Accueil Actualités juridiques du village Droit européen, communautaire et international

Le RGPD, le nouveau cadre européen concernant la protection des données personnelles.

Par Alexandre Peron, Legal counsel.

« Nous sommes entrés dans un monde de données, un monde où ces données sont en passe de devenir l’essence même de la connaissance et de l’information ». Ces quelques mots extraits du livre « Un monde de données » publié par Monsieur Hubert Guillaud, sonnent comme un signal d’alarme.

Le monde numérique a révolutionné notre quotidien et nos données dites personnelles ont au fur et à mesure de l’évolution rapide de l’ère numérique, été collectées, stockées, utilisées, transférées, vendues, classées, ou très souvent même inutilisées par les entreprises dont notamment celles ayant un spectre mondial d’activité.

Une donnée à caractère personnel est une information qui se rapporte à une personne physique identifiée ou identifiable (nom, prénom, numéro de téléphone, adresse…).

L’ensemble de ces informations relèvent de la sphère privée de l’individu, sujet de droit. C’est en partant de ce postulat, que de nombreux pays notamment européens dont la France, se sont interrogés afin de construire un corpus de règles encadrant l’utilisation de ces données par des tiers, et donc favorisant la protection des personnes physiques.

I) Historique

Historiquement, c’est la loi informatique et libertés du 6 janvier 1978 qui est venu encadrer à l’échelle nationale la collecte et de manière générale le traitement des données personnelles. Valéry Giscard d’Estaing est président de la République, suite au décès de Pompidou, et nomme Jacques Chirac premier ministre. Ce dernier va enjoindre le ministère de l’Intérieur d’aboutir le travail entamé précédemment sur la création d’une autorité nationale. C’est ainsi qu’une commission appelée « Commission de l’informatique et des libertés » va permettre d’aboutir à la loi « Informatique et Libertés » du 6 janvier 1978 et à la création de la CNIL (Commission nationale de l’informatique et des libertés).

Si la France a été l’un des pays européens précurseurs, il n’en demeure pas moins que le développement du cadre législatif en la matière au niveau national va trouver rapidement des limites, car si les pays européens ont à l’échelle nationale œuvré afin d’encadrer ce domaine nouveau des données personnelles dans un monde numérique en plein essor, très vite, une première harmonisation des règles est devenue nécessaire.

La Directive 95/46/CE du 24 octobre 1995 est en effet venu harmoniser le droit européen en matière de données personnelles, venant mettre fin aux disparités trop importantes entre les États membres et à l’existence de spécificités propres à chacun des pays, ne permettant pas de réguler et de protéger de manière optimale la circulation et le traitement des données à caractère personnel.

Néanmoins, la France ne transposera la Directive qu’en 2004, ceci ayant malgré tout entrainé un bouleversement de fond de la loi de 1978.

II) La loi du 6 janvier 1978

Fait marquant, la loi est venue inscrire à son article premier, l’informatique dans le cadre des droits de l’homme, ce qui en fera une loi fondatrice qui jusqu’à aujourd’hui a su faire face à l’essor du numérique et de l’internet.

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La loi a été modifiée par décret en 1991 et par la loi du 6 août 2004. Aujourd’hui la loi prévoit ce qui est devenu classique pour toutes les entreprises, ou a minima ce qui aurait dû devenir la norme. Que ce soit le recueil du consentement du particulier afin de pouvoir utiliser ses données, le droit d’accès, le droit de rectification, ou encore son information sur sa faculté à s’y opposer avec notamment le détail de la procédure, il est impossible de ne pas voir apparaitre dans les mentions légales des documents contractuels et/ou publicitaires, les mentions qui sont devenus des mentions standards.

Au-delà de ces mentions, la loi prévoit également les procédures de déclaration à la CNIL avant d’effectuer la collecte des informations ; le cas des données juridico-policiers ; la nécessité de mettre en place au sein de chaque entité un correspondant CNIL dédié aux problématiques très spécifiques de la matière, et bien entendu les sanctions applicables tant par la CNIL que les juridictions répressives en cas de non-conformité. Nous nous apercevons d’ailleurs que les pouvoirs de la CNIL ont évolués de manière exponentielle au fil des années, faisant de la commission nationale, un véritable « gendarme » en matière de protection des données personnelles.

Si aujourd’hui la matière est un terreau fertile et donne du « fil à retordre » aux directions juridiques, le but poursuivi est louable dans la mesure où la collecte et le traitement des données personnelles est devenu est enjeu majeur, notamment en matière de sécurité et de protection de la vie privée. Ainsi, face aux multinationales dont certaines grandes entreprises américaines qui tracent et enregistrent la moindre donnée, il est apparu indispensable qu’un socle commun de règles en la matière soit applicable à l’échelle européenne.

