Logiciels et Privacy by design : enjeux et mise en œuvre
France > Droit privé > CNIL > Protection des données personnelles
Florence IVANIER, Avocat associé,
Cabinet Aurele IT
Data Protection Officer
Le 22 Novembre 2022
Les éditeurs de logiciels ne peuvent pas se contenter de renvoyer vers les utilisateurs, responsables de traitement, la charge d'implémenter la protection des données pour les traitements issus des solutions fournies, comme l'atteste la sanction récente prononcée par la Cnil à l'encontre de l'éditeur Dedalus, en sa qualité de sous-traitant. D'où l'intérêt d'intégrer, dès la conception des logiciels, les principes de protection des données personnelles et de veiller en tant qu'utilisateur au respect de ces garanties.
Le principe de protection de la vie privée dès la conception (Privacy by design) et son corollaire, celui de protection de la vie privée par défaut (Privacy by default) consacrés par le Règlement général sur la protection des données[1] (RGPD) constituent des éléments essentiels de la conformité. Ils font partie intégrante de l’accountability, l’obligation pour les entreprises de mettre en œuvre des mécanismes et procédures visant à démontrer leur conformité.
Pourtant, quatre ans après l’entrée en vigueur du RGPD, ces concepts font figure de grands oubliés, nombre d’entreprises ayant privilégié une conformité documentaire en négligeant ces mesures transverses et structurantes visant à garantir la conformité de leurs traitements de données. La protection dès la conception et par défaut doit être garantie pour chaque application, produit, service ou projet impliquant un traitement de données personnelles au sein de l’entreprise, les décisions récentes du régulateur français attestant qu’un certain nombre d’attendus sont désormais sanctionnés concrètement.
Les éditeurs de logiciels ne peuvent pas se contenter de renvoyer vers les utilisateurs, responsables de traitement, la charge d’implémenter la protection des données pour les traitements issus des solutions fournies, comme l’atteste la sanction récente prononcée par la Cnil à l’encontre de l’éditeur Dedalus, en sa qualité de sous-traitant. D’où l’intérêt d’intégrer, dès la conception des logiciels, les principes de protection des données personnelles et de veiller en tant qu’utilisateur au respect de ces garanties.
Lorsque l’on s’attache à mesurer plus spécifiquement la portée de ces obligations pour les logiciels, tant les enseignements des pratiques du marché que l’analyse de la jurisprudence récente conduisent à penser que les éditeurs ne peuvent plus se contenter de renvoyer vers les utilisateurs (en leur qualité de responsables de traitement) la charge d’implémenter la protection des données pour les traitements engendrés par les solutions fournies. Et ce d’autant qu’une délibération de la Cnil du 15 avril 2022[2] qui vient sanctionner la société Dedalus Biologie, éditeur de logiciels, en sa qualité de sous-traitant, marque un tournant dans la jurisprudence de l’autorité de protection, La présente étude s’attachera à identifier spécifiquement pour les logiciels, les enjeux et les modalités de mise en œuvre des principes de protection des données dès la conception et par défaut (désignés ensemble ci-après « Privacy by design »).
Editeurs et utilisateurs de logiciels, tous concernés
L’article 25 du RGPD qui impose le respect du Privacy by design ne permet pas directement pas d’en identifier les contours et rend malaisé l’identification des organismes sur lesquels pèsent ces obligations.
Celui-ci dispose :
1. « (…) le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (…) qui sont destinées à mettre en œuvre les principes relatifs à la protection des données (…) de façon effective et à assortir le traitement des garanties nécessaires afin de (…) protéger les droits de la personne concernée.(…) »
2. « (…) Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. »
Ces dispositions sont à interpréter au regard du considérant n° 78 du RGPD: « Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et (..) à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données. »
On le voit, l’article 25 fait peser en première intention sur les responsables de traitement l’obligation de garantir la protection des données. Or c’est l’entreprise utilisatrice du logiciel qui endosse le plus souvent la qualité de responsable de traitement, en ce sens qu’elle fixe les moyens et les finalités du traitement de données engendré par le logiciel qu’elle implémente en son sein.
L’éditeur qui fournit la solution agit le plus souvent en qualité de sous-traitant, dès lors qu’il traite les données au nom et pour le compte de l’entreprise utilisatrice. Schématiquement, il n’y a guère que les éditeurs de logiciels implémentés on premises qui ne sont pas aux prises avec les traitements de données et qui, dès lors, n’endossent pas la qualité de sous-traitants.
