En mai 2018 entrera en vigueur une nouvelle loi, appelée GDPR (General Data Protection Regulation), qui remplacera la célèbre loi "Informatique et Libertés", très importante dans le domaine de la recherche d'information et du SEO. Cette loi européenne va modifier en profondeur bon nombre de points qui touchent les moteurs et le référencement naturel, aussi est-il important de bien la comprendre pour l'appréhender de la meilleure façon possible. Ceci est l'objet de cet article en deux parties.
Le 25 mai 2018 entrera en vigueur le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD ou « GDPR » en anglais pour General Data Protection Regulation). Ce règlement remplace la loi « informatique et libertés », impose de nouvelles contraintes et règles, fixe des vraies sanctions et détermine finalement une nouvelle manière de traiter les données personnelles pour tous les acteurs, à commencer par ceux du SEO. À un an de l’arrivée de cette nouvelle loi, nous exposons ici le détail de ces nouvelles règles et surtout son enjeu pour l’ensemble de notre écosystème.
La 1ère partie de notre article a précisé les droits des personnes qui voient leurs données collectées et traitées (et, donc, concomitamment les obligations des personnes qui traitent les données, les responsables de traitement). Cette seconde partie est centrée sur lesdits responsables de traitement.
Les obligations du responsable de traitement : la conception des traitements
Le GDPR impose de nouvelles obligations, qui n’existaient pas dans la loi « Informatique et libertés », et qui portent notamment sur l’importance de la prise en compte de la protection des données personnelles dès la conception d’un traitement (« privacy by design »). Les principes suivants ne valent que pour celui qui va concevoir et développer le traitement, pas pour celui qui va l’utiliser. En d’autres termes, ce chapitre s’applique aux spécifiques (qui restent fréquents dans notre domaine, notamment chez les prestataires SEO qui ont tous leurs outils) et aux éditeurs.
Très concrètement, au moment de la rédaction du cahier des charges, dans une démarche AGILE ou encore dans le cadre d’une optimisation d’une application existante, etc…, il faut documenter la prise en compte du GDPR. Par exemple, le cahier des charges devra comprendre un chapitre propre à la protection des données personnelles. Cette documentation est indispensable et sera contrôlée par la CNIL, tout défaut à ce titre entrainant une sanction.
Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles conformes au GDPR. Ces mesures sont, par exemple, l’anonymisation des données pour éviter le plus de données personnelles possibles, ou encore, la détermination minimale de données (il faut alors bien préciser, dans le cahier des charges pourquoi telle et telle donnée est nécessaire et s’y limiter). Dans le cadre de la détermination de ces mesures, il convient de tenir compte :
- des connaissances techniques / technologiques au jour de la conception ;
- des coûts de mise en œuvre ;
- de la nature, de la portée, du contexte et des finalités du traitement ;
- du degré de probabilité et de gravité des risques.
Ces points peuvent sembler des évidences, mais désormais, il s’agit d’obligations légales, sanctionnées par la CNILe. Il sera donc central de bien documenter et conserver ces documents en cas de contrôle.
Lorsque certains types de traitements / logiciels / applications sont susceptibles d'engendrer un risque élevé pour les personnes au regard du GDPR, il faut effectuer, dès la conception, une analyse de l'impact des opérations envisagées par rapport à la protection des données. Concrètement, un risque peut se caractériser quand il y a un grand nombre de données (big data), par le traitement de données sensibles (données de santé par exemple), peut avoir des finalités « border-line » (par exemple, faire du profiling en fonction de la religion), ou encore par la revente à des personnes spécifiques (par exemple, à des banques ou l’Etat). La CNIL ou la future « super-CNIL européenne » édictera des listes précises de cas où il faut faire des analyses d’impact préalables. En d’autres termes, il est important de se poser la question (et de documenter par écrit le fait de se poser la question) sur les risques au regard du GDPR que pourrait poser un nouveau traitement et ce, dès la conception.
Le texte nous aide. Dans le cadre d’une analyse d’impact, il doit être tenu compte de la nature, de la portée, du contexte et des finalités du traitement. Cette analyse contient au moins :
- une description systématique des opérations de traitement envisagées et des finalités du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques au regard du GDP R;
- et les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
Il est précisé que « le responsable de traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu ». Ce point doit être conservé à l’esprit notamment lorsque le traitement porte sur des données de catégories de personnes comme les salariés dans une entreprise ou les clients spécifiques d’une société ou encore les actionnaires ou porteurs de stock-options dans un groupe…
Enfin, la CNIL a mis en ligne un guide relatif aux analyses d’impact (1ère partie téléchargeable ici : https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf).
