La Médiathèque

 Vous êtes en charge de la conformité de votre organisme et vous n’avez qu’une peur : que vos efforts soit anéantis par des comportements pas très RGPD Friendly de la part de vos équipes ? 

Les moyens traditionnels comme les e-learnings sont insuffisants. Ils ne permettent pas un réel changement des mentalités et des pratiques. 

Contrairement aux longues formations théoriques, le micro-learning mise sur des sessions courtes et régulières. 

 Résultat ? Une assimilation facilitée des règles RGPD et le développement de bons réflexes dans la durée. 

 Voici comment mettre en place une stratégie gagnante de micro-learning RGPD :

1️⃣ Ciblez les problématiques de chaque équipe. Pour que la formation soit utile, elle doit correspondre aux cas concrets rencontrés par vos collaborateurs. Un commercial n'a pas les mêmes besoins qu'un data scientist. Analysez les spécificités de chaque poste pour créer des modules personnalisés par métier : marketing, tech, RH, etc. 

2️⃣ Posez des questions basées sur des mises en situation réelles. Evitez le cours théorique sur la définition des données personnelles. Préférez des questions pratiques du type : On lance un nouveau site, et il nous faut un outil d’analyses statistiques. L’équipe choisit le leader et en plus, il est gratuit : Google Analytics. Qu’en penses-tu ? 

Les possibilités actuelles de l’intelligence artificielle permettent cependant des analyses plus intrusives lors de l’analyse des « Soft Skills » ou « Compétences douces » qui représentent les capacités d’adaptation, de communication, de créativité ou de réaction au stress du candidat. 

Aujourd’hui, il existe une variété d’outils permettant de simplifier toutes les étapes du processus de recrutement. 

Dès la pré-sélection des candidats l’intelligence artificielle est capable d’analyser des CV, d’interagir au moyen de chatbots qui envoient des messages par mail, sms ou via les réseaux sociaux afin de déterminer si les compétences de base de l’interlocuteur correspondent aux besoins du poste. Cette présélection automatique est un gain de temps colossal pour les recruteurs étant donné que ces agents automatisés effectuent des interactions en simultanée avec des centaines de candidats et sont disponibles en permanence. Lors de la pré-sélection, il existe aussi des outils pour mettre les candidats dans une simulation de situation rencontrées par l’entreprise, ces jeux interactifs permettent de collecter des informations sur les « soft skills » du candidat, voir comment celui-ci réagit en situation de crise et sa capacité à prendre des décisions, tout autant de traitements qui doivent être en conformité avec les exigences du RGPD. 

La phase d’entretien avec le candidat peut aussi être assistée par l’intelligence artificielle, l’utilisation du logiciel américain HireVue se répand progressivement dans les entreprises de grande taille, l’outil est capable d’analyser le choix des mots du candidat, les gestes, la posture, les micro-expressions pour parfois aller jusqu’à détecter s’il ment. Cette analyse peut être réalisée pendant un entretien en visioconférence avec le recruteur ou à la suite de l’enregistrement d’une vidéo par le candidat qui est traitée à posteriori.

Il existe des méthodes qui sont encore plus floues pour les candidats, où le  droit à l’information  n’est que très rarement respecté, c’est par exemple le cas du web scrapping autrement dit la collecte de données personnelles via les réseaux sociaux du candidat. Cette méthode assez courante permet à un algorithme d’étudier l’activité en ligne des candidats pour extraire les données qui paraissent importantes pour le poste vacant. Cette méthodologie représente évidemment un modèle bien trop invasif étant donné qu’il peut s’appuyer sur les activités personnelles et sur des données qui peuvent être mal interprétées. Ce traitement est très rarement précédé de l’information ce qui constitue une atteinte aux principes du RGPD. 

Il est donc nécessaire de distinguer les méthodes qui sont respectueuses de la vie privée des candidats et d’identifier les engagements à privilégier. 

Le profilage est tout autant encadré par le RGPD que la prise de décision automatisée ce qui explique les difficultés pour permettre un tel traitement tout en respectant les droits et libertés des personnes concernées. 

Une prise de décision entièrement automatisée est décrite par le RGPD comme une décision prise à l’égard d’une personne à la suite d’un traitement algorithmique au cours duquel aucun humain n’est intervenu. Le Règlement général sur la protection des données accorde une attention particulière à cette pratique puisqu’elle très encadrée lorsqu’elle « produit des effets juridiques » sur la personne concernée ou « l’affecte de manière significative ». 