III) Le RGPD (Règlement européen sur la protection des données personnelles)

Le règlement était en cours d’élaboration depuis quelques années déjà, et devait initialement être une directive. Mais finalement, c’est bien un règlement qu’ont adopté le Parlement européen et le Conseil de l’Union européenne le 27 avril 2016.

Remplacer la directive de 1995 par un règlement n’est pas anodin, car ce dernier sera applicable directement dans les États membres et sera supranational. C’est le 25 mai 2018 que celui-ci entrera en application, et la loi de 1978 restera donc en application jusqu’à cette date.

A la lecture du nouveau texte, il apparait que Bruxelles n’est pas repartie de zéro. En effet, les grands principes tels qu’ils avaient été établis par la directive sont repris. Mais il est impossible d’ignorer l’ajout de nouveaux principes clefs et le renforcement de certaines exigences. Le ton se durcit et les principes s’affinent.

1/ Quel sera le champ d’application du RGPD ?

Il trouvera à s’appliquer à chaque traitement de données à caractère personnel lorsque :

  • Le traitement aura lieu sur le territoire de l’Union, ou
  • Le responsable de traitement ou le sous-traitant seront établis sur le territoire de l’Union (et cela même si le traitement est techniquement opéré hors de l’UE), ou
  • Les personnes concernées par chaque traitement seront des citoyens ou ressortissants européens.

2/ Les nouveautés

  • Les formalités préalables sont supprimées

C’est une des mesures novatrices du règlement. Plus de déclarations préalables des traitements auprès de la CNIL. En réalité on assiste à un déplacement du curseur de la responsabilité et de la charge de travail. Jusqu’à lors, le responsable du traitement déclarait préalablement auprès de la CNIL ou demandait une autorisation et pouvait effectuer les traitements de données conformément à la déclaration effectuée ou à l’autorisation délivrée. L’autorisation ou la déclaration suffisaient à prouver le respect de la législation. Avec le règlement, c’est le responsable de traitement qui devra mettre en place des mesures permettant de démontrer qu’il a mis en place toutes les mesures appropriées afin d’être conforme aux dispositions législatives. Le développement d’une procédure interne en la matière ou encore la mise en place de fichiers permettant la traçabilité des traitements, vont alourdir considérablement le quotidien du responsable.

La mise en place d’un fichier documentant l’ensemble des traitements réalisés va donc être indispensable. Le responsable devra lister et documenter de manière précise chaque opération sans que le caractère exhaustif de ce fichier ne puisse jamais être certain. La collecte de documents à part entière va prendre du temps, notamment auprès des sous-traitants. Le règlement fait du responsable un acteur « hyperactif » d’un nouveau système ou chaque direction de l’entreprise devra désormais contribué à ce qui relève aujourd’hui du domaine exclusif du responsable de traitement.

  • Une tâche transverse

Les dispositions du règlement vont changer la façon dont les entreprises vont devoir organiser la fonction de responsable du traitement. En effet, les projets de mise en conformité au RGPD mais aussi la manière dont va devoir s’organiser le responsable du traitement va indubitablement nécessiter une coopération transverse. Ce sont quasiment toutes les directions des entreprises qui vont devoir s’impliquer.

  • Le renforcement de la sécurité

Si le règlement permet l’assouplissement des formalités comme nous l’avons vu supra, il vient également durcir les mesures de sécurité encadrant le traitement des données personnelles.

Le problème, comme nous l’avons déjà évoqué, est que si le but poursuivi est louable, il demeure que le responsable du traitement devra inclure désormais dans sa sphère d’actions, la mise en place de mesures destinées à assurer un niveau de sécurité approprié aux risques.

Ainsi, le responsable du traitement, s’il n’aura plus à demander l’autorisation à la CNIL, devra avant tout projet, effectuer une évaluation du degré de risques, c’est ce que le règlement décrit comme « l’obligation d’effectuer des analyses d’impact ». Ainsi, l’approche par les risques, fortement utilisée en matière de LCB/FT par exemple, est-elle transposable techniquement parlant à la matière des données personnelles ? Est-ce que la cartographie de risques doit devenir la référence ? Une réflexion va s’imposer et le responsable et ses équipes devront être à même d’évaluer en amont le traitement de données personnelles susceptibles d’engendrer un risque grave pour les données et les individus qu’elles concernent.

Le responsable du traitement des données voit également sa position renforcée dans la mesure où le règlement vient généraliser « l’obligation de notifier à la CNIL les violations de données personnelles ».

Aujourd’hui, cette obligation pèse uniquement sur les opérateurs de communication électronique. Avec le règlement, tous les responsables du traitement devront dans un délai de 72h déclarer à la CNIL toute violation de données personnelles, c’est-à-dire l’existence d’une faille de sécurité par exemple ayant entrainé la perte ou encore la révélation de données personnelles.

  • La désignation obligatoire d’un DPO

Par DPO, il faut comprendre « Data Protection Officer ». Le règlement vient créer un nouvel échelon en matière de protection des données à caractère personnel.