Les éditeurs de logiciels en mode SaaS -ce qui devient la norme- procèdent quant à eux quasi systématiquement à des traitements de données en qualité de sous-traitants.
Si les éditeurs ne se sont initialement pas sentis concernés par l’obligation de Privacy by design c’est que l’article 25 ne les vise pas directement. Seul le considérant précité précise qu’il convient d’inciter les producteurs d’applications à s’assurer que les responsables de traitements et les sous-traitants sont en mesure de s’acquitter de leurs obligations.
Pourtant, la sanction est d’abord celle du marché et l’on constate une tendance des entreprises utilisatrices lorsqu’elles souscrivent à l’utilisation d’un logiciel (et ce même lorsqu’il s’agit d’un logiciel on premises) à exiger un engagement contractuel des éditeurs sur le Privacy by design, sachant bien qu’il leur sera difficile, voire impossible, de se conformer à leur propre obligation de conformité si le logiciel n’a pas pris en compte ces principes dès la conception.
Les attendus de la Cnil à la lumière des sanctions récentes
La protection dès la conception et par défaut s’implémente de manière transverse. Elle s’articule autour des mesures fondamentales suivantes :
• des mesures proactives et préventives,
• une protection intégrée comme paramètre par défaut, sans action ou paramétrage nécessaire de la part de l’utilisateur,
• une intégration de la vie privée dès la conception,
• une sécurité de bout en bout tout au long du cycle de vie de la donnée et pendant toute la durée du traitement,
• des mesures de visibilité et de transparence,
• seules les données nécessaires pour chaque finalité spécifique sont traitées.
La jurisprudence du régulateur français est venue préciser les éléments concrètement attendus des organismes.
La Cnil sanctionne Futura Internationale
Une première sanction notable est prononcée à hauteur de 500.000 € par la Cnil à l’encontre de la société Futura Internationale le 21/11/2019[3]. Même si la formation restreinte ne sanctionne pas au visa de l’article 25 du RGPD sur le fondement du Privacy by design, c’est bien le non-respect de ce principe qui nous semble sanctionné, au même titre que de nombreuses autres obligations dans cette décision riche d’enseignements.
La société mène en qualité de responsable de traitement des opérations de prospection téléphonique en utilisant un logiciel de gestion de clientèle d’un éditeur tiers. Elle emploie des centres d’appels (qui agissent en qualité de sous-traitants).
Ceux-ci ont la possibilité d’enregistrer des commentaires dans le logiciel que Futura Internationale a mis à leur disposition. Après avoir constaté l’existence de commentaires injurieux et de propos relatifs à l’état de santé des personnes démarchées, l’autorité de contrôle relève :
• un manquement à l’obligation de traiter des données adéquates. Elle souligne que le responsable de traitement aurait dû mettre en place un mécanisme automatisé contraignant, empêchant l’enregistrement de commentaires inadéquats et note qu’un système de détection automatique des mots inadéquats aurait permis de les exclure des zones de commentaires ;
• un manquement à la limitation de la durée de conservation, en soulignant le défaut de possibilité de paramétrer dans l’outil l’archivage et la suppression des données ;
• un manquement au respect du droit d’opposition des personnes concernées, en mettant en exergue le fait que le tableau que les téléopérateurs des centres d’appels sont invités à consulter est insuffisant pour assurer la prise en compte effective de l’opposition des personnes. La Cnil considère que seul un mécanisme automatisé serait suffisamment efficace pour garantir que le respect de ce droit d’opposition.
Il s’agit bien selon nous d’un défaut de Privacy by design, que le responsable de traitement aurait dû implémenter dans la solution elle-même. Cette première illustration permet de mieux cerner les contours de l’obligation qui pèse sur le responsable de traitement dans le cadre de l’implémentation d’un logiciel. On notera que le responsable de traitement ne saurait se décharger de ses obligations au motif que la solution qu’il utilise ne serait pas conforme au Privacy by design. A minima, il lui appartient de la configurer et en amont, d’opérer un choix de solution qui le mette en capacité de respecter ses obligations.
Il s’agit bien selon nous d’un défaut de Privacy by design, que le responsable de traitement aurait dû implémenter dans la solution elle-même.