 Le processus de recrutement rentre dans cette éventualité étant donné l’impact que peut avoir l’évincement d’un candidat, l’utilisation de ces algorithmes n’est pour autant pas strictement interdite. 

En effet, une intelligence artificielle est aujourd’hui capable de choisir seule un candidat qui serait selon elle le plus adapté pour un poste. Cependant en agissant sans intervention humaine il existe des risques d’analyse et de prédiction inexacte susceptibles d’évincer certains candidats de la sélection en raison de stéréotypes dus à la conception même de l’IA. Il pèse sur les concepteurs de ces outils informatiques de lourdes responsabilités en termes de qualité des données utilisées pour alimenter leurs créations, si celles-ci sont biaisées ou ne respectent pas certaines exigences éthiques elles pourront créer un disfonctionnement au sein du logiciel entrainant des discriminations.

Il est possible de citer l’exemple de l’intelligence artificielle utilisée pour le recrutement chez Amazon qui discriminait les femmes en raison d’un entrainement basé sur une population composée majoritairement d’hommes. 

La seule base légale ayant la possibilité de justifier le recours à une décision entièrement automatisée dans le cadre du recrutement est la conclusion d’un contrat de travail, une analyse doit nécessairement être effectuée au cas par cas. Cette exception doit être appréciée de manière très stricte, dans le cadre du recrutement seul un nombre de candidatures exceptionnellement élevé pourra être considéré comme un cadre d’utilisation valable de ce type d’algorithme. Il est ainsi nécessaire pour le recruteur de documenter ce choix et de le justifier sans quoi le traitement de données sera illégal. 

La CNIL recommande dans tous les cas de ne pas utiliser ces outils mais peut apprécier la nécessité de cette méthode lorsque des centaines de candidatures sont adressées à un recruteur. Pèse malgré tout sur celui-ci un devoir d’information renforcé à l’égard des personnes concernées en ce qui concerne le fonctionnement de l’algorithme. Cela induit donc que le recruteur doit connaitre et comprendre le fonctionnement de l’outil qu’il utilise, il lui revient de documenter son choix de logiciel ainsi que d’effectuer une analyse d’impact sur la protection des données (AIPD) qui permettra d’évaluer les risques du traitement et les mesures de sécurité à mettre en place.

Aux droits habituellement accordés lors d’un traitement de données doit être ajouté le droit à l’intervention humaine, tout candidat a droit au réexamen de son dossier par un opérateur humain s’il en fait la demande afin d’obtenir une explication sur la décision prise par l’algorithme. Ce droit doit pouvoir être exercé auprès de l’organisme recruteur, en contactant son DPO par exemple, avant la fin du processus de recrutement afin que le candidat ne soit pas privé d’une opportunité. Cela implique un devoir d’information important par le recruteur sur les processus mis en place et les dates auxquelles les candidats pourront être considérés comme écartés de la phase de recrutement.

 Le Règlement impose également pour ce niveau de risque des évaluations de conformité récurrentes et le maintien de registres d’utilisations des systèmes d’IA. La transparence et la responsabilité des entreprises qui utilisent l’IA dans le processus de recrutement sera mise au premier plan, l’obligation de fournir des informations claires et compréhensibles sur le fonctionnement de ces outils et sur les données personnelles traitées sera primordiale. Ce sont ici les principes mêmes du RGPD qui sont transposés dans le AI Act.

 Le AI Act ne vise pas à interdire l’utilisation de l’intelligence artificielle mais à concilier son utilisation et le respect des droits et libertés des personnes. L’utilisation de cette technologie au cours du processus de recrutement doit être effectuée de manière responsable par les organismes de sorte à assurer la protection des données personnelles des personnes concernées.   

1. Qu’est-ce que le Legal Design ?

2. Comment appliquer le Legal Design à vos documents légaux RGPD et Eprivacy

2.1. Le problème juridique : comprendre les enjeux et respecter les principes fondamentaux du RGPD

2.1.1 Rappel : le RGPD ?

2.1.2 Votre enjeu spécifique par rapport au RGPD et votre site web : rédiger une politique de confidentialité qui sera lue par votre visiteur

2.1.3 Le problème du visiteur de votre site web : Comprendre votre politique de confidentialité afin de pouvoir décider s’il vous fait confiance

2.2. Comprendre vos utilisateurs et leurs besoins

2.3. Simplifier le langage technique et juridique

2.4. Structurer vos documents légaux avec le Legal Design

2.5. Rendre vos documents légaux plus attrayants grâce au Legal Design

3. Le Legal Design au service de vos documents RGPD avec Admeet

Connaissez-vous le Legal Design ? le Legal Design remet l’humain au centre de la réflexion juridique. 