Si l’analyse d’impact relève un risque particulier, il faut alors contacter la CNIL. Si la CNIL estime, à son tour, que le traitement envisagé constituerait une violation du GDPR, elle rend son avis, dans un délai maximum de 8 semaines.
Dans le domaine du SEO, cette nouvelle obligation implique de déterminer en amont si oui ou non des données personnelles seront collectées lors d’une nouvelle application ou d’un nouveau traitement. Or, comme souvent rappelé, la notion de donnée personnelle est extrêmement large : une adresse IP est une donnée personnelle et dès lors qu’on la collecte et/ou qu’on la traite et/ou qu’on l’utilise dans un rapport Majestic (par ex), on entre dans le champ du GDPR et il faut respecter toutes ces obligations.
Les obligations du responsable de traitement : la sécurité
Aussi étonnant que cela puisse paraître, cette loi reste la seule à portée générale qui impose une sécurité informatique pour les données. Il en était déjà de même avec la loi « informatique et libertés ».
Le responsable de traitement (mais aussi les prestataires externes) doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Ces mesures sont fonction :
- de l'état des connaissances,
- des coûts de mise en œuvre,
- de la nature, de la portée, du contexte et des finalités du traitement,
- des risques.
Les mesures à prendre en compte ne sont pas uniquement celles relatives à la sécurité des infrastructures physiques, matérielles, logicielles et réseaux, mais également celles intrinsèques aux traitements et aux données personnelles, dont :
- l’anonymisation et le chiffrement des données ;
- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique (sorte de PRA);
- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
En pratique, plus les données sont sensibles ou en nombre, plus les traitements sont à risque, plus la CNIL demande des mesures élevées. Si les principes directeurs de sécurité doivent être pris en compte par les prestataires SEO, il est évident qu’il ne leur est pas demandé de mettre en place un PRA et des tests annuels de sécurité : ces contraintes visent les hébergeurs, les grands opérateurs (comme Google pour le coup) et des institutions gérant du big data.
La nouveauté du texte repose sur le fait qu’en cas de problème / faille de sécurité, tous les responsables de traitement doivent désormais le notifier à la CNIL et ce, dans les 72 heures. La notification doit comprendre les informations suivantes :
- la nature de la violation de données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données concernés;
- le nom et les coordonnées du DPO ;
- les conséquences probables de la violation de données ;
- les mesures prises pour remédier à la violation de données.
Autre nouveauté qui aura des impacts commerciaux importants : lorsqu’une violation de données est susceptible d'engendrer un « risque élevé » au regard du GDPR, le responsable de traitement communique la violation de données aux personnes concernées dans les meilleurs délais et précise également les conséquences probables de la violation de données et les mesures prises pour y remédier.
Qu’est ce qu’un « risque élevé » ? Il n’existe à ce jour aucune définition légale. La méthodologie de la CNIL sur l’analyse d’impact précise que la notion de gravité d’un risque correspond à « l’ampleur des impacts potentiels sur la vie privée des personnes concernées. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels » (https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf). Il s’agira donc de valider au cas par cas les préjudices des impacts pour valider si oui ou non, il faut communiquer au public la violation de la sécurité.
Toutefois, le lobbying a bien fonctionné sur ce point et plusieurs exceptions ont été précisées dans le texte. Ainsi, il n’est pas nécessaire de communiquer à chaque personne concernée, même en cas de risque élevé, si :
- le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données affectées par ladite violation (en particulier si les données ont été cryptées / chiffrées) ;
- le responsable de traitement a pris des mesures ultérieures qui garantissent que le risque élevé n'est plus susceptible de se matérialiser;
- la communication individuelle demandait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique.
A nouveau, si ce chapitre ne semble concerner que les hébergeurs et autres grands opérateurs, il est important de souligner qu’en cas de violation de la sécurité et d’impact sur des données personnelles traitées dans le cadre d’opérations de SEO, il sera nécessaire d’alerter la CNIL.