Cette première illustration permet de mieux cerner les contours de l’obligation qui pèse sur le responsable de traitement dans le cadre de l’implémentation d’un logiciel. On notera que le responsable de traitement ne saurait se décharger de ses obligations au motif que la solution qu’il utilise ne serait pas conforme au Privacy by design. A minima, il lui appartient de la configurer et en amont, d’opérer un choix de solution qui le mette en capacité de respecter ses obligations.
La Cnil met la RATP à l’amende
La délibération du 29 octobre 2021 de la Cnil qui prononce une amende de 400.000 € à l’encontre de la RATP est également emblématique des attendus du régulateur quant au Privacy by design.
Dans cette affaire, la RATP mettait en œuvre une évaluation de ses agents dans le cadre de l’avancement de leur carrière. A la suite d’une plainte émanant d’une organisation syndicale, soutenant que la RATP avait inclus le nombre de jours de grève par agent dans les données permettant l’évaluation, un contrôle de la Cnil est opéré dans plusieurs centres de bus.
Le contrôle porte notamment sur les fichiers, préparatoires aux commissions d’avancement, tenus dans les centres de bus et sur l’utilisation d’une application par la RATP de visualisation et d’extraction de données à partir de plusieurs applications pour la gestion des ressources humaines
Le contrôle permet de constater l’existence de données relatives aux jours de grève dans les fichiers, et ce, alors même que la RATP avait émis des recommandations internes limitant les données pouvant être collectées. La formation restreinte relève un manquement aux principes essentiels de minimisation (le caractère excessif des données étant d’autant plus marqué compte tenu du caractère sensible des informations et du secret attaché à l’exercice du droit de grève), de limitation des durées de conservation et de sécurité.
C’est bien le défaut de Privacy by design de l’application et de sa configuration qui est pointé, notamment le défaut de mesures techniques et organisationnelles quant à la politique d’habilitation et d’accès.
La formation restreinte relève ainsi que :
· le stockage des fichiers précités sur un serveur est accessible à tous les responsables ;
· la configuration de l’application « ne permet pas d’assurer la confidentialité des données au sens de l’article 32 du RGPD dans la mesure où tous les agents habilités peuvent extraire l’ensemble des données contenues dans l’outil. (..) La politique d’habilitation de l’outil (…) ne permet pas de garantir que les personnes habilitées ont accès aux seules données strictement nécessaires à leurs fonctions. (..) la politique d’habilitation devrait être plus fine et permettre la création de davantage de profils différents (.) a fortiori compte tenu du volume de données et de la sensibilité de certaines données accessibles dans l’outil » ;
· la création d’un outil commun Excel à utiliser pour les extractions de données en vue de constituer les fichiers préparatoires, afin de figer ce qu’un tableau préparatoire peut contenir en termes de données – aurait pu être utilement mis en œuvre.
Cette délibération permet d’illustrer un certain nombre de bonnes pratiques attendues du responsable de traitement, au nombre desquelles la configuration de ses outils, la mise en place d’une politique de gestion des accès et l’encadrement des extractions de données.
Décision Cnil à l’encontre de Free Mobile
Dans le prolongement de ces décisions, la délibération du 28 décembre 2021[4] sanctionne, cette fois au visa de l’article 25 du RGPD, le fournisseur de services de communications électroniques Free Mobile à hauteur de 300.000 €, notamment pour manquement à l’obligation de protéger les données dès la conception.
Dans cette espèce, le responsable de traitement est sanctionné notamment au motif de l’utilisation comme identifiant, dans le cadre d’abonnements « multilignes », du numéro de la ligne téléphonique principale de l’abonné, même si cette ligne est résiliée. La formation restreinte considère que le traitement de ce numéro n’est pas justifié et qualifie de manquement à l’obligation de protéger les données dès la conception, le défaut de mise en oeuvre des « mesures organisationnelles et techniques permettant de procéder à l’effacement des données (..) qui n’étaient plus nécessaires pour les besoins de la facturation. »
On voit ainsi se dessiner une tendance de fond de la Cnil à sanctionner l’absence de mesures techniques et organisationnelles constitutives du Privacy by design.
L’on conçoit aisément que, même si les sanctions précitées visent des responsables de traitement, les retombées s’en feront sentir sur les sous-traitants et notamment les éditeurs de logiciels, ne serait-ce que par la demande émanant du marché et également du fait de la responsabilité contractuelle que seront susceptibles d’encourir les éditeurs de ce fait.
