La protection des données personnelles au sein de l’Union européenne

Le Règlement européen sur la protection des données personnelles (RGPD) adopté par le Parlement européen a pour objectif d’une part d’assurer une protection effective des données à caractère personnel dans l’ensemble de l’Union européenne, et d’autre part de lever les entraves à la libre circulation des données à caractère personnel au sein du marché intérieur. Il sera directement applicable à compter du 25 mai 2018 dans les Etats membres de l’Union européenne.

La motivation économique est bien présente car au-delà de la protection des droits fondamentaux des particuliers, notamment de leur vie privée, c’est bien la libre circulation des données à caractère personnel qui est visée. Cette libre circulation passe nécessairement par une protection effective et efficace des données à caractère personnelle, cela afin de s’assurer notamment de la confiance des particuliers dans les opérations réalisées, plus particulièrement via internet. Le RGPD adapte ainsi le régime de protection des données à caractère personnel aux nouvelles technologies, par la même le renforce et l’uniformise au sein de l’Union européenne afin d’en assurer l’effectivité.

Une nouvelle institution est créée : le comité européen de protection des données composé de l’ensemble des représentants des autorités de contrôles nationales.

Le traitement des données à caractère personnel

Le RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Les données sont dites « à caractère personnel » dès lors qu’elles concernent des personnes physiques (appelée Personnes concernées) identifiées ou identifiables directement ou indirectement. Est réputée identifiable une personne physique qui peut être identifiée, via un fichier, directement ou indirectement par référence notamment à un identifiant, savoir le nom, numéro d’immatriculation, numéro de téléphone, adresse IP, témoins de connexion (cookies), des données de localisation, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale permettant clairement l’identification d’une personne.

La circonstance que des données soient couvertes d’anonymat ne retire pas la qualification des données à caractère personnel si ces données permettent d’identifier indirectement ou par recoupement d’informations une personne précise.

Le traitement des données à caractère personnel constitue quant à lui « toute opération, ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Il s’agit par exemple d’une collecte des données de type Curriculum Vitae lors de recrutement, de leur enregistrement, organisation et conservation (par exemple dans les bases de données de l’entreprise), leur modification, consultation, utilisation ou transmission (via des logiciels d’enregistrement ou via des entreprises spécialisées).

Constitue également un tel traitement toute procédure de télétransmission de données personnelles par exemple via courriel électronique (mail), quel que soit le moyen de télécommunication. Est aussi considéré comme le traitement toute application de cartes à puce ayant pour finalité la transmission et le contrôle des données d’une personne propriétaire d’une telle carte.

Restent néanmoins exclus les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles telles que des agendas électroniques ou des répertoires d’adresses personnelles, etc… .

En pratique, un rendez-vous-client enregistré dans un agenda ne constitue pas en soi le traitement des données concernant le client (son nom, prénom, numéro de téléphone etc…). Or, dès lors où ce rendez-vous, avec toutes les informations identifiants la personne concernée, est enregistré dans un logiciel de l’entreprise ou géré par une entreprise extérieure, il est soumis aux dispositions du RGPD. Une telle opération est en effet considérée comme un traitement des données personnelles.

Le RGDP vient préciser qu’il s’applique aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu’aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Sont ainsi exclus expressément les dossiers ou ensemble de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés.

Les activités techniques de transmission et de fourniture d’accès à un réseau en vue du stockage automatique, intermédiaire et transitoire des données (serveurs proxys) devraient également être concernés.

