Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est entré en vigueur le 25 mai 2018. Suite à la multiplication des réseaux sociaux et des débordements qui en découlent, l’Union européenne s’est, en effet, dotée d’un nouveau cadre juridique afin d’améliorer la protection des données personnelles des Européens.

Le 22 mai 2018, Mark Zuckerberg, le fondateur de Facebook, a été entendu par les parlementaires européens au sujet de l’exploitation des données renseignées par les utilisateurs du réseau social, par l’entreprise Cambridge Analytica, à des fins politiques.
 [1]

Le PDG du réseau social avait déjà dû faire face à une remise en cause de sa politique de confidentialité, en 2017, lorsque la CNIL avait requis contre lui une amende de 150.000€.
La CNIL avait considéré « que les internautes ne sont pas clairement informés » et en mesure « de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social ».

L’enjeu que représente l’utilisation de données personnelles face à l’expansion sans cesse croissante du numérique a nécessité une concertation des pays européens. Le RGPD est le fruit de cette collaboration.
Il est désormais applicable. Il devrait notamment permettre une meilleure coopération des États dans le contrôle et la lutte contre la violation des données personnelles et ce notamment dans le cadre des relations internationales.

1. La définition de "donnée personnelle".

Selon l’article 2 de la Loi Informatique et libertés, "constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne".

Elles sont donc variées : adresse, numéro de téléphone, adresse IP [2], numéro de sécurité sociale, profession, numéro client… Ces données relèvent de la vie privée et n’ont pas vocation à être communiquées ni utilisées par n’importe qui. Or, ce n’est pas aussi simple et les données personnelles peuvent être connues et utilisées de différentes façons par des entreprises, des réseaux sociaux (Facebook, Twitter, Whatsapp…) sans votre accord.

2. Qui est concerné par le RGPD ?

Depuis plusieurs jours, vous recevez sans doute des notifications de la part des réseaux sociaux ou sites Internet desquels vous êtes membres, des grandes enseignes dont vous possédez une carte de fidélité… Ces notifications vous indiquent que leur politique de confidentialité a été modifiée et vous informent des démarches à suivre pour faire disparaître vos données de leur base informatique.

Le règlement concerne les entreprises, les associations, les administrations qui ont recours aux données personnelles des résidents européens et/ou les responsables de traitement ou sous-traitants établis sur le territoire de l’Union européenne. Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et sur lequel reposent les obligations prévues par le règlement. »
 [3].
La responsabilité de ces personnes physiques ou morales est définitivement reconnue par le droit européen et de facto par le droit français.
Le traitement a plusieurs aspects : la collecte des informations, leur modification, leur consultation, leur diffusion…Cette notion est vaste d’où la difficulté de prendre en compte toutes les possibilités pour les encadrer au mieux.

3. Sa mise en place en droit français et le rôle de la CNIL.

Le RGPD entend accroître les devoirs incombant aux entreprises utilisant des données personnelles et renforcer les droits des Européens dont celui du droit à l’oubli. Il part du principe que « dès lors qu’une donnée est personnelle, elle fait l’objet d’une protection ». [4]

Ce règlement n’est pas figé pour les États membres. Ces derniers peuvent œuvrer différemment les uns des autres pour l’appliquer. Ils n’ont d’ailleurs pas de transposition à faire au niveau du droit national, ce qui simplifie sa mise en place.
Une nouvelle loi de protection des données personnelles a été adoptée le 14 mai dernier par la France. Elle associe étroitement la CNIL à la mise en place du RGPD. La CNIL a d’ailleurs, pendant quatre ans, été présidente du G29 (l’ensemble des CNIL européennes réunies) remplacé par le CEPD [5]. La CNIL est un partenaire pour les entreprises et les administrations dans l’application de ce règlement. Cela est logique puisque le rôle de la CNIL est de contrôler et protéger les données personnelles des Français. Le RGPD s’inscrit donc dans la continuité du travail déjà effectué par cette commission. En cas de difficultés, elle peut vous aider dans vos démarches (voir son site).

4 . De nouveaux droits pour les personnes physiques.

Comme indiqué plus haut, le RGPD vise à améliorer la protection des données personnelles à différents niveaux.

Tout d’abord, le consentement des personnes est davantage encadré et précisé : « les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer ». [6]
Cela répond également à une obligation de transparence. Les utilisateurs devront donc être davantage attentifs aux messages envoyés (mails, courrier, appel...) par leurs correspondants afin de gérer leurs données privées comme ils le souhaitent. En cas de litige, c’est le responsable du traitement des données fournies par la personne qui doit prouver son consentement.
L’article 8 du RGPD relatif aux conditions applicables au consentement du mineur concerne les traitements dans le cadre des réseaux sociaux, du commerce en ligne. Il précise qu’en deçà de 16 ans (un âge différent peut être appliqué par un État), le consentement parental est obligatoire. En France, le Parlement a voté pour que l’enfant puisse consentir lui-même à partir de l’âge de 15 ans. Les responsables de traitement doivent s’évertuer « raisonnablement à vérifier […] que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles » [7] pour les données personnelles en ligne.

Les personnes disposent d’un droit d’accès, de rectification, de limitation, d’effacement, d’opposition et de portabilité de leurs données personnelles [8]. Le RGPD supprime des démarches administratives pour les personnes physiques et morales à effectuer auprès de la CNIL. Certaines formalités administratives restent à accomplir comme la demande d’autorisation pour certains traitements de données de santé. [9] Mais il y a tout de même un allègement des démarches.
Par ailleurs, il est conseillé de nommer un délégué à la protection des données (DPO) au sein des entreprises (lorsque ce n’est pas obligatoire) afin d’appliquer correctement le règlement, d’assurer le lien entre l’autorité de contrôle et l’entreprise et de conseiller les salariés et la Direction en la matière. Le DPO peut être un salarié mais aussi un avocat. [10]
En cas de violation du règlement par les responsables de traitement ou sous-traitants, les victimes ont droit à réparation du préjudice subi. [11] Des sanctions sont alors prévues : un avertissement, une mise en demeure, le retrait de la certification délivrée à l’entreprise, des amendes administratives très lourdes (qui peuvent se chiffrer en millions selon le chiffre d’affaires annuel)…

Toutes les parties sont aujourd’hui responsables, aussi bien les collecteurs de données que les