Les obligations du responsable de traitement : la structuration en interne
Registre des activités
Chaque responsable de traitement de plus de 250 personnes doit tenir un registre des activités de traitement effectuées sous sa responsabilité. Ce point est fondamental et sera, dans la plupart des cas, le premier document demandé en cas de contrôle de la CNIL.
Ce registre comporte toutes les informations suivantes:
- le nom et les coordonnées du responsable de traitement ;
- les finalités de chaque traitement ;
- une description des catégories de personnes concernées et des catégories de données ;
- les catégories de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- le cas échéant, les transferts de données à vers un pays tiers ;
- dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
- dans la mesure du possible, une description générale des mesures de sécurité.
La CNIL a déjà fourni un modèle de registre : www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx.
Contractualisation avec les sous-traitants
Les sous-traitants ne pourront désormais intervenir pour le compte d’un responsable de traitement que si et uniquement si ils ont un contrat signé.
Ce contrat doit comprendre de nombreuses clauses, dont notamment (mais pas uniquement) le fait que le sous-traitant :
- ne traite les données que sur instruction documentée du responsable de traitement ;
- veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ;
- prend toutes les mesures de sécurité ;
- respecte les mêmes conditions recruter un autre sous-traitant ;
- donne suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits ;
- aide le responsable de traitement à garantir le respect de ses obligations prévues au GDPR ;
- mette à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au GDPR et pour permettre la réalisation d'audits ou contrôles.
La CNIL réclamera chacun de ces contrats en cas de contrôle.
De même que le responsable de traitement, chaque sous-traitant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement, comprenant:
- le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit;
- les catégories de traitements effectués pour le compte de chaque responsable de traitement;
- les transferts de données vers un pays tiers ou à une organisation internationale;
- une description générale des mesures de sécurité.
De la même manière, la CNIL pourra demander l’accès au registre du sous-traitant en cas de contrôle du responsable de traitement.
Transfert hors Union
Par principe, un transfert, vers un pays tiers ou à une organisation internationale, de données qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si :
- Le pays a été reconnu comme conforme par la Commission européenne (liste disponible : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde) ; ou
- Le destinataire des données est inscrit dans le cadre du programme USA / UE « Privacy shield » (liste disponible : https://www.privacyshield.gov/list) ; ou
- Le destinataire a adhéré à un ensemble de règles contraignantes validé par la CNIL ou une autre autorité de protection des données personnelles en Europe ; ou
- Le responsable de traitement et le destinataire ont signé un contrat, spécifique avec des clauses très particulières, qui rappellent les principes directeurs du GDPR et l’imposent contractuellement aux deux co-contractants ; ou
- Chaque personne concernée a spécifiquement et expressément donné son consentement à un tel transfert, après avoir été informée des risques que ce transfert pouvait comporter pour elle ; ou
- Le transfert est nécessaire à la conclusion ou l'exécution d'un contrat entre la personne concernée et le responsable de traitement ; ou
- Le transfert est nécessaire pour des motifs importants d'intérêt public; ou
- Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice; ou
- Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement.
En d’autres termes, il est nécessaire de bien identifier où sont les serveurs d’hébergement, où sont les destinataires à qui des données sont envoyées et/ou où sont les sous-traitants travaillant pour mettre en place la documentation nécessaire. De la même manière, cette documentation sera demandée par la CNIL en cas de contrôle.
DPO / Délégué à la protection des données
Une entité (organisme, société ou autorité publique) doit absolument désigner un DPO en interne lorsque :
- Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
- les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données sensibles.
Le GDPR ne l’exige pas pour d’autres cas. Mais il est probable que la loi française rajoute rapidement des cas impératifs.
De plus, dans le cadre d’une communication du 13 décembre 2016, le Groupe de l’Article 29 (qui regroupe toutes les CNIL en Europe) a précisé qu’il fallait interpréter de manière extensive et large les cas dans lesquels il faut un DPO (http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf) En d’autres termes, dans le doute, il faut toujours désigner un DPO.
Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (ou sinon, il doit être accompagné d’un expert juridique, il existe déjà des « abonnements » chez les avocats spécialisés). Le DPO est un salarié ou un prestataire externe (par ex, un avocat DPO). Le DPO est protégé, c’est-à-dire que personne ne peut lui dire ce qu’il doit faire dans sa mission de conseil, d’assistance et d’alerte en termes de protection des données personnelles. Il est précisé que le DPO « fait directement rapport au niveau le plus élevé de la direction du responsable de traitement », c’est-à-dire au CEO.