Territorialité de la protection des données personnelles

Le RGPD s’applique au traitement des données à caractère personnel :

- effectué dans le cadre d’un établissement d’un responsable du traitement ou d’un sous traitant sur le territoire de l’Union, quelque soit le lieu effectif du traitement,

- relatif à des personnes concernées (savoir les personnes physiques objet des données), qui se trouvent sur le territoire de l’Union, par un responsable du traitement ou un sous traitant qui n’est pas établi dans l’Union, lorsque les activités sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union européenne, ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Dans un tel cas, le responsable du traitement est tenu de désigner un représentant dans l’Union,

- réalisés par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un Etat membre s’applique en vertu du droit international public

Principes généraux encadrant la collecte et le traitement des données À caractère personnel

Le RGPD rappelle les principes généraux encadrant la collecte et le traitement des données, savoir :

  • un traitement licite, loyal et transparent,
  • une collecte à des fins déterminées, explicites et légitimes,
  • des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées,
  • des données exactes et tenues à jour,
  • des données conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle qui est nécessaire,
  • un traitement sécurisé permettant d’assurer l’intégrité des données, et leur confidentialité.

Le traitement des données n’est licite que si, et dans la mesure où au moins une des conditions suivantes est remplie :

  • consentement de la personne concernée, ce qui implique un acte positif (par exemple la case à cocher), et qui peut être retiré à tout moment,
  • traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci,
  • traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis,
  • traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique,
  • traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement,
  • traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Sauf dérogations, sont interdits les traitement des données à caractère personnel qui révèle l’origine raciale ou technique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

 Droits des personnes concernées

  • Droit d’accès à ses données qui font l’objet d’un traitement, avec possibilité d’obtenir gratuitement une copie des données,
  • Droit de rectification en cas d’inexactitude, ou en cas de données incomplètes,
  • Droit de s’opposer à ce que ses données fassent l’objet d’un traitement, à tout moment, pour des raisons particulières de la personne concernée, notamment en cas de profilage (« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »), le responsable ne pouvant s’y soustraire que sous réserve de pouvoir justifier de motifs légitimes et impérieux,
  • Droit à l’oubli notamment lorsque les données ne sont plus nécessaires au regard des finalités du traitement, en cas de retrait du consentement ou de traitement illicite,
  • Droit à la limitation du traitement par exemple en cas d’inexactitude des données invoquées par la personne concernée, le temps de la vérification par le responsable des données,
  • Droit à la portabilité afin de transmission à un autre responsable de traitement.

Le responsable du traitement dispose d’un délai d’un mois avec possible prorogation de deux mois pour présenter les mesures prises suite à la demande formulée, ou les motifs de l’inaction, avec mention de la possibilité d’introduire une réclamation devant l’autorité de contrôle et un recours juridictionnel.

Mise en place d’un auto contrôle par les acteurs de la collecte et du traitement des donnees a caractère personnel

Le Règlement supprime les contrôles a priori des autorités, ce qui concerne au niveau français la CNIL et l’actuelle obligation de déclaration auprès de cet organisme.

Cette suppression a pour corollaire le renforcement des obligations pesant sur les acteurs de la collecte et du traitement.

Ces acteurs deviennent ainsi responsables du respect des principes généraux rappelés plus hauts, et doivent mettre en place des mesures techniques et organisationnelles appropriées pour assurer l’effectivité de la protection des données.

Ce système d’ « autocontrôle » implique que les entreprises sont désormais tenues d’assurer la protection des données personnelles qu’il s’agisse des données recueillies pour les besoins internes (fichiers de personnel par exemple) ou dans le cadre de leur activité économique (telles que les informations sur les clients, les fournisseurs, banques etc…).

L’entreprise responsable du traitement devra s’assurer elle-même de l’efficacité des procédures de protection mises en œuvre, étudier l’impact d’un tel traitement et le cas échéant, renforcer les mesures de protection pour garantir leur conformité au RGPD.

Le responsable de traitement et son sous-traitant seront alors obligés de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer, et être en mesure de démontrer, que le traitement est effectué conformément au RGPD.