Cette technique est aujourd’hui indispensable pour communiquer sur vos obligations légales envers vos clients, travailleurs ou encore visiteurs de votre site web, par exemple par rapport à votre conformité au Règlement Général sur la Protection des données (RGPD).

En effet, le Legal Design vous permet de rédiger des documents légaux où l’information sera plus aisément accessible, intelligible, formulée en des termes clairs et surtout adaptée à votre audience cible, comme l’exige le RGPD. 

De nos jours, les documents légaux que l’on voit en ligne sont souvent trop longs, complexes, voire impossibles à comprendre pour une personne sans connaissance juridique. Dans cet article, nous vous partageons les étapes fondamentales pour appliquer le Legal Design à vos documents légaux RGPD.  

Cette technique est une application au monde juridique de la méthode du Design thinking, une méthode de création innovante.

Elle consiste à mettre l’humain/ « l’utilisateur » (votre client, visiteur, travailleur, etc.) au centre de votre approche de résolution de problème, en suivant les étapes suivantes :

Cette approche innovante du droit appliquée à votre problématique de communiquer sur vos obligations légales permettra d’améliorer la clarté de vos documents pour votre public cible, tout en respectant la liste des informations qui doivent y être mentionnées.

En parallèle de cette méthodologie de création de solution, le Legal Design prône l’utilisation du langage clair et d’éléments visuels pour une mise en page beaucoup plus digeste et dynamique.

Avant de commencer à rédiger vos documents, il est absolument essentiel de comprendre les principes du RGPD et de cartographier l'ensemble des traitements de données de votre organisation. Cela implique de mettre en place un registre de traitement des données personnelles traitées par votre organisation par chaque type de personnes concernées (p. ex. prospects, clients, visiteurs de votre site internet etc….). Pour cela vous devez entre autres :

- Connaître toutes les données personnelles que vous collectez et que vous générez et pourquoi vous le faites (finalité) ;

- Identifier la base légale utilisée pour chaque finalité de traitement de données personnelles ;

- Identifier la durée ou les critères de durée de conservation des données personnelles pour chaque finalité de traitement ;

- Identifier l’ensemble des destinataires des données (p. ex. fournisseurs, sous-traitant etc) et vérifier que votre organisation a mis en place des conventions de traitement de données avec tous vos sous-traitants ;

- Identifier les transferts de données hors de l’Espace Economique Européen et les mesures prises ;

- Mettre en place des procédures et politiques internes afin de garantir le bon exercice des droits des personnes et la sécurité des données ; 

Si vous n’êtes pas familier avec le RGPD, n'hésitez pas à faire appel à un DPO ou à un avocat. Une bonne compréhension des principes du RGPD assurera les bases d'une politique solide et adaptée à votre activité. Si vous êtes une agence web en charge de la rédaction des documents légaux pour les sites web de vos clients, il est obligatoire de personnaliser les documents en fonction des spécificités des activités de traitement de données de vos clients uniques à leur organisation et de ne pas utiliser de templates.

Le RGPD impose que vous informiez les visiteurs de votre site web sur la manière dont vous allez collecter et utiliser leurs données personnelles collectées (entre autres) via votre site web. 

Pour cela, vous devrez mettre en place une politique de confidentialité, véritable notice d’information à destination de toute personne dont vous utilisez les données personnelles. 

L’objectif sera donc de faire en sorte que le lecteur du document trouve l’information dont il a besoin facilement, puisse la comprendre à son niveau d’expertise et sache comment l’appliquer. Les politiques de confidentialité que vous pouvez trouver en ligne sont souvent de véritables murs de mots, incompréhensibles et visuellement oppressantes, ne répondant certainement pas à l’objectif d’informer le visiteur de votre site web.

Pourquoi est-ce important pour lui de comprendre ce que vous faites de ses données ? Cela lui permet de pouvoir anticiper s’il est aligné avec votre utilisation annoncée de ses données personnelles et de pouvoir choisir en toute transparence de vous les confier ou non. 

C’est un problème dont le visiteur n’est peut-être pas conscient de base. Le fait de pouvoir facilement accéder à l’information quand il en ressent le besoin contribue également à créer de la confiance sur le long terme. 

Pour appliquer le Legal Design, il est donc important de comprendre votre public cible et ses besoins : identifiez vos persona, leurs caractéristiques démographiques, leurs potentielles connaissances juridiques, mais aussi leurs préférences en termes de communication. Une approche empathique envers vos utilisateurs permettra de rédiger des politiques de confidentialité adaptées à leurs attentes et rédigées dans un langage clair ce qui facilitera leur compréhension.

