sans titreAprès plusieurs années de réflexion et de débats, le droit européen s’est doté d’un nouveau texte visant à régir la protection des données à caractère personnel.


Ces évolutions étaient attendues par nombre d’acteurs du secteur de l’informatique et du numérique. En effet, le droit applicable reposait jusqu’ici sur une directive datant de 1995 (Directive 1995/46/CE du 24 octobre 1995), alors même qu’internet n’en était qu’à ses balbutiements.


Evidemment, depuis le milieu des années 1990, les évolutions techniques et technologiques ont été telles que ce texte s’est rapidement trouvé en difficulté face à de nombreuses problématiques : essor d’internet, explosion de la dématérialisation des échanges, apparition du web 2.0 et du cloud computing…. Or toutes ces problématiques ont pour point commun le traitement des données personnelles à une échelle plus ou moins importante.


C’est ainsi que le Parlement européen a adopté le 27 avril 2016 le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (aussi nommé « RGPD » ou « GDPR » en anglais ).Ce texte vient remplacer la Directive de 1995 et a pour objectif la création d’un ensemble de règles uniformes au sein de l’Union européenne en renforçant la confiance en l’outil informatique et en fournissant un niveau élevé de protection pour tous les citoyens.

 

Concrètement, cette Directive vise à renforcer les droits, les devoirs et les responsabilités de toute la chaîne des acteurs du numérique, des « simples » citoyens, titulaires de nouveaux droits, aux responsables de traitement et aux sous-traitants, titulaires de nouveaux devoirs et responsabilités.

 

Par conséquent, ce texte bouleverse le paradigme existant jusqu’ici en matière de protection des données à caractère personnel : le contrôle a priori disparaît au profit du principe d’accountability, principe consacrant la responsabilisation de l’ensemble des acteurs du secteur.


Ce Règlement est entré en vigueur le 25 mai 2016 et ses dispositions seront applicables dès le 25 mai 2018. Ce laps de temps vise à permettre aux entreprises et aux administrations d’anticiper afin de prévoir et de mettre en place les process adéquats à la mise en conformité aux nouvelles règles.


Ainsi, quels sont les grands principes et les principales nouveautés de ce Règlement européen réformant le droit des données personnelles ?

 

 

 

I. Objectifs du RGPD


L’objet du RGPD est non seulement de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles mais aussi d’uniformiser la règlementation en la matière pour l’ensemble des acteurs ayant à traiter des données personnelles.

 

 


A) Simplification des droits des citoyens européens


Les citoyens européens peuvent désormais gérer leurs données à caractère personnel plus simplement, avec des droits étendus et facilités pour accéder auxdites données les concernant. Un certain nombre de droits est ainsi créé ou réaffirmé et a pour finalité de réaffirmer le droit à la protection de la vie privée :

 


1) Minimisation (art. 5) : le traitement des données doit être uniquement nécessaire à la finalité réelle.


En effet, selon ce principe de minimisation, les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».


Par conséquent, la minimisation renforce l’obligation de proportionnalité et implique notamment de limiter la durée de conservation des données au strict minimum au regard des finalités en cause ; d’anticiper les éventuels traitements ultérieurs ; d’appliquer une gestion organisée et hiérarchisée des données collectées et traitées.

 

 

2) Consentement : les données doivent impérativement être collectées avec l’accord explicite, exprès et positif des personnes concernées (art. 4 et 7).


Le consentement y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».


Par conséquent, il ne saurait y avoir de consentement en cas de silence ou même de case cochée par défaut.


De même, la charge de la preuve du consentement repose désormais sur le responsable du traitement (art. 7).


Des exceptions sont néanmoins énumérées, rendant envisageables le traitement de données sans le consentement de la personne concernée dès lors que : le traitement est nécessaire à l’exécution d’une mission de service public ; le traitement est nécessaire à l’exécution d’un contrat acceptée par la personne concernée ; le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ; et tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne.

 


3) Transparence : les personnes concernées par le traitement doivent pouvoir savoir à quoi sert le traitement de leurs données (art. 13 et 14).


Ainsi les personnes concernées doivent être informées dans un langage clair et simple sur la nature des informations collectées. Un certain nombre d’informations figurant à l’article 13 du Règlement doit ainsi être fourni par le responsable du traitement au moment où les données sont collectées.

 


4) Droit à l’oubli (art. 17)


Les personnes concernées par le traitement ont le droit d’obtenir du responsable dudit traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant.

 


5) Portabilité (art. 20)


Les personnes ont le droit de récupérer leurs données à caractère personnel sous une forme aisément réutilisable afin de pouvoir les transférer à un tiers.

 


6) Droit d’opposition (art. 21)


Les personnes concernées peuvent s’opposer à tout moment au traitement de leurs données à caractère personnel.

 


7) Sécurisation des données à caractère personnel (art. 32, 33 et 34)


Les données à caractère personnel récoltées et traitées doivent être systématiquement protégées en recourant, par exemple, à la pseudonymisation ou d’autres moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité desdites données. Pour cela, les personnes concernées doivent immédiatement être informées en cas de piratage de leurs données. Le responsable de traitement doit en effet informer l’autorité de surveillance nationale dans les plus brefs délais en cas de violation grave des données pour que les personnes puissent prendre les mesures adéquates.

