonne foi en cas de mauvais choix de base légale ou de durée de rétention actée par la CNIL. Vous devriez alors vous en tirer sans sanction.

Pour les cas obligatoires ou plus critiques, la CNIL met à disposition l’outil PIA pour vous aider dans vos démarches.

Dans la prochaine partie, nous verrons les process organisationnels que vous devez mettre en place, comme votre DPO ou les droits des personnes concernées.

Épisode 1 — Épisode 2 — Épisode 3 — Épisode 4 — Épisode 5

par