Par exemple, si vous avez un site e-commerce et vendez des articles pour bébés, vos clients seront essentiellement de jeunes parents, avec divers niveaux de familiarité sur les aspects juridiques.

Un des outils du Legal Design est l’utilisation d’un langage clair, simple, accessible et compréhensible. Imaginez que vous expliquez la manière dont vous traitez les données personnelles à un ami : évitez tous les termes techniques et juridiques inutiles et fournissez des exemples concrets pour illustrer les éléments clés de votre propos. Cela rendra vos documents légaux RGPD plus agréables à lire et moins sujets à interprétation. 

Par exemple, indiquez plutôt "Nous collectons et utilisons vos données personnelles pour enregistrer et traiter votre commande" au lieu de "Le traitement de vos données à caractère personnel est nécessaire à l'exécution du contrat auquel vous êtes partie”. Pour faire le tri dans les informations à indiquer dans le document, posez-vous des questions : qu’est-ce que votre public a besoin de savoir pour effectuer ce que vous attendez de lui ?

Dans le cas de votre politique de confidentialité, le contenu qui doit être repris dans le document est listé par le RGPD. 

L'organisation de vos documents légaux est primordiale. Utilisez le Legal Design pour structurer clairement vos différentes sections en ajoutant des titres et des sous-titres. Par exemple, vous pouvez diviser votre politique de confidentialité par thématique :

- Qui sommes-nous et comment nous contacter ?

- Quelles données collectons nous et pourquoi ?

- Pourquoi avons nous besoin de vos données ?

- Que faisons nous de vos données ?

- Quels sont vos droits ?

Aussi, privilégiez les listes avec des bullet points plutôt que des phrases ou des paragraphes à rallonge. Enfin, optez pour une taille de police agréable à lire et évitez les notes de bas de page qui complexifient la compréhension des documents légaux.

Optez pour une présentation par niveau afin de faciliter l’accès à l’information. La présentation par niveaux de vos documents légaux en ligne est une bonne pratique car elle facilite grandement la lisibilité des politiques de confidentialité et des politiques de cookies obligatoires de vos sites web.

Il est très important que le lecteur trouve facilement l’information recherchée en 1 ou 2 clics maximum sans avoir à dérouler un long document sur son écran. 

Le Legal Design encourage aussi l'utilisation d'illustrations pertinentes pour rendre vos documents légaux plus visuels et attrayants. Les illustrations et les schémas permettent de faciliter la compréhension des informations juridiques complexes. Les icônes ou les emojis sont aussi très efficaces pour identifier rapidement les points importants.

IMAGE

“ ⚖️ Quels sont vos droits ? ”. 

Chez Admeet, nous appliquons ces principes de Legal Design aux politiques de confidentialité et de cookies générées grâce à notre application

N’hésitez pas à consulter la politique de confidentialité Admeet et la politique de cookies Admeet pour avoir un exemple de présentation par niveaux et d’illustration par icônes sur le principe du Legal Design. 

Vous l’avez compris, le Legal Design offre aujourd’hui une approche innovante et incontournable. Cette approche vous permet de rendre vos documents légaux RGPD attractifs et compréhensibles pour vos utilisateurs, mais aussi pour vous démarquer de la concurrence.

Chez Admeet, nous pensons que transparence et simplicité sont les clés pour construire une relation de confiance durable avec vos utilisateurs.

Vous n'avez pas besoin de formation Legal Design pour simplifier votre conformité RGPD et montrez à vos utilisateurs que la protection de leurs données et de leur vie privée est une priorité pour vous. Grâce à l'application des principes du Legal Design, l’outil Admeet vous permet de générer des politiques de confidentialité et de cookies sur mesure, intelligibles, accessibles et conformes aux exigences du RGPD. 

Pour les DPO de formation juridique, il peut être difficile pour eux de mettre en lumière leurs activités et projets tant il n’est pas dans l’ADN d’un juriste d’agir comme un chef de projet. Pourtant, dans d’autres métiers, il est naturel de définir des outils de mesures pour évaluer l’efficacité ou la performance de leurs activités et ainsi vérifier le degré d’atteinte des objectifs. Ce que l’on appelle plus communément des KPI (« Key Project Indicator »).

