Paris, le 25 mai 2018 – Le 14 mai, l’Assemblée Nationale a adopté définitivement le projet de loi relatif à la protection des données personnelles, rapidement suivi par la saisine du Conseil Constitutionnel par 60 sénateurs.
Ce texte vise à adapter la loi « Informatique et Libertés » à l’entrée en application du Règlement européen sur la protection des données personnelles (Règlement 2016/679, en abrégé « RGPD »).
Un grand nombre d’obligations ne sont cependant pas affectées par cette saisine et entre donc en application aujourd’hui.
Venant remplacer le régime mis en place par la directive 95/46/CE de 1995, le RGPD vise à établir un régime unifié pour les données à caractère personnel dans l’Union Européenne.
Précisons tout d’abord que le traitement est défini de façon très large et recouvre quasiment toute opération relative aux données personnelles, de la collecte jusqu’à la destruction.
S’il ne bouleverse pas les principes généraux relatifs aux modalités de collecte et de traitement des données personnelles que nous connaissons (par exemple, les fondements juridiques permettant le traitement de données, le consentement, la durée limitée de conservation des données à caractère personnelle), le Règlement apporte un certain nombre de changements au bénéfice des personnes physiques et, par voir de conséquence, de nouvelles obligations pour toutes les personnes physiques ou morales, les autorités publiques, les services ou tous organismes amenés à collecter des données à caractère personnel.
Le Règlement s’applique aux responsables de traitement et aux sous-traitants.
L’un des apports du Règlement est de définir les notions de responsable de traitement et de sous-traitant :
- le responsable de traitement détermine les finalités et les moyens du traitement,
- le sous-traitant traite des données à caractère personnel pour le compte du responsable de traitement.
Il précise aussi les obligations du sous-traitant notamment en ce qui concerne le niveau de sécurité des données, le respect de la confidentialité et son obligation d’assistance du responsable de traitement pour les analyses d’impact, les notifications aux autorités de contrôle, la communication aux personnes concernées en cas de violations de données.
Au plan pratique, cette clarification nécessite de préciser les obligations de chacun dans les contrats impliquant un traitement de données personnelles.
Il est à noter que la Commission Nationale Informatique et Libertés (CNIL) a récemment publié un guide du sous-traitant.
Un territoire d’application étendu
Le Règlement s’applique donc à toutes les personnes physiques ou morales, autorités publiques, services ou organismes (en particulier les entreprises et les organismes publics) de l’Union qui traitent des données personnelles.
Il s’applique également dès lors que sont traitées des données concernant un ressortissant de l’Union. Les entreprises et organismes hors de l’Union Européenne seront donc aussi soumises aux obligations du Règlement si elles sont amenées à traiter des données de citoyens européens.
Le Règlement ne change pas les conditions de licéité des traitements de données.
Le traitement de données à caractère personnel n’est licite que si une des conditions suivantes est remplie :
- la personne concernée a consenti au traitement pour une ou plusieurs finalités spécifiques,
- le traitement est nécessaire :
- à l’exécution d'un contrat (ou de mesures précontractuelles) auquel la personne concernée est partie,
- pour le respect d'une obligation légale
- pour la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique,
- pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
- aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.
Le Règlement précise les modalités du consentement des personnes à voir leurs données traitées.
Ces précisions concernent la forme (caractère explicite, forme compréhensible, exigences de clarté et de simplicité, de distinction par rapport aux autres questions si ce consentement est inclus dans un autre document, …) et le fond, le consentement devant être recueilli pour une finalité de traitement déterminé.
Le consentement pourra par ailleurs être retiré à tout moment, ce qui impliquera, par exemple quand le consentement est donné en ligne, l’obligation pour les responsables de traitement de prévoir les modalités de retrait effectif de ce consentement et de mise en œuvre informatique des suppressions des données.
Il renforce la protection des citoyens et de leurs données
Le Règlement confirme certains droits : droit des personnes à accéder à leurs données personnelles ; « droit à l’oubli » (i.e. droit de faire effacer les données) ; droit d’obtenir la rectification des données personnelles et droit de faire compléter les données si elles sont incomplètes.
Il fournit également des précisions concernant le droit d’information des personnes sur la manière dont les données vont être traitées (information concise, transparente, compréhensible et aisément accessible en termes clairs et simples, en particulier pour les informations destinées aux enfants et gratuite, sauf cas de demandes d’information infondées ou excessives).
Une nouveauté : le Règlement institue un droit à la portabilité des données. Dès lors que ses données auront été collectées avec son consentement et que le traitement aura lieu par un procédé automatisé, une personne pourra exiger du responsable de traitement que celui-ci transfère ses données à un autre responsable de traitement.
Une exception cependant : ce droit à la portabilité ne concerne pas les données traitées pour une mission de service public ou relevant de l’autorité publique.
Le responsable de traitement a des responsabilités accrues
C’est un des changements les plus notables du nouveau régime : les obligations de déclarations préalables (« les déclarations CNIL ») sont supprimées et remplacées par l’obligation pour le responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles pour s’assurer et démontrer la conformité du traitement au Règlement, dans une logique de « compliance », étant entendu que les autorités de contrôle (la CNIL en France) seront chargées de vérifier le respect de l’ensemble de ces obligations.