 

 

 

B) Les nouvelles obligations pour les entités concernées par la réforme


1) Réorganisation interne des entités : nomination d’un DPO et élaboration d’un registre interne des traitements (art. 37 à 39)


Sur un plan strictement interne, les entités concernées par la réformes (entreprises, organisations..) devront, pour certaines d’entre elles, nommer un Data Privacy Officer (DPO). Ce délégué chargé de la protection des données personnelles a pour mission de contrôler la conformité de l’entité au Règlement européen. Sa nomination est obligatoire pour tout responsable de traitement et tout sous-traitant placés dans l’un des cas suivants :


- Le traitement est effectué par un acteur public (sauf les juridictions) ;

 

- Lorsque les « activités de base » du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

 

- Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement avec un suivi régulier, systématique et à grande échelle de données dites « sensibles » telles que des données biométriques, des données de santé ou encore des données concernant des opinions politiques ou religieuses.

 

Enfin, le responsable de traitement et son sous-traitant devront tenir un registre des traitements effectués. Ce registre sera mis à disposition de la CNIL. Les entités de moins de 250 salariés seront exemptées de la tenue de ce registre, sauf si les traitements qu’elles effectuent ne sont pas occasionnels, qu’ils comportent des données sensibles ou encore qu’ils présentent un risque pour les droits et libertés des individus.

 


2) Respect du principe de « Privacy by design »


Les entités concernées devront aussi mettre en place des procédures spécifiques visant à assurer la protection des données dès la conception même des traitements (principe du « Privacy by design »).

Concrètement, il s’agit désormais pour le responsable de traitement d’appréhender la problématique des données personnelles dès la conception d’un projet ; ils devront en outre veiller à limiter la quantité de données traitée dès le début du projet (conformément au principe dit de « minimisation »). Ainsi, avec ce principe, le cycle de la donnée doit être appréhendé dans son ensemble, de sa collecte à son archivage.

 

 

3) Consécration du principe de « Security by défault » (art. 25)

 

Cette nouvelle règle impose que, par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Par conséquent, les outils doivent être conçus de façon à discriminer les données selon les traitements et habilitations, pour répondre à cette obligation.

 

 

4) Respect du principe d’ « accountability »

 

Le Règlement met à la charge du responsable de traitement des règles d’accountability : il s’agit pour lui de garantir la conformité au RGPD en adoptant des règles internes et en mettant en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du Règlement. De même, il devra démontrer qu’il a rempli ses obligations en matière de protection des données.


La charge de la preuve est ainsi renversée : c’est au responsable de traitement de prouver les actions et la politique qu’il mène en matière de protection des données à caractère personnel. Cela pourra passer par l’organisation de process internes dédiés telle que la mise en place d’obligations en matière de sécurité ou encore par la réalisation d’une analyse d’impact.

 

 

5) Obligation de notification en cas de violation des données personnelles (art. 33)

 

L’obligation de notification à l’autorité de contrôle d’une violation de données à caractère personnel est introduite par l’article 33 du RGPD. Selon cet article, l’entité concernée doit mettre en place des procédures spécifiques qui devront être activées en cas de violation des données personnelles.

 

Concrètement, les sous-traitants ont obligation de notifier au responsable de traitement, quelle que soit la gravité, tout manquement à la confidentialité et toute atteinte à l’intégrité ou à la disponibilité des données personnelles. De son côté, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente (la CNIL en France) dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans ce délai, il convient de l’informer des motifs du retard.

 

Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il devra informer l’autorité de contrôle de :
- la nature de la violation et des personnes concernées par ladite violation ;
- des conséquences avérées ou probables de la violation ;
- du nom et des coordonnées du DPO ou de tout autre contact apte à renseigner l’autorité de contrôle ;
- des mesures prises afin de remédier à cette violation ou pour en atténuer les conséquences négatives.

 

Enfin, lorsque la violation des données présente un risque élevé, l’entité devra avertir dans les meilleurs délais les personnes concernées.

 

 

5) La consécration de la notion de responsables conjoints de traitements (art. 24) :

 

Il s’agit d’une innovation importante par rapport à la directive de 1995 qui ne prévoyait qu’un responsable de traitement et un sous-traitant. En effet, le RGPD consacre la possibilité de deux ou plusieurs responsables de traitements déterminant ensemble les finalités et les moyens desdits traitements. « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives… » (art. 24). Par conséquent, plusieurs entreprises peuvent désormais se voir reconnaître conjointement la qualité de responsable de traitement.

 

 

 

C) Uniformisation des règles pour les entités et les responsables de traitements


Le RGPD tend à uniformiser les règles applicables en matières de traitement des données à caractère personnel, et ce quel que soit la nature du responsable du traitement.

 


1) Champ d’application territorial du RGPD


Le Règlement s’applique pleinement à compter du 25 mai 2018 dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents de l’Union européenne ou cherche à les cibler.