Pour effectuer un reporting au top Management afin de démontrer les tâches effectuées, il peut être intéressant de mettre en place un KPI de suivi de projets où il serait montré le nombre de projets managés ou de sollicitations du DPO et de son équipe. Ce KPI mettrait en avant le nombre de projets validés, le nombre de projets où un questionnaire privacy by design est en cours de complétion ou encore le nombre de projets où il n’y a pas de traitement de données personnelles. L’objectif ici est triple : 

• Démonstration de la charge au top management ;

• Visibilité sur la complexité des sujets et le temps nécessaire pour les traiter ;

• Montrer une évolution de l’activité dans le temps.

Toujours à des fins de reporting, on pourrait également imaginer un KPI recensant les demandes d’exercice de droit.

Les KPI prospectifs sont l’occasion pour le DPO de démontrer l’état d’avancement de sa conformité. Ces KPI sont très pertinents pour la construction du registre des traitements en mettant en avant, par exemple, l’écart entre le nombre de fiches de traitement à réaliser et le nombre réel de traitements fichés. Un KPI sur les fiches de traitement à mettre à jour est utile pour démontrer la charge relative à cette mission et le besoin de renfort permanent ou temporaire.

Les KPI de suivi des objectifs sont des indicateurs qui doivent être déterminés en début d’année. Ils permettent de démontrer l’efficacité des mesures mises en place et permettent également de donner de la visibilité aux équipes sur le suivi des objectifs. Idéalement, ces KPI sont mis à jour mensuellement et devront être mis dans le rapport annuel du DPO à son responsable de traitement.

À cette fin, un KPI de contract management est particulièrement recommandée. L’idée ici serait de fixer un objectif de contrats à revoir, à analyser et indiquer ensuite le nombre de contrat revu et où des clauses spécifiques sur les traitements de données ont été signées.

Malgré l’intérêt réel et démontré de ces indicateurs, il peut être difficile de les mettre en place. D’une part, cela implique de prendre en compte le temps nécessaire à vos équipes pour les réaliser et, d’autre, part, ils nécessitent le paramétrage et l’implémentation d’outils spécifiques, de supports spéciaux pour rendre lisible les indicateurs. Enfin, il convient aussi de prendre le temps de former les équipes à ce changement de pratique.

Benjamin GRAS – Avocat Associé Inside

Alexis Gourguechon – Juriste / Responsable du Pôle Privacy

L’AIVP fait partie de ces exercices en ce qu’il regroupe l’analyse à la fois juridique et technique d’un traitement de données, ainsi que des risques sur la vie privée qu’il engendre. Cette analyse, pour être juste et refléter au mieux la réalité, doit mobiliser de nombreux acteurs du traitement, leurs connaissances, leurs méthodes et leurs différentes visions d’un même sujet.

La finalité première d'une AIVP est d'identifier et de minimiser les risques pour la vie privée en évaluant les impacts potentiels de certains traitements de donnée personnelle. En effet, c’est le niveau de risque sur la vie privée qui sera déterminant dans le déclenchement d’une AIVP. Il est donc nécessaire de s’intéresser à tous les aspects du traitement de données personnelles. 

La réalisation de l’analyse d’impact vise par ce biais à prendre en considération l’ensemble des aspects (techniques, juridiques, contextuels) du traitement pour qu’en résulte, au travers de différentes étapes, le niveau de risque concret engendré par celui-ci.

L’identification du traitement, le respect de la nécessité et de la proportionnalité, la mise en balance du traitement par rapport aux risques évalués vont permettre de constater un résultat d’analyse du traitement. Les risques peuvent à ce titre être de différentes natures, couplant aussi bien des risques juridiques ou techniques, allant de la rupture de confidentialité à de potentiels risques sur la santé. L’exercice doit permettre une visualisation exhaustive de ces risques pour ensuite pouvoir les atténuer au maximum.

Les conclusions de cette première étape d’analyse vont ensuite permettre de développer des mesures de remédiation autour du traitement de données personnelles et de son exécution. Cela peut inclure des solutions techniques, organisationnelles ou juridiques, telles que le chiffrement des données, la pseudonymisation, la limitation de l'accès aux données, l’ajout d’un cadenas, la création d’un registre de consultation des données ou toute autre mesure qui s’avère pertinente pour limiter à la fois le risque en lui-même mais aussi sa survenance.

Tout au long de l’étude du traitement, il est nécessaire d’impliquer les parties prenantes en proportion de leur implication dans le traitement. Qu’il s’agisse des personnes internes à l’organisation ou bien externes tels que les partenaires et les Sous-traitants. En effet, il est possible que le Sous-traitant ait un rôle prépondérant dans le facteur de risque du traitement, c’est notamment le cas pour tous les Sous-traitants proposant des services liés à un produit technologique, à une solution « nouvelle » ou proposant des logiciels poussés sur lesquels repose tout un secteur d’activité.