- « Privacy by design » et « Privacy by default »
Dès qu’un traitement de données personnelles est envisagé et au moment de la détermination des moyens de traitement du traitement, le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées (par exemple la pseudonymisation ) pour assurer la protection des données de manière effective.
D’autre part, et par défaut, seules les données personnelles nécessaires pour une finalité déterminée peuvent faire l’objet d’un traitement. Cette exigence s’appliquant à la quantité de données, l’étendue du traitement, la durée de conservation, l’accessibilité des données.
- Obligation de tenir un registre de traitement
La tenue d’un registre des activités de traitement est obligatoire pour les entreprises ou organismes, à l’exception de ceux de moins de 250 salariés (sauf pour ces derniers, si le traitement comporte des risques, et n’est pas occasionnel, ou s’il porte sur des données sensibles ou des données personnelles relatives à des condamnations et infractions).
Ce registre sera à la disposition de la CNIL en cas de contrôle. Il contient les informations suivantes :
- nom et coordonnées du responsable du traitement,
- finalités du traitement,
- description des catégories de personnes concernées et des catégories de données traitées,
- catégories de destinataires des données,
- transferts vers pays tiers,
- et, dans la mesure du possible : les délais d’effacement des données et la description des mesures de sécurité,
- Réaliser des analyses d’impact
Le responsable de traitement doit effectuer une analyse d’impact, avant la réalisation d’un traitement, si ce traitement présente un risque élevé pour les droits et libertés des personnes, notamment en cas d’utilisation de « nouvelles technologies ».
Une telle analyse sera notamment obligatoire en cas :
- d’évaluation systématique et approfondie d’aspects personnels par un traitement automatisé et si l’évaluation entraîne des effets juridiques ou affecte significativement la personne,
- de traitement à grande échelle de données sensibles et de données relatives à des condamnations pénales et à des infractions,
- de surveillance systématique à grande échelle d’une zone accessible au public.
Schématiquement, une analyse d’impact recense les risques liés au traitement de données personnelles et les mesures prises par le responsable de traitement pour minimiser ces risques.
Les lignes directrices donnent divers exemples de situations à risque élevé : évaluation (travail, santé, comportement, …), prise de décision automatique, traitement de données sensibles, volume de données importants, combinaison de jeux de données, …).
- Nommer un délégué à la protection des données
Le Règlement institue la fonction de délégué à la protection des données (autrement appelé data processing officer - DPO) qui doit être associé à toute question relative à la protection des données personnelles et notamment informer et conseiller le responsable de traitement ou le sous-traitant, contrôler l’application du Règlement et coopérer avec l’autorité de contrôle.
La désignation d’un délégué sera obligatoire :
- pour les autorités publiques ou organismes publics (sauf pour les juridictions),
- si les activités de base du responsable de traitement ou sous-traitant exigent un suivi régulier et systématique à grande échelle des personnes ou consistent en un traitement à grande échelle de catégories spéciales de données sensibles (origine raciale ou ethnique, données de santé, opinions politiques, appartenance syndicale, …) et ou de données relatives aux condamnations pénales et aux infractions.
Dans les autres cas, les États membres pourront rendre la désignation d’un DPO obligatoire.
Le transfert de données à caractère personnel vers des pays tiers est encadré
Le transfert de données personnelles hors de l’Union ne peut avoir lieu que :
- si la Commission décide que le pays tiers offre un niveau adéquat de protection des données personnelles et que les personnes disposent de droits opposables et de recours effectifs (par ex. l’accord « ‘Privacy Shield » entre l’Union Européenne et les USA),
- si le responsable de traitement ou le sous-traitant a prévu des garanties appropriées, notamment, pour les groupes de sociétés, des accords relatifs à la protection et au transfert de données (dénommés « règles d’entreprises contraignantes » dans le Règlement),
- dans certaines conditions : la personne a donné son consentement au transfert après information sur les risques, ce transfert est nécessaire pour l’exécution d’un contrat ou pour l’exercice de droits en justice.
Quelles sanctions ?
On notera d’abord que le Règlement donne aux autorités de contrôle des pouvoirs d’enquêtes et le pouvoir d’ordonner des mesures correctrices (par ex. rappel à l’ordre, ordre, limitation des traitements, suspension des flux de données, …).
Les autorités de contrôle ont ensuite le pouvoir de prononcer des amendes administratives (selon les dispositions du Règlement qui auront été violées) :
- jusqu’à 10M€ ou (pour les entreprises) 2% du chiffre d’affaires mondial annuel,
- jusqu’à 20M€ ou (pour les entreprises) 4% du chiffre d’affaires mondial annuel.
Par ailleurs, la personne ayant subi un dommage pourra être indemnisée de son préjudice. Des « class actions » (actions collectives de personnes ayant subi le même dommage) pourront également être intentées selon les législations nationales.
Au plan pratique, ce nouveau régime amène à revoir l’approche des entreprises (et de toute autre personne) à l’égard de ces données à caractère personnel, et à réexaminer les pratiques de collecte et de traitement de données personnelles et des processus pouvant concerner des données à caractère personnel.
Cet exercice doit impliquer toutes les composantes de l’entreprise concernées y compris notamment, le service juridique, l’informatique, les ressources humaines, les services commerciaux ou la relation client et mobilise des compétences à la fois juridiques et techniques.
Publié par
Franck Delamer
Conseil Senior Délégué à la Protection des Données