Est donc directement concerné le responsable du traitement, savoir toute la personne physique ou morale, l’autorité publique, le service ou l’organisme qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Il doit assurer la protection des données en conformité avec le Règlement dès la détermination des moyens du traitement et, ce, tout au long du cycle de vie des données, de leur collecte à leur suppression. Il garantit qu’il ne traite que les informations nécessaires à la finalité poursuivie, et seulement celles-ci.

Il lui incombe comme au sous-traitant qui sera envisagé plus loin, de garantir un niveau de sécurité adapté au risque encouru. A ce titre, il peut mettre en place la pseudonymisation et chiffrement des données, des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes, des moyens propres à rétablir la disponibilité des données personnelles et l’accès à celles-ci en cas d’incident physique ou technique, une procédure destinée à tester, analyser et évaluer régulièrement l’efficacité des mesures en cause.

Les responsables de traitement se voient imposer les règles de sécurité qui doivent être respectées par les fournisseurs des services de communication électronique accessibles au public en cas de violation des données personnelles (destruction, perte, altération, divulgation non autorisée, accès non autorisé à des données, de manière accidentelle ou illicite).

Obligation de notifier la violation à l’autorité nationale de contrôle s’impose alors au responsable des données, le sous traitant devant lui-même en référer au responsable des données.

Il doit recueillir le consentement explicite et éclairé des personnes concernées et détruire systématiquement les données une fois la finalité terminée. Il s’assure également que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Un responsable du traitement devra dans certains cas, notamment en cas de traitement destiné au profilage ou de traitement des données relatives aux condamnations pénales et aux infractions, réaliser une étude relative à l’impact des opérations envisagées sur la protection des données personnelles.

Cette étude devra contenir :

  • une description des opérations de traitement envisagées et des finalités du traitement,
  • une évaluation de la nécessité et de la proportionnalité des opérations au regard des finalités,
  • une évaluation des risques créés par le traitement,
  • les mesures devant permettre de faire face à ces risques.

Le responsable pourra se tourner en France vers la CNIL en sa qualité d’autorité de contrôle national, qui assurera notamment la publication d’une liste d’opérations soumises à l’analyse d’impact, ainsi qu’une liste de celles qui en sont dispensées (la CNIL a d’ores et déjà publié un guide relatif à l’élaboration d’étude d’impacts sur la vie privée).

Le responsable du traitement doit assurer la transmission d’informations telles que listées par le RGPD, aux personnes concernées dans les délais suivants :

  • dès la collecte, lorsque les données sont directement collectées,
  • dans un délai raisonnable ne dépassant pas un mois, lors de la première communication des données à la personne concernée lorsque les données sont utilisées pour communiquer avec la personne concernée, ou au plus tard lorsque la communication intervient lorsqu’il est envisagé de communiquer les données à un tiers.

Les informations à fournir sont nombreuses : coordonnées du responsable du traitement, finalités et base juridique du traitement, destinataire et catégorie de destinataires des données, les droits de la personne concernée (accès, retrait, rectification, réclamation auprès de l’autorité de contrôle etc…), durée de conservation, transfert vers un pays tiers envisagé, traitement automatisé, source des données, changement de finalité etc…

Le RGDP prévoit des exceptions : la personne concernée dispose déjà des informations, impossibilité de fournir l’information ou nécessitant des efforts disproportionnés, nécessité de maintenir les données confidentielles.

La désignation d’un délégué à la protection des données (DPO) est désormais rendue obligatoire :

- pour les traitements effectués par une autorité ou un organisme publics,

- pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou les amènent à traiter à grande échelle des données sensibles (c’est-à-dire des données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci) ou relatives aux condamnations pénales et aux infractions.

Ce DPO est principalement chargé d’informer et de conseiller sur leurs obligations le responsable du traitement ou le sous-traitant ainsi que leurs employés chargés des opérations, de contrôler le respect du RGPD et du droit national, de participer à la réalisation d’une étude d’impact et de coopérer avec l’autorité de contrôle.

En France, il se substitue au Correspondant à la protection des données personnelles.