L'objectif ultime de l'analyse d'impact sur la vie privée est de garantir que les organisations prennent des mesures pour protéger les droits et la vie privée des individus, tout en continuant à poursuivre leurs activités. L’analyse d’impact est un réel outil de démonstration de la conformité, de son amélioration à travers les mesures de remédiations, et de son évolution dans l’entreprise. Elle ne constitue pas un frein à l’activité principale du Responsable de traitement mais pousse plutôt ce dernier à la réaliser dans un cadre structuré (juridiquement et techniquement). Cela aide également à établir la confiance entre les organisations et les personnes concernées. L’implication du Sous-traitant à ce sujet est l’un des piliers de l’AIVP. Son absence d’implication créé une faille dans l’analyse des risques, et soulève la question du respect de l’article 28 RGPD en ce sens que le Responsable de traitement doit s’assurer et être en mesure de démontrer que le traitement est réalisé dans le respect du RGPD. 

Le Sous-traitant joue un rôle important dans le processus d'analyse d'impact sur la vie privée lorsqu'il est impliqué dans le traitement de données personnelles pour le compte du Responsable de traitement. Les obligations et droits du Sous-traitant par rapport à l’AIVP sont généralement définis dans l’article 28 du RGPD ainsi que dans le contrat ou l'accord entre le Responsable de traitement et le Sous-traitant.

Ainsi, dans la mise en œuvre du devoir d’assistance, qui est la première de ces obligations, le Sous-traitant doit nécessairement partager et transmettre certaines informations applicables aux traitements réalisés pour le compte du Responsable de traitement. Ces échanges doivent permettre à toutes les parties prenantes de tenir leurs engagements en matière de protection des données personnelles et de s’assurer que l’analyse d’impact est réalisée de façon exhaustive.

Le Sous-traitant doit également, dans le cadre des relations contractuelles qui le lient au Responsable de traitement mais également au regard des dispositions du RGPD, mettre en œuvre les mesures d’atténuation qui découleront de l’analyse d’impact. Ces mesures d’atténuation s‘inscrivent directement dans ce que le règlement entend comme les « instructions documentées ». Le Sous-traitant peut donc être tenu de mettre en œuvre des mesures d'atténuation pour réduire les risques pour la vie privée identifiés dans l'AIVP. Cela peut inclure des mesures techniques et organisationnelles visant à protéger les données traitées dans le cadre de la sous-traitance.

La mise en œuvre de telle mesures sera encadrée dans le temps puisque, le Responsable de traitement doit laisser au prestataire en cause la possibilité de prendre de telles mesures. Il pourrait y avoir des conséquences sur la façon de travailler des opérationnels, par exemple si un mot de passe ou une demande d’accès doit être ajouté dans leur process. Il pourrait également y avoir des conséquences techniques sur le système d’information du Sous-traitant lorsque par exemple la recommandation porte sur le cryptage de données personnelles ou la structure d’une base de données. Enfin il est également possible que la recommandation porte sur la conformité générale du Sous-traitant et sa gouvernance et dans une telle situation les coûts engendrés pour répondre aux exigences du Responsable de traitement.

En somme, le Sous-traitant est un partenaire essentiel dans le processus d'AIVP, car il peut avoir un impact direct sur la protection de la vie privée des individus. La collaboration entre le Responsable de traitement et le Sous-traitant est cruciale pour garantir une conformité efficace aux réglementations de protection des données et pour minimiser les risques pour la vie privée.

Pour garantir que le Sous-traitant soit impliqué de manière appropriée dans l'analyse d'impact sur la vie privée (AIVP), le Responsable de traitement dispose de plusieurs moyens. Ces derniers ont pour finalité d’établir une collaboration efficace et veiller à ce que le processus d'AIVP soit mené correctement.  

Le premier outil juridique plaçant directement le Sous-traitant comme un pilier dans la limitation des risques pour la vie privée des personnes concernées est le contrat (et plus spécifiquement les clauses contractuelles relatives à la protection des données). Le contrat est un dispositif d’anticipation permettant aux différentes parties de s’entendre sur les rôles et responsabilités de chacun dans la relation commerciale. 

Il semble alors pertinent d’inclure dans l’accord conclu avec l’autre partie des clauses spécifiques relatives à l'obligation de coopérer dans le cadre de l'AIVP (et ce, avant même qu’une AIVP soit envisagée).

