De près ou de loin, directement ou non, tout le monde est concerné par la nouvelle réglementation relative aux traitements de données personnelles. Entré en vigueur ce vendredi 25 mai 2018, le Règlement Général sur la Protection des Données constitue une petite révolution en la matière. Mais dans l'amas de notions nouvelles, dans le flot de mails informatifs, les entreprises - et particulièrement les petites et jeunes entreprises - ont manifesté une difficulté à en assimiler les tenants et les aboutissants, et à trouver les moyens de s'y conformer. S'il est vrai qu'à première vue, la mise en application peut paraître laborieuse, elle est comparable à un sujet d'examen : la première lecture inspire la panique, tandis que la seconde vient - au moins en partie - relativiser la complexité de l’énoncé, de par la prise de recul et la concrétisation.

Le nouveau règlement européen s’applique à toutes les entreprises situées sur le territoire de l'Union européenne, mais aussi à toute entreprise traitant des données de ressortissants de l’UE. Champ d’application très large, donc, dans un but originel de toucher - et de gêner - les géants GAFA. But atteint de manière toute relative, alors que beaucoup s'accordent à penser que les petites et moyennes entreprises s'en trouvent, elles, directement impactées voire handicapées.

Coûteuse en temps et en argent, et transversale en ce qu'elle concerne tous les secteurs de l’entreprise, cette réforme fait peur. Pourtant, les grands principes issus du règlement sont loin d'être nouveaux, puisqu'ils existaient déjà dans la loi informatique et libertés de 1978, plusieurs fois modifiée.

Beaucoup ont dénoncé un manque de clarté et d'encadrement du nouveau règlement. En effet, à côté des notions et principes fondateurs précisément définis, le règlement laisse volontairement des marges de manoeuvre importantes aux entreprises quant à la réalisation de certains mécanismes. Cela revêt toutefois son lot d'avantages : la nouvelle réglementation est d’application souple et permet à chaque structure de l'adapter à son échelle et à ses moyens.

Chez XXII, la mise en application ne s'est pas faite sans questionnements, notamment en matière d’intelligence artificielle. Inlassablement, nous nous sommes alors efforcés de retenir ceci : le tout est de faire les choix qui nous semblent le mieux répondre aux exigences imposées par le règlement, et d’être en mesure de les justifier. Sur cette base, nous nous efforçons d’avancer dans notre mise en conformité. Nous avons également eu la chance de rencontrer des représentants de la CNIL spécialisés en nouvelles technologies qui nous ont apporté de précieux éclaircissements. Ils nous ont rassurés sur les démarches déjà effectuées et notre vision à court, moyen et long terme.

Notre mise en conformité a débuté par un apprivoisement des notions et principes clés du texte, et par la désignation d'un Délégué à la Protection des Données (le DPO) en charge du respect par XXII de l'ensemble de la réglementation sur les données personnelles. Le DPO a également un rôle de sensibilisation, en interne et avec nos clients, aux nouvelles exigences imposées par le RGPD.

Ce sont desdites notions clés - la plupart du moins - que nous faisons état aujourd’hui. Comment agissons-nous aujourd'hui pour parvenir à la conformité de demain ? Quelles réponses avons-nous trouvé aux vastes interrogations posées par la réglementation sur les données ? Comment le GDPR s’adapte-t-il aux petites entreprises ? Dans quelle mesure peut-il aussi s'appliquer au secteur des nouvelles technologies, et, plus spécifiquement encore, à l’intelligence artificielle ?

XXII s’efforce aujourd'hui de répondre à ces différentes questions, du haut de son statut de jeune entreprise spécialisée en nouvelles technologies.
 

  • Les nouvelles obligations du sous-traitant

Jusqu’à l’entrée en vigueur du règlement, le sous-traitant mettant en oeuvre un traitement de données pour le compte du responsable de traitement ne pouvait pas être tenu responsable du fait d'une violation de la loi concernant le traitement des données personnelles. Aussi, la co-responsabilité du sous-traitant est l’une des importantes nouveautés du règlement. La CNIL a mis en ligne un « guide du sous-traitant », destiné aux entreprises, dans le but de les aider à comprendre les tenants et les aboutissants de cette toute nouvelle responsabilité, et à mettre en pratique les obligations que cette dernière implique.