Ce garde-fou devra impérativement être indépendant vis-à-vis du responsable du traitement, et pourra être commun à différentes entités.

Ceci est une perspective de marché intéressante pour les avocats et constitue une évolution possible pour les juristes internes aux entreprises.

En effet, le DPO aura pour mission d’informer, de conseiller le responsable du traitement et/ou les sous-traitants, d’être le point de contact des personnes concernées par un traitement de données, d’être l’interlocuteur de la CNIL…

Le règlement semble vouloir créer une fonction unique, indépendante et dédiée à la protection des données personnelles.

  • La notion de coresponsabilité

Il s’agit là d’une avancée importante d’un point de vue juridique. En effet, le règlement reconnait la possibilité d’un partage de responsabilités pour un même traitement de données. Il semble évident, et le règlement va en ce sens, que pour qu’il y ait partage de responsabilité, il faut que les intervenants aient déterminés communément les finalités et les moyens du traitement.

En pratique, la situation visée par le règlement est la sous-traitance. Dès lors, le nouveau cadre impose désormais noir sur blanc que le responsable du traitement d’une entreprise soit vigilant quant au choix du sous-traitant qui devra être en mesure d’assurer des garanties suffisamment conséquentes afin de collaborer avec lui. Le contrat de sous-traitance, indispensable, devra contenir des stipulations précises qui sont dictées par le règlement. Par exemple, il devra être stipulé que le sous-traitant devra traiter les données personnelles selon les seules instructions du responsable du traitement, ou encore adopter des mesures de sécurités appropriées.

En la matière, les sous-traitants vont donc devoir « jongler » entre les exigences et les nécessités de chacune des entreprises avec lesquelles elles collaborent.

De plus, si tout semble clair sur le papier, il est fort probable qu’en cas de défaillance de la protection des données, le partage de responsabilité ne soit pas si évident que cela à établir. Des audits réguliers seraient les bienvenus. Des clauses de présomption de responsabilité en fonction d’un découpage savant de périmètres dédiés aux sous-traitants sont-elles envisageables ? Encore une fois, la pratique révèlera les limites d’un règlement très théorique.

  • L’encadrement des transferts en dehors de l’UE

Ces derniers mois ont été de nature à créer un trouble manifeste en matière de transfert de données vers des pays en dehors de l’Union Européenne. Les États-Unis notamment ont été au cœur de beaucoup de problématiques, et le système actuellement en place avec l’accord préalable de la Commission européenne, l’application du Privacy Shield etc ont été de nature à ralentir les activités et surtout à mettre en péril la sécurité des données. En l’absence d’accord de la commission, les cas de stocks de contrats en cours d’application sans clauses types, ou en l’absence de Binding Corporate Rules par exemple, ont pu être à l’origine d’un nombre de transferts réalisés en dehors de tout cadre, et sans savoir si les garanties de sécurité étaient assurées.

Afin de remédier partiellement au problème, le règlement prévoit la possibilité de transférer des données vers un pays en dehors de l’UE, si cela est exceptionnel et donc non répétitif, et à condition que cela concerne qu’un nombre limités de personnes et que des garanties suffisantes et appropriées soient mises en place.

Enfin, et cela revêt une importance de taille, ce transfert exceptionnel est possible dans quatre cas précis uniquement :

  • si les personnes ont données leur consentement,
  • si le contrat fait l’objet d’une exécution légitime,
  • si un droit de consultation est prévu,
  • en vertu du respect d’une décision de justice.

Il faut souligner que la notion « d’exécution légitime du contrat » mériterait d’être plus étayée.

  • L’alourdissement des sanctions

La loi de 1978 prévoit que la sanction maximale ne peut dépasser 150 000 euros.

Le règlement va plus loin en prévoyant que la CNIL pourra prononcer des amendes dont le montant pourra atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée. Administrativement parlant, il est démontré la volonté de responsabiliser les acteurs.

L’action de groupe, récemment réintroduite dans le paysage juridique français, devrait permettre de multiplier les actions civiles. Ce qui est notable, c’est que les actions civiles seront dirigées contre le responsable du traitement et les éventuels sous-traitants, qui devront indemniser les personnes ayant subi un dommage dû à la violation du règlement européen.

Enfin, d’un point de vue pénal, il faudra en France se référer aux articles 226-16 et suivants du Code pénal. Les sanctions encourues pourront aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour les personnes physiques et 1 500 000 euros pour les personnes morales.

Le RGPD sera donc directement applicable en France à partir du 25 mai 2018. Chaque entreprise française doit dès aujourd’hui réfléchir et anticiper sa mise en conformité avec les dispositions nouvelles. Bon nombre de ces nouveaux principes, seront très probablement propices à interprétation, au développement de désaccords voir même de contentieux. Il appartiendra à la CNIL de délivrer des « guidelines » afin de faire une application du règlement la plus juste possible et la plus protectrice des données traitées.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

25 votes