Ces clauses vont permettre de définir l’obligation du Sous-traitant dans la collaboration. Cet élément est primordial puisque sans cette implication l’analyse des risques se retrouvera biaisée. Les clauses contractuelles vont également définir les modalités de collaboration en définissant avec quel niveau de profondeur et de détail le Sous-traitant devra s’impliquer dans l’analyse d’impact. Cette implication sera fonction de son rôle sur les données traitées et de la complexité de son action. De plus, les modalités de collaboration encadreront également les délais pour fournir les informations requises.

La première étape sera de prendre contact avec le point de contact (bien souvent le DPO) du Sous-traitant. Cette première prise de contact peut amener à l'échange de documents relatifs au traitement de données personnelles. Ces documents porteront notamment sur la gouvernance de l’entreprise et la conformité de la prestation. Ensuite, le Sous-traitant pourra fournir l'appui nécessaire pour l'organisation d'échanges, d’ateliers de travail et de moments de collaboration entre les métiers acteurs de la prestation et la personne en charge de la réalisation de l'AIVP. Ces échanges et ces informations vont permettre au DPO d'avoir une vision exhaustive des composantes internes et externes du traitement. Ce dernier fondera donc son analyse sur les informations obtenues au travers des audits et échanges de documents ainsi que sur son expertise. 

Le Sous-traitant aura un réel rôle dans l’analyse d’impact au travers d’autres mécanismes qui facilitent la mise en œuvre du contrat. En effet, la sensibilisation et les échanges avec le Sous-traitant, s’ils sont basés sur une communication ouverte et de qualité permettent d’entretenir un lien commercial sain : le contexte idéal pour la réalisation d’une AIVP collaborative et pertinente.

Les rapports entre l’ensemble des parties prenantes au traitement permet, lorsqu’ils s’exercent dans de bonnes conditions, d’entretenir les liens et la confiance quant à la prestation sous-traitée. Le prestataire portera peut-être une plus grande attention au respect des clauses contractuelles établies avec le Responsable de traitement dans un contexte favorable aux échanges. 

Ces éléments qui s’attachent plus à la relation commerciale qu’au texte du RGPD lui-même peuvent également être mis en avant par une personne de l’organisme. Le point de contact sera la porte d’entrée du Responsable de traitement chez son Sous-traitant. Ce point de contact va impulser toute l’énergie dans les échanges et la réalisation de la prestation bien que ce soient les équipes opérationnelles qui réaliseront le traitement. 

Enfin, à une échelle plus large, l’engagement de l’entreprise envers la protection des données personnelles (et non plus seulement l’engagement contractuel sur la protection des données pour la prestation en cause) donnera également une impulsion dans la limitation des risques sur la vie privée. Le prisme de l’AIVP met rapidement en lumière la sincérité de cet engagement et son effectivité (ou au contraire sa superficialité). 

En somme, il s'agit de créer une culture de respect de la vie privée et de collaboration avec les Sous-traitants pour garantir une protection des données solide et durable permettant la réalisation d’exercices tels que l’analyse d’impact. Le Sous-traitant va incarner et prendre une grande part dans la limitation des risques sur la vie privée mais il est à noter que la confiance et l'engagement mutuel sont essentiels pour réussir dans ce domaine.     

En matière de données à caractère personnel, les conceptions européenne et anglo-saxonne (au premier rang desquelles se trouve la conception américaine) divergent sur de nombreux points. Ainsi, l’une des plus grandes différences entre les approche européenne et américaine concerne le caractère commercial ou non des données personnelles. 

« Aux États-Unis, certaines données – par exemple des données collectées par les hôpitaux ou par les banques – bénéficient d’une protection élevée. Mais en dehors de ces zones protégées, les entreprises sont libres d’exploiter des données pour autant que les entreprises ne commettent pas de ‘pratique déloyale’. En Europe, les données à caractère personnel sont rattachées à un droit fondamental. Toute exploitation de données constitue une violation potentielle d’un droit fondamental, et devra être justifiée par un intérêt légitime, un consentement, l’exécution d’un contrat, etc. », explique Winston J. Maxwell, actuellement Directeur d’Études Droit et Numérique à Télécom Paris, dans une note publiée alors qu’il était Partner au sein du cabinet d’avocats Hogan Lovells.

Aux USA, la « common law » de chaque État reconnaît un droit à la protection de la vie privée à l’égard d’acteurs privés. Outre ces règles spécifiques à chaque État, les États-Unis disposent de lois fédérales visant la protection des données à caractère personnel dans certains secteurs. « La première grande loi sur la protection des données à caractère personnel concernait les traitements de données effectués par le gouvernement fédéral. Le Privacy Act de 1974 établit des règles sur le traitement des données à caractère personnel collectées par les différentes branches du gouvernement », rappelle Winston J. Maxwell. 