Le sous-traitant, appelé aussi le prestataire, désigne toute personne traitant des données à caractère personnel pour le compte du responsable des traitements. Lorsqu’un traitement est confié à un prestataire externe à l’organisme, le prestataire ne devient pas le responsable du traitement car ce n’est pas lui qui a défini les finalités et les moyens utilisés puisqu’il agit sous les ordres du responsable de traitement. Il doit néanmoins présenter des garanties suffisantes pour assurer la mise en œuvre des mesures techniques et organisationnelles de sécurité.

Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’intégrité, tels que listées par le RGDP. Il s’agit pour lui de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. En ce sens, le RGDP étend au sous-traitant la responsabilité qu’il consacre à l’égard des responsables du traitement.

Il est également tenu de désigner un DPO comme le responsable du traitement.

Par ailleurs, le RGPD subordonne à une autorisation du responsable le recours à un autre sous-traitant par le sous-traitant de premier rang. Le second sous-traitant sera soumis aux mêmes obligations que le premier en matière de protection des données.

Responsable du traitement, DPO et sous-traitant sont tenus de tenir un registre des activités effectuées (finalités du traitement, catégories de personnes concernées etc…) sous leur responsabilité, suivant l’objectif d’autoévaluation.

Une dispense est prévue pour les organisations de moins de 250 agents, assortie d’exceptions.

Afin de faciliter l’application des nouvelles dispositions, le RGDP encourage l’élaboration de codes de conduite par les associations ou autres organismes représentant les responsables de traitement et les sous-traitants, et la mise en place d’organismes agréés par l’autorité de contrôle afin de veiller au respect desdits codes, et la mise en place de mécanisme de certification, labels ou marques.

 Traitement transnational des données

Le RGPD encadre le traitement des données lorsque celui-ci dépasse le cadre national.

Une « décision d’adéquation » pourra être rendue par la Commission européenne pour permettre le transfert vers un pays tiers sans autorisation spécifique.

En l’absence de cette décision d’adéquation, le transfert ne sera possible que si le responsable du traitement a prévu des garanties appropriées et suffisantes pour les droits des personnes concernées soient respectés et effectifs, cela sans besoin d’autorisation de l’autorité de contrôle, notamment via des règles d’entreprise contraignantes dans le cadre d’un groupe d’entreprise, ou un code de conduite approuvé assorti d’engagements en provenance du pays tiers.

Des « situations particulières » pourront néanmoins justifier que l’ensemble de ces règles soit mis à l’écart, même en l’absence de garantie. Ainsi ce sera le cas en cas de :

  • consentement de la personne concernée ;
  • exécution d’un contrat entre cette personne et le responsable du traitement ;
  • conclusion ou l’exécution d’un contrat conclu, dans l’intérêt de la personne concernée, entre le responsable du traitement et une autre personne ;
  • motifs importants d’intérêt public ;
  • constatation, l’exercice ou la défense de droits en justice ;
  • sauvegarde d’intérêts vitaux ;
  • consultation, par le public ou toute personne justifiant d’un intérêt légitime, d’un registre destiné à fournir des informations au public.

Renforcement des sanctions en cas de manquements

Des sanctions administratives pourront être infligées aux responsables de traitement ou à leurs sous-traitants en cas de méconnaissance des dispositions du RGPD.

Dans ce cas, les autorités de contrôle pourront se contenter de prononcer un avertissement ou mettre en demeure l’entreprise. Elles pourront aussi limiter temporairement ou même définitivement un traitement ou même ordonner de satisfaire aux demandes d’exercice des droits des personnes ou prescrire la rectification, la limitation ou l’effacement des données.

Le plafond du montant des sanctions pécuniaires est relevé à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour une entreprise en cas de manquements particulièrement graves (licéité notamment), les autres violations étant sanctionnées le cas échéant par une amende plafonnée à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Les amendes devront être effectives, proportionnées et dissuasives.