Ses missions sont :
- informer et conseiller en interne ;
- contrôler le respect du GDPR et des règles internes du responsable de traitement en matière de protection des données à caractère personnel ;
- dispenser des conseils, sur demande, en ce qui concerne l'analyse ;
- coopérer avec la CNIL, notamment pour les contrôles.
Ce DPO n’est pas un espion à la solde de la CNIL, mais bien un compagnon pour le respect de la GDPR.
Qui est responsable ?
A la suite de cette longue liste de droits et d’obligations, se pose in fine la question de la responsabilité. Qui est responsable en cas de violation ? En effet, tous les schémas, SEO ou non, sont composés de nombreux intervenants dont les clients, les prestataires SEO, les hébergeurs, les moteurs, etc…
Avant de répondre directement à cette question, le GDPR précise que c’est à chacun de démontrer qu’il respecte le règlement et ses principes. C’est donc un principe, assez peu fréquent en droit français, où c’est au justiciable de prouver qu’il est innocent et non l’inverse. Mais nous sommes en droit européen qui est d’inspiration allemande et anglo-saxonne.
C’est parce que c’est à chacun de démontrer qu’il respecte le GDPR qu’il est si important de documenter son respect. Cette documentation est fondamentale, centrale. Qu’on ait tort ou raison, ne pas documenter induit la condamnation.
En termes de responsabilité, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du GDPR a le droit d'obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi.
De manière plus détaillée,
- lorsque plusieurs responsables de traitement déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement. Il est intéressant de souligner que le GDPR précise que l’accord entre lesdits responsable de traitement est mis à la disposition des personnes concernées ;
- lorsqu'un traitement est effectué pour le compte d'un responsable de traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable du responsable de traitement.
- En cas de faute du sous-traitant, le responsable de traitement et le sous-traitant sont responsables (charge de se retourner entre eux le cas échéant) ;
- En cas de faute du responsable de traitement, seul celui-ci est responsable.
Il sera donc fondamental de bien documenter les actions et responsabilités de chacun pour pouvoir bien exonérer sa responsabilité le cas échéant.
Les sanctions
La grande nouveauté de la réglementation porte sur les sanctions.
Nous avons souligné à quel point les sanctions de la CNIL contre Google étaient risibles et inefficaces. En interne, les juristes Américains s’amusaient d’ailleurs de cette impuissance en termes de sanction administrative.
C’est en tenant compte de cet exemple Google et en prenant exemple du droit de la concurrence que la Commission a précisé que les sanctions pouvaient monter jusqu’à :
- 10 000 000 € ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu pour notamment:
- Défaut de consentement de la personne concernée lorsqu’il est requis ;
- Défaut de rendre anonyme des données personnelles en fin de traitement ;
- Défaut de documentation (privacy by default, contrat de sous-traitant, registre, etc…) ;
- Défaut de sécurité ou de documentation sur la sécurité ;
- Défaut d’analyse d’impact lorsque nécessaire ;
- 20 000 000 € ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé pour notamment :
- Violation des principes de base du GDPR ;
- Violation des droits des personnes concernées ;
- Un transfert vers un pays non conforme au GDPR ;
- Non-respect d’une injonction de la CNIL.
De plus, la France pourra prendre des mesures supplémentaires (certainement des sanctions pénales) en complément de ces sanctions administratives.
Cet article en deux parties est probablement le plus long et technique rédigé depuis onze ans, mais il est nécessaire que chacun, dans notre domaine, connaisse l’étendue et l’importance de toutes ces nouvelles règles. Pour bien comprendre à quel point notre secteur d’activité, le SEO, est impacté par ce GDPR, il faut se souvenir que c’est sur ce seul terrain juridique que les Etats européens, au travers de la CNIL pour la France, mènent leur bataille contre les Google & Co en termes de référencement.
Les règles du GDPR sont nombreuses, souvent inutiles en apparence, mais elles seront contrôlées par le CNIL qui a déjà annoncé des dizaines de recrutements pour contrôler et sanctionner. Mais la mise en conformité de chacun est, en réalité, assez simple à effectuer… Pourvu qu’on l’effectue…
Alexandre Diehl
Avocat à la cour, cabinet Lawint (http://www.lawint.com/)