 

 

2) Le cadre des transferts de données personnelles en dehors de l’UE


Les responsables de traitement et les sous–traitants peuvent transférer des données en dehors de l’Union Européenne seulement s’ils encadrent ces transferts avec des process assurant un niveau de protection suffisant et approprié des personnes, tel que décrit dans le RGPD.
En outre, les données transférées hors de l’Union restent soumises au droit de l’Union aussi bien pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.

 

 

3) Responsabilisation accrue des responsables de traitements et de ses sous-traitants


Le responsable de traitements et les sous-traitants sont désormais tenus de prouver que les traitements qu’ils effectuent, respectent le RGPD. Pour ce faire, ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de s’assurer que les traitements de données s’opèrent en totale conformité avec le Règlement. Cela pourra passer par la mise en place de procédures internes dédiées ou encore l’élaboration de codes de bonne conduite.

 

 

4) L’établissement d’un « guichet unique »


Les sociétés établies en Union européenne ne seront plus soumises qu’à une seule autorité de contrôle : celle du pays de leur principal établissement. Ainsi, un groupe dont le siège est en France, avec des filiales dans plusieurs autres pays européens, sera soumis au seul contrôle de la CNIL pour l’ensemble de ses traitements en Union européenne. En outre, dès lors qu’un traitement concernera plusieurs Etats de l’Union Européenne, l’autorité compétente coopérera avec les autres autorités concernées afin d’adopter une décision conjointe sur la conformité d’un traitement ou sur un manquement au Règlement.

 

 

 

 

II. LES SANCTIONS PREVUES PAR LE RGPD


Pour faire respecter ses dispositions, le RGPD introduit deux changements majeurs : le renforcement des pouvoirs des autorités de contrôle et l’alourdissement des sanctions administratives.

 


A) Le renforcement des pouvoirs des autorités de contrôle (art. 58)


Le Règlement prévoit des pouvoirs d’investigation renforcés pour les autorités nationales de contrôle. Ainsi, en France, la CNIL aura désormais le droit de se faire communiquer tous documents ou informations par la personne contrôlée et le droit d’effectuer des contrôles sur place.

En outre, la CNIL pourra mener des enquêtes sous forme d’audits et ordonner, non plus uniquement au responsable de traitement mais aussi au sous-traitant, de se faire communiquer toute information dans le cadre de ses investigations.

 

 

 

B) L’aggravation des sanctions (art. 82 et 83)


Tout d’abord, le Règlement instaure un droit au recours effectif et un droit à la réparation lorsque les droits d’une personne ont été violés. Il détermine ensuite les amendes qui devront être délivrées par les autorités nationales de contrôle. Et c’est dans ce dernier cas que l’accroissement des sanctions est patent : les amendes administratives pourront désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial total de l’exercice précédent de l’entité concernée. Pour rappel, actuellement le montant de l’amende administrative maximal est de 150 000 euros !


Le Règlement ajoute que les autorités de contrôle nationale devront veiller à ce que les « amendes prononcées soient effectives, proportionnées et dissuasives » (art. 83-1).
Le risque pesant sur les entreprises ou administrations qui ne seront pas en conformité au 25 mai 2018 est donc plus que palpable. Indéniablement, ceci traduit la volonté du législateur européen d’inciter les responsables de traitement et sous-traitants à mettre en place des mesures efficaces afin de mettre en conformité l’ensemble des dispositifs encadrant le traitement de leurs données.

 

 

***

 

 

Ainsi, le RGPD bouleverse en profondeur la façon de collecter, d’exploiter et de stocker les données à caractère personnel. Tous les acteurs de chaîne sont désormais responsabilisés et de lourdes sanctions sont prévues afin d’assurer le respect des nouvelles règles. Ce texte, complexe et dense, impose la mise en place d’un schéma organisationnel méthodique pour assurer une mise en conformité adéquate. Cela nécessitera donc la mise en place d’une gouvernance dédiée au sein de chaque entité, entreprise ou administration concerné par le traitement des données personnelles.


L’ambition d’une telle gouvernance sera d’identifier et de répertorier l’ensemble des données traitées par tous les acteurs de la chaîne (responsable de traitement/sous-traitant) ; puis de les classer en fonction du niveau de risque. Il faudra aussi analyser l’impact des traitements effectués en fonction de leur gravité. En outre, l’identification et la hiérarchisation des éventuelles menaces et des vulnérabilités feront parties intégrantes de ce schéma. Enfin, en fonction des résultats obtenus, une étude précise des mesures de sécurité prévues en matière de protection des données devra être établie.


La date butoir, calée au 25 mai 2018, marquera la fin de la période d’adaptation et amorcera les sanctions pour les entités qui n’auront engagé aucune action en matière de mise en conformité au RGPD. Pour celles qui auront engagé des actions mais qui ne les auront pas finalisées, il est probable qu’une certaine tolérance existera, du moins seulement pendant les premiers mois...

 

 

Autres Actualités

+
d'actualités
juridiques
Droit des TICDroit des médiasDroit de l'informatiqueProtection de la vie privéePropriété intellectuelle

Nos Formations Solution CIL