Après le Privacy Act de 1974, le législateur fédéral a développé une série de lois visant la protection des données à caractère personnel dans le secteur privé : HIPAA (Health Insurance Portability and Accountability Act) pour la protection des données de santé, GLBA (Gramm-Leach-Bliley Act) pour les données financières, COPPA (Children’s Online Privacy Protection Act) pour la protection des données concernant les enfants, FCRA (Fair Credit Reporting Act) visant à réguler les profils de solvabilité des individus, ECPA (Electronic Communications Privacy Act) pour les données de télécommunications, « Can-SPAM » Act pour l’interdiction des messages publicitaires... 

« Certaines de ces lois sont aussi protectrices que les lois européennes, même si leur champ d’application est plus restreint. En plus de ces lois fédérales, chacun des États américains a adopté des lois visant la protection de certains aspects de la vie privée de leurs citoyens. L’État de Californie a notamment adopté une loi protégeant les données à caractère personnel dans le cadre de sites Internet, ainsi qu’une loi accordant un droit à l’effacement à des utilisateurs mineurs de réseaux sociaux », note Winston J. Maxwell. 

« Plus récemment, l’adoption du RGPD, qui a comme finalité d’assurer aux résidents européens une protection des données personnelles globale et universelle, renforce cette approche. Le RGPD transcende les secteurs d’activité et les domaines d’utilisation des données personnelles et couvre tout traitement de données personnelles, par quelque moyen que ce soit. (...) Cette approche globale est censée accorder une protection complète et solide aux libertés et droits fondamentaux des citoyens et résidents de l’UE », poursuit Stephan Grynwajc.

Cette approche globale mise en œuvre par les Européens a d’ailleurs poussé le Département du commerce américain à conclure successivement le Safe Harbor en 2000 et le Privacy Shield en 2016 avec la Commission européenne pour encadrer le transfert des données personnelles de l’Union européenne vers les États-Unis. 

Dans la foulée de cet accord, la Commission européenne a lancé fin 2022 un processus d’adoption de la décision d’adéquation concernant le cadre de protection des données entre l’Europe et les États-Unis. Une décision d’adéquation est un processus prévu par l’article 45 du RGPD. Elle autorise le transfert de données à caractère personnel depuis l’UE vers un pays tiers, à niveau de protection identique. 

Dans le cadre d’une stratégie de conformité globale, il appartient aux organismes de mettre à disposition du DPO les moyens nécessaires  pour combiner les obligations de conformité et les impératifs de protection du savoir-faire et de confidentialité. En 2023, il sera d’autant plus nécessaire de veiller à la conformité les processus internes de traitement des demandes d’exercice de droits que le CEPD12 a enjoint les autorités nationales à mettre l’accent sur les fonctions des DPO.

→ Exemple de question : Avec le travail hybride, la direction ne s’y retrouve plus : doit-on conserver les bureaux ? Pour avoir une idée du nombre de collaborateurs qui viennent au bureau, on décide d’installer des caméras de surveillance dans les bureaux. Est-ce possible ?

 

Au cœur de la conformité RGPD se trouve l’individu. Toute la démarche consiste à le protéger à l’égard du traitement de ses données. Cette protection passe notamment par le respect des principes suivants : la minimisation des données, la transparence des traitements, la protection des supports de traitements et de stockage, la limitation de la durée de conservation des données, la protection des données dès la conception. Ces principes font écho aux axes stratégiques du NR qui convergent vers la protection de l’individu et de l’écologie. Par exemple, lorsque le RGPD impose de collecter uniquement les données nécessaires et de les conserver de manière limitée, cela contribue également à limiter les supports et volumes de stockage et donc émettre moins de gaz à effet de serre. Aussi, le principe Privacy by design et l’écoconception doivent désormais se conjuguer en matière de développement d’application technologique. De même, l’application des bonnes pratiques NR comme le reconditionnement des matériels, le télétravail, le BYOD implique nécessairement de tenir compte du RGPD. Ainsi, les deux matières s’inscrivent dans le champ de l’éthique et de la protection. Il est dès lors envisageable, et même préférable, de les aborder de manière simultanée et intégrée. Le RGPD et le NR sont donc des approches complémentaires qui visent à garantir une utilisation responsable et éthique du numérique. En respectant les obligations du RGPD et en adoptant une approche NR, les entreprises peuvent assurer une utilisation responsable et durable du numérique, tout en protégeant les droits fondamentaux des individus et en contribuant à la lutte contre les enjeux sociaux et écologiques.