Lourde amende Cnil pour le sous-traitant Dédalus Biologie
Ce d’autant qu’une décision du 15 avril 2022[5] de l’autorité de contrôle sanctionne, fait rare, un sous-traitant, la société Dédalus Biologie qui commercialise des logiciels destinés aux laboratoires de santé. La lourdeur de l’amende prononcée, 1,5 M €, s’explique par l’existence, à l’origine du contrôle, d’une fuite de données de santé concernant plus de 490 000 patients de laboratoires d’analyses.
L’on retiendra, en plus du défaut dans les CGV de la société des mentions prescrites par l’article 28 du RGPD et du traitement des données au-delà des instructions des responsables de traitements, le grief de non-respect de l’obligation d’assurer la sécurité des données, notamment dans le cadre des opérations de migration opérées d’un logiciel vers un autre. Sont ainsi pointés le défaut de procédure spécifique pour cette migration de données, le défaut de chiffrement des données personnelles stockées sur le serveur litigieux, l’absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur ou encore l’utilisation de comptes utilisateurs partagés entre plusieurs salariés sur la zone privée du serveur.
Autant de bonnes pratiques qu’aurait dû mettre en œuvre le sous-traitant dans le cadre de la migration.
Ces attendus nous amènent à envisager plus largement la manière dont les acteurs doivent implémenter la protection des données dans les outils logiciels.
Comment les éditeurs et les utilisateurs de logiciels doivent-ils mettre en œuvre le principe du Privacy by design ?
On l’aura compris, il s’agit pour les acteurs de veiller à mettre en place des mesures techniques et organisationnelles adaptées, avec une approche transverse qui permet d’appréhender tous les aspects de la conformité d’un traitement.
Le Privacy by design doit être assuré avant la mise en œuvre du traitement et actualisé durant tout le cycle de vie de la donnée.
Au stade du développement du logiciel, plusieurs guides destinés aux développeurs sont disponibles. Celui de la Cnil[6], mis à jour en janvier 2020, se présente comme un guide de bonnes pratiques apportant un premier niveau de mesures permettant de prendre en compte la protection de la vie privée dans les développements. Il précise qu’en fonction de la nature des traitements opérés (et des données traitées), des mesures complémentaires devront potentiellement être mises en œuvre afin de respecter pleinement la réglementation.
Ce guide s’articule autour de 16 fiches thématiques, comprenant notamment des conseils sur la manière de sécuriser son environnement de développement, d’opérer un choix éclairé de son architecture, ou encore de sécuriser les applications et serveurs et de gérer les profils utilisateurs.
On ne peut qu’attirer l’attention suries questions d’extraction des données de l’application (le développeur étant amené à prévoir un traçage des extractions afin de permettre une gestion fine par l’utilisateur) et de gestion des habilitations, qui reviennent fréquemment au nombre des manquements sanctionnés par l’autorité de contrôle.
Plus largement, il est nécessaire pour les responsables de traitement, comme pour les sous-traitants, d’appréhender dans leur ensemble les traitements générés par les outils qu’ils implémentent.
Pour ce faire, l’outil mis à notre disposition par la Cnil afin de mener une analyse d’impact relative à la protection des données paraît particulièrement adapté en ce qu’il fournit une vision à 360 degrés des éléments à prendre en compte pour garantir la protection des données et en ce qu’il permet d’évaluer les risques présentés par le traitement pour les personnes concernées.
Pour rappel, l’analyse d’impact est rendue obligatoire dès lors qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Elle permet d’évaluer ces risques et de prévoir des mesures correctrices afin de les réduire. Sans revenir ici sur les critères qui imposent la conduite d’une analyse d’impact, on retiendra que cette méthode peut être utilisée en dehors des cas où la règlementation l’impose, ou à tout le moins, il peut être opportun de s’en servir comme canevas pour chaque traitement ou offre de solution envisagés afin de mener une réflexion sur le Privacy by design.
Les acteurs sont invités à répondre aux questions suivantes :
· Quels sont les traitements ?
· Quelles sont les responsabilités liées aux traitements ?
· Quelles sont les données traitées ?
· Comment le cycle de vie des données se déroule-t-il ?
· Les finalités sont-elles déterminées, explicites et légitimes ?[7]
· Quelle information des personnes est mise en place ?