En substance, le sous-traitant est tenu à un certain nombre d’obligations qui lui sont spécifiques, sans quoi sa responsabilité pourra être engagée au même titre que le responsable du traitement, et il pourra d’ailleurs faire l'objet des mêmes sanctions que ce dernier.

Tout d’abord, le sous-traitant aura dorénavant une obligation générale d'assistance et de conseil envers le responsable de traitement dans la mise en conformité avec la réglementation sur les données.

Par ailleurs, le sous-traitant est tenu d'une obligation de transparence et de traçabilité, qu'il devra remplir en tenant, notamment, un registre des traitements effectués pour le compte du responsable de traitement, en constituant des preuves de respect de ses obligations, ou encore en prévoyant contractuellement les obligations mutuelles de chacun des acteurs dans la réalisation du traitement de données personnelles.

Le prestataire sous-traitant devra en outre assurer la sécurité des données traitées et collectées, en mettant en place des mécanismes spécifiques de sécurisation, et en listant et décrivant ces derniers au responsable de traitement.
En cas de violation des données à caractère personnel, de quelque manière que ce soit, le sous-traitant devra en informer immédiatement le responsable de traitement, puis l'aider à effectuer les démarches nécessaires auprès de la CNIL et des personnes concernées, le cas échéant.

Le prestataire sous-traitant devra enfin assister le responsable de traitement en cas de demande d'exercice de ses droits par l'une des personnes concernées par le traitement de données.

Chez XXII :

XXII a le statut de sous-traitant dans la plupart de ses projets clients et s’efforce de répondre aux exigences imposées, à ce titre, par le règlement général sur la protection des données. Nous assistons ainsi régulièrement nos clients en leur apportant notre expertise dans la mise en pratique de la nouvelle réglementation. En amont, nous les informons sur les formalités qu’il sera nécessaire de mettre en place pour demeurer en conformité avec le règlement, puis nous les aidons par la suite à les mettre en application. Par exemple, nous proposons à nos clients des moyens efficaces, simples et rapides d’obtenir le consentement des personnes concernées par les traitements. Nous avons désigné une personne chargée d’être l’interlocuteur privilégié de nos clients dans la mise en oeuvre de nos obligations mutuelles. Cette personne reste disponible pour répondre aux questions du client, l’accompagner au mieux dans sa mise en conformité, et suivre chaque projet depuis sa phase d’élaboration jusqu'à son aboutissement.

Nous tenons également un registre des traitements - à côté de son registre de traitement établi en sa qualité de responsable de traitement - qui répertorie les différents traitements effectués en tant que sous-traitant.

Il nous est primordial également d’assurer la transparence avec nos clients sur nos obligations respectives au titre du traitement des données personnelles, c’est pourquoi nous mettons en place des clauses spécifiques dans nos contrats, afin que chacun sache ce qui lui appartient de faire au regard de son statut.
 

  • Privacy by design / Privacy by default

Ces deux concepts sont les clés de voûte de la nouvelle réglementation : la Protection dès la conception, et la protection par défaut. L’objectif global est simple : privilégier des technologies qui, dès leur conception et tout au long de leur utilisation, garantissent le plus haut niveau de protection possible de la vie privée des personnes.

Dans le cadre de la « Protection dès la conception », l’entreprise devra effectuer un travail en amont de la conception de technologies ainsi qu’à chaque étape de celle-ci, afin de s’assurer que le produit est et demeure  en conformité avec la réglementation.

Ces concepts sont directement nés de l’émergence de nouvelles technologies. Dans la mesure où l’on ne peut pas réglementer toutes les nouvelles inventions et innovations qui sont faites, on va demander à leurs créateurs et développeurs de prendre toutes les mesures nécessaires en amont de leur arrivée sur le marché. Le mécanisme est donc préventif, et les entreprises doivent faire preuve, en toutes circonstances, de proactivité dans leurs recherches de protection.

Chez XXII :

La recherche de protection dès la conception et par défaut passe par une coopération renforcée de toutes les équipes de XXII. Cette recherche fait l'objet de réunions regroupant chercheurs, spécialistes techniques ou encore décisionnaires, avec le juridique, pour adapter nos technologies à la nouvelle réglementation.

Ces « brainstormings » sont particulièrement utiles dans le cadre du développement de notre intelligence artificielle. En effet, ces dernières sont basées sur une analyse de flux vidéos et d’images de personnes physiques. La « finalité à atteindre » et les données nécessaires pour y parvenir vont alors dépendre de la compétence d’IA concernée. Par exemple, lorsque l’objectif est de détecter les chutes de personnes, nous aurons besoin d’images suffisamment nettes pour détecter le squelette des personnes, alors que la simple analyse de flux de personnes ne nécessite pas ce type de données.

A l'issue des réunions, sont établies des « fiches de conformité », qui, pour chaque compétence d’IA, indiquent l’impact du logiciel sur les données personnelles, le type et la quantité de données nécessaires à la finalité à atteindre, les moyens mis en place pour minimiser les traitements de données, ou encore pour assurer la sécurisation des données.

Pour satisfaire au privacy by design et by default, XXII favorise au maximum le traitement en temps réel, pour éviter les stockages d'images superflus. Nous avons également mis en place un système qui nous permet de conserver, au sein du flux vidéo, uniquement les minutes « à risque » : lorsque l’IA détecte un bagage abandonné par exemple, le logiciel stocke automatiquement les minutes précédant et suivant l’alerte d’abandon de bagage dans la bande enregistrée, et supprime le reste du film. Le laps de temps stocké ne devra pas dépasser le temps nécessaire et suffisant pour permettre, notamment, une enquête efficiente des services de police, ou encore constituer une preuve tangible dans le cadre d'un procès.

Par ailleurs, dès que l’IA est mise en place à des fins statistiques, ou plus généralement dès qu'il n'est pas nécessaire d’identifier les personnes captées, XXII a recours à des techniques dites d’« anonymisation ». Ces techniques consistent à rendre non-identifiable, de manière irréversible, toute personne faisant l'objet du traitement de données. Si la CNIL donne certaines indications sur les techniques possibles d’anonymisation, elle laisse l’entreprise libre des moyens à employer pour atteindre cet objectif : à l'image du RGPD dans son ensemble, les chemins possibles sont multiples, tant que l’entreprise parvient à atteindre le dessein poursuivi.

Enfin, XXII réalise des analyses d'impact des technologies utilisées sur la vie privée des personnes. Recommandées par la CNIL, ces analyses d’impact consistent en une mise en balance des risques sur la vie privée des personnes et de l'efficience des moyens employés pour les protéger. La CNIL a mis en place un outil très utile pour réaliser ces analyses d’impact, dont XXII se sert en préalable à la mise en application de ses solutions d’IA.
 

  • Fondement juridique

Chaque traitement de données effectué doit être justifié en amont par une « base juridique », aux termes de la nouvelle réglementation. Il existe plusieurs fondements juridiques sur lesquelles peuvent se baser les traitements de données : l’existence de relations contractuelles qui imposent ce traitement, une obligation légale, un intérêt vital, un intérêt légitime, ou encore le consentement de la personne concernée.

Cette obligation de trouver un fondement juridique aux traitements de données est dans le prolongement du principe de minimisation des traitements de données : le traitement ne peut être admis ou toléré que s’il existe une raison réelle qui le justifie. Dans le cas contraire, il n’a pas lieu d’exister et d’être mis en oeuvre.

Les critères de qualification du consentement se sont vus renforcés avec le GDPR. Il doit d’abord consister en un acte positif : le silence ne vaut pas acceptation en matière de données personnelles. Par ailleurs, il doit être éclairé, ce qui va de pair avec une information préalable claire et complète. Le consentement doit en outre être spécifique, il doit par exemple être distinct du consentement donné à des CGU.

Chez XXII : 

Chez XXII comme dans toute entreprise, l’existence même des contrats de travail justifie aisément la plupart des traitements de données faits à l’égard des salariés. Il n’en va pas de même en ce qui concerne les logiciels que nous créons pour nos clients.
D’autres fondements juridiques viennent justifier nos traitements, comme l’intérêt légitime de sécurité, pour certaines de nos compétences d’IA.
Comme beaucoup d’entreprises - et au détriment de nos boîtes mails - nous avons dû avoir recours à une campagne d'emailing demandant aux destinataires actuels de notre newsletter s’ils souhaitaient continuer à la recevoir.
 

  • Information des personnes concernées

La réglementation fait peser sur les acteurs du traitement une obligation très importante d’information des personnes. Ces dernières doivent être informées sur le traitement qui est effectué à leur égard, la personne qui effectue ces traitements, sur la finalité du traitement, le type de données captées voire stockées, sur l’existence de leurs droits sur leurs données personnelles et le moyen de les faire jouer, ou encore, le cas échéant, sur la durée du stockage.

Chez XXII :

Chez XXII, l’information des personnes peut se faire par différents biais, en fonction du cas d’usage, de la situation concrète, et de la technologie mise en place.

Dans le cadre du développement d’une application par exemple, l’obligation peut être remplie par une fenêtre « pop up » qui s’ouvre, informant l’utilisateur sur le traitement de données réalisé à son égard, qu’il ne pourra fermer qu’en acceptant en connaissance de cause.

Pour nos technologies d’intelligence artificielle, l’information se fait complètement différemment. Nos logiciels se basant sur des caméras de vidéosurveillance, il est nécessaire de mettre en place des affiches informatives suffisamment voyantes, lisibles et concises, afin de s’assurer que la personne concernée aura effectivement accès à l’information.
 

  • L’exercice des droits des personnes

Comme expliqué ci-dessus, les personnes doivent être informées de l’existence de leurs droits et de la manière de les exercer facilement. Ces droits sur leurs données personnelles permettent aux personnes concernées d’exercer un réel contrôle sur leurs données, et d’instaurer une confiance réelle entre ces dernières et le responsable de traitement.

Aux droits prévus par les réglementations antérieures, sont venus s’ajouter de nouveaux droits. Aujourd’hui, la personne concernée par le traitement dispose de 7 droits principaux sur ses données : le droit d’accès à ses données, le droit de déréférencement, le droit de s’opposer au traitement de données, le droit de ne pas être soumis à une décision individuelle automatisée, le droit de rectification, le droit à la portabilité de ses données, et le droit à l’effacement des données. La CNIL a récemment mis en ligne un guide donnant des informations plus précises aux personnes sur les droits qu’ils détiennent sur leurs données personnelles et la manière de les exercer.

L’impact du règlement ne réside pas réellement dans l’existence de ces droits, dont la majorité pré-existait avant l’entrée en vigueur du règlement, mais il tient plus dans la possibilité, pour les personnes concernées par les traitements, d’y avoir accès et de les exercer.
Non seulement les personnes doivent être dûment informées de l’existence de ceux-ci, mais l’entreprise qui réalise les traitements doit en permettre un exercice facile : les personnes doivent pouvoir non seulement exprimer leur désir d’exercer leur droit, mais également obtenir un retour rapide et efficace de sa demande par l’entreprise concernée.

Chez XXII : 

Nous avons mis en place une adresse mail à destination des personnes concernées par nos traitements de données, afin qu'ils puissent obtenir des informations concernant les traitements et qu’ils puissent aussi exercer leurs droits sur leurs données. Cette adresse est régulièrement vérifiée par notre DPO qui s'assurera qu'il sera donné suite à toutes les demandes formulées. La tenue du registre de traitement aide amplement le DPO à accéder aux demandes et à avoir une visibilité accrue sur nos traitements.
 

  • Sécurisation des données

La sécurisation des données est un sujet qui nous préoccupe et nous mobilise beaucoup de manière générale, d’autant plus que sur certains projets nous pouvons être amenés à traiter des données sensibles. Le RGPD rappelle que toute entreprise, en tant que responsable de traitement ou en tant que sous-traitant, doit mettre en oeuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. La CNIL a publié des recommandations sur les moyens qui peuvent être utilisés pour répondre à ces finalités. Les principaux aspects de la sécurisation des données que nous traitons se regroupent autour des thèmes suivants : restreindre et sécuriser les accès aux données stockées, sécuriser les échanges de données, assurer l’intégrité et l’archivage des données.
Ces recommandations et orientations fournies, il appartient à l’entreprise de mettre en place les moyens appropriés pour atteindre le niveau de sécurité suffisant.

Chez XXII :

Nous avons tout d’abord organisé notre restriction d’accès aux données en interne en accordant l’accès à nos bases de données sensibles uniquement aux personnes qui ont pour mission de travailler sur ces données. Ces dernières sont hébergées sur un serveur dont l’accès physique n’est possible qu’à l’aide d’une clé qui est détenue par notre DPO. Par ailleurs, nous procédons à l’encryptage des données. Pour cela nous utilisons le logiciel Veracrypt qui fait partie de la liste des logiciels recommandés par la CNIL et qui a le mérite d’être libre de droits.
Dans le cadre de projets clients, lorsque nous devons leur mettre à disposition des informations ou des données, nous procédons, lorsque c’est possible, à une restriction par IP doublée d’une restriction par identifiant. Concernant notre serveur web, nous utilisons le protocole “https” qui intègre une technique dite de “chiffrement hybride”, devenu un standard pour la sécurisation des données transitant à travers le web. Nous avons vocation à nous étendre via le cloud notamment pour notre offre d’intelligence artificielle, aussi nous sommes très attentifs et vigilants quant aux garanties en termes de sécurité que proposent les différents fournisseurs.

En résumé et comme le règlement le recommande, nous prenons les mesures nécessaires pour que les données que nous traitons et stockons ne soient accessibles que par nos collaborateurs désignés et uniquement pour les finalités pour lesquelles nous avons capté ces données.
 

  • L’accountability

L’obligation d’accountability désigne, aux termes du RGPD, l’obligation pour les entreprises de pouvoir faire état, de manière documentée, du respect de ses obligations.
Cette obligation passe par différents moyens, notamment par un outil nouveau, déjà évoqué précédemment, appelé « registre des traitements ». Ce registre des traitements, tenu par l’entreprise, répertorie les différents traitements qu’elle met en place. La CNIL a mis à disposition des outils très utiles pour la mise en place de ce registre de traitement.
Le registre de traitement se matérialise en règle générale par un tableau, dans lequel les entreprises inscrivent chaque traitement, les données traitées dans le cadre de ce dernier, le responsable dudit traitement - dans le cas où, comme XXII, l’entreprise aurait la qualité de sous-traitant -, les personnes concernées par le traitement, la finalité du traitement, la date de mise en place de ce traitement, et la durée de conservation des données. Il doit aussi, le cas échéant, indiquer si les données feront l’objet d’un transfert hors UE des données collectées.

Bien que certaines entreprises en soient exemptées, de par leur taille notamment, la tenue d’un registre de traitement peut s’avérer utile, en tout état de cause, dans sa mise en oeuvre globale du GDPR. En effet, elle peut permettre dans un premier temps une prise de conscience globale de l’étendue et de l’impact des traitements mis en oeuvre, et de la quantité de données superflues et inutiles qu’elle conserve depuis sa création. Elle lui permet également d’évaluer la charge de travail à effectuer pour se mettre en conformité globale avec la réglementation, et à mettre en place un « planning de travail » pour parvenir à la sacro-sainte « compliance », en prévoyant notamment des dates de suppression des données collectées.

L’accountability passe également par la conservation des preuves de consentement des personnes concernées par les registres de traitement, afin de pouvoir en faire état en cas de litige ou de contrôle de la CNIL.

Enfin, il est important, dans le cadre de cette obligation de documentation de prévoir des clauses contractuelles liant le client responsable de traitement avec le prestataire sous-traitant, afin de prévoir de manière non-équivoque la répartition des tâches dans le cadre de la mise en conformité. Les deux sociétés pourront toujours s’y référer en cas de doute, de désaccord, voire de contentieux.

Chez XXII : 

Bien que nous ne soyons pas légalement tenus d’en tenir un pour l’ensemble de nos traitements, nous avons mis en place un registre des traitements répertoriant tous les traitements de données effectués par l’entreprise depuis sa création, et indiquant les caractéristiques de chacun d’eux.
Ces traitements concernent toutes les branches de l’entreprise, des relations humaines au commerce en passant par la communication. Y sont inscrits à la fois les traitements réalisés en tant que responsable de traitement, et à la fois ceux réalisés en la qualité de sous-traitant. Long à mettre en place, il constitue un outil utile de mise en conformité, et nous confère une visibilité accrue.

Comme précédemment évoqué, nous prévoyons aussi des clauses spécifiques à la gestion des données personnelles dans nos contrats clients afin d’avoir une base solide d’organisation et de répartition des tâches et différents objectifs.

La CNIL s'est montrée rassurante, ces derniers mois, à l’égard des petites entreprises : la nouvelle réglementation n'a pas un but punitif, nous explique-t-elle. Il semble donc que nous soyons dans une démarche d'accompagnement et de coopération, ce qui n’exempte pas pour autant - elle reste ferme là-dessus - les petites entreprises de mise en conformité.

Par Camille Amar - Juriste chez XXII -