Le projet de loi relatif à la protection des données visant à suradapter le droit français au RGPD reçoit petit-à-petit de nouvelles briques au fil des discussions au Parlement. Comme nous vous l’annoncions, les débats au Sénat ont repris le 20 mars et les sénateurs ont, dès la première journée, déjà apporté quelques modifications intéressantes à souligner.
Les objets connectés intégrés dans la loi « RGPD »
Le groupe Union Centriste, par la voix de Catherine Morin-Desailly, a ajouté un alinéa non négligeable à l’article 1 du projet de loi. Cet alinéa précise que la CNIL peut décider de certifier des objets connectés, qui font l’objet d’une commercialisation directe auprès des consommateurs, afin de reconnaître officiellement qu’ils sont conformes au RGPD, mais pas seulement. La certification portera également sur la possibilité pour les utilisateurs de désactiver la collecte des données ainsi que sur la mise en oeuvre d’une sécurité répondant à des exigences élevées.
M. Loïc Hervé. : « Ce qu’on vise, c’est l’usager. Alex Türk, ancien sénateur et président de la CNIL, a publié en 2011 un ouvrage qui vise les « naïfs », conscients des possibilités des réseaux, mais qui croient n’avoir « rien à cacher, rien à se reprocher ». Sept ans après, on y est encore. La CNIL parle également des véhicules connectés. Nous sommes à la préhistoire d’un bouleversement total. »
Un décret devra définir les modalités de certification par la CNIL.
Par effet domino, nous nous doutons bien que les entreprises commercialisant des objets connectés et qui n’obtiennent pas une telle certification RGPD risqueront d’être fortement pénalisées dans leur activité. Il n’y a qu’à espérer que la procédure de certification RGPD ne sera pas un parcours du combattant favorisant les grandes entreprises au détriment des petites qui n’auront pas les moyens de constituer les dossiers requis.
La CNIL listera les traitements nécessitant une consultation préalable
Le groupe socialiste et républicain, par la voie de Sylvie Robert, a fait adopté un amendement important pour transformer une possibilité en obligation. En effet, jusqu’à maintenant l’alinéa 17 de l’article 1 du projet de loi disposait que la CNIL « peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4 ».
Avec l’amendement le « peut établir » se transforme en « établit ». C’est-à-dire que la CNIL va dresser la liste de tous les types de traitements de données personnelles dites sensibles qui devront obligatoirement faire l’objet d’une consultation auprès d’elle.
Cet amendement durcit le projet de loi car, à la lecture du RGPD, la consultation préalable de la CNIL n’est obligatoire que si l’analyse d’impact réalisée par le responsable du traitement décèle un risque élevé. Or, l’amendement adopté va plus loin que le RGPD et prévoit qu’une liste arbitraire obligera tous les responsables des traitements de données personnelles présents dans cette liste à consulter la CNIL, quel que soit le résultat de l’analyse d’impact.
En réalité, tout dépendra de la manière dont la CNIL rédigera sa liste et décrira les traitements, l’amendement reste tout de même un joli tour de passe-passe pour les connaisseurs du RGPD…
Le Sénat rend obligatoire le chiffrement des données personnelles
Par un amendement insérant un article additionnel relatif aux obligations du responsable du traitement, les sénateurs, portés par Marie-Thérèse Bruguière, ont créé l’obligation, quasi-systématique, de chiffrer les données personnelles traitées. Comment ? C’est simple, l’amendement adopté fait suite à l’article 34 de la loi informatique et libertés du 6 janvier 1978 disposant que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
L’amendement précise que les précautions utiles prises par le responsable du traitement l’obligent « chaque fois que cela est possible, [que] les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données ».
Cet amendement est très aléatoire et pourrait faire s’arracher les cheveux à plus d’un responsable de traitement. D’abord, il signifie que toutes (oui, toutes) les données personnelles devront faire l’objet d’un chiffrement. Quand on connait l’étendue du champ des données personnelles gérées par une seule petite TPE qui peine déjà à préparer le RGPD, alors on commence à réaliser l’impact que cela aura…
Et que veut dire l’expression « chaque fois que cela est possible » ? Qui évaluera le pourcentage de possibilité ? Dans le même temps on peut se demander comment les responsables de traitement vont faire pour chiffrer toutes les données personnelles déjà récupérées et qui n’auraient pas forcément fait l’objet d’un chiffrement.
Cette mesure qui part sûrement d’un bon sentiment pourrait avoir un impact très important, probablement pas mesuré par les sénateurs, sur tous les traitements de données personnelles.
Pour savoir si vous êtes prêt à faire face au RGPD répondez à nos questionnaires en cliquant ici.