· Les obligations des sous-traitants sont-elles définies et contractualisées ?
· En cas de transfert des données hors Union européenne, les données sont-elles protégées de manière équivalente ?
· Quelle est la durée de conservation ?
· Quels sont les risques et les mesures envisagées face aux risques ?
A ceci s’ajoute l’étude des exemples et cas pratiques fournis par le Comité européen de protection des données dans ses lignes directrices 4/2019 relatives à la protection des données dès la conception et par défaut adoptées le 20 octobre 2020, qui permet de répondre par analogie aux questions que les organismes peuvent être amenés à se poser.
Les obligations de l’éditeur de logiciel évoquées ci-avant s’inscrivent dans un cadre légal et jurisprudentiel plus large. Il convient d’analyser l’articulation de l’obligation de conformité et de protection de la vie privée avec les autres obligations qui pèsent sur lui.
Comment l’obligation de Privacy by design s’articule-t-elle avec les autres obligations de l’éditeur ?
L’éditeur de logiciel est soumis à un certain nombre d’obligations qui ont été renforcées par l’ordonnance du 10 février 2016 portant réforme du droit des obligations’.
L’obligation de conformité au RGPD s’inscrit dans le contexte de l’obligation de délivrance conforme qui résulte des dispositions de l’article 1604 du code civil. La Cour de cassation l’a, à plusieurs reprises, interprétée comme portant non seulement sur les spécifications contractuelles mais aussi sur les obligations légales.
C’est ce qui ressort d’un arrêt de la Chambre commerciale du 9 décembre 2020[8] au terme duquel la Cour retient que le logiciel vendu n’était pas conforme à la réglementation (en l’espèce un arrêté du 31 mai 2011 imposant à tout office d’huissier de justice d’utiliser un logiciel dont la conformité aux prescriptions dudit arrêté doit être attestée par un commissaire aux comptes).
Cette jurisprudence confirme un arrêt de la même Chambre du 19/02/2008[9] qui rappelle que « tout concepteur d’un progiciel a l’obligation de s’assurer que ce progiciel, au moment de sa cession, réponde tant aux besoins du client qu’aux obligations légales prévues ou prévisibles pour sa durée de vie (…) ».
Il est fort probable que les tribunaux seront amenés au cours des prochaines années à confirmer cette position en matière de conformité au RGPD et de respect du Privacy by design. Reste à savoir si cette obligation pourra être interprétée comme une obligation de résultat.
La jurisprudence penche pour une obligation de délivrance de moyen quand le respect de cette obligation dépend du client ou encore en raison du caractère innovant du produit. Concernant le respect du Privacy by design dans le cadre de la délivrance conforme, le parallèle avec l’obligation de sécurité qui pèse sur le responsable de traitement, obligation interprétée par la Cnil comme une obligation de moyen, pourrait conduire à caractériser l’obligation de fournir un logiciel respectant le Privacy by design comme une obligation de moyen.
L’éditeur de progiciel est également tenu d’une obligation d’information, de mise en garde et de conseil instituée de longue date par la jurisprudence et qui a été introduite dans notre code civil par la réforme précitée, à l’article 1112-1 al. 1er du code civil qui prévoit :
Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant
(…) Ont une importance déterminante les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties. (…) Les parties ne peuvent ni limiter, ni exclure ce devoir. Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat dans les conditions prévues aux articles 1130 et suivants. »
Il s’agit d’une obligation de moyens renforcée qui doit être appréciée en fonction de la complexité de la prestation et de la compétence du client.
L’éditeur de logiciel se voit donc tenu du respect du Privacy by design dans un cadre législatif plus large et pourrait être sanctionné sur le fondement de ces obligations de délivrance conforme et de conseil.
Références
- ↑ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à libre circulation de ces données
- ↑ Cnil délib. n° SAN-2022-009
- ↑ Cnil délibération n° SAN-2019-010
- ↑ Cnil délib. N° SAN- 2021-021
- ↑ Délib SAN-2022-009 du15 avril 2022
- ↑ https://www.cnil.fr/fr/la-cnil-publie-un-guide-rgpd-pour-les-developpeurs
- ↑ Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations
- ↑ Cass. Corn. 9/12/2020 n°19-10.119 Fiducial Informatique
- ↑ Cass Corn 19/02/2008 no 06-17 -669 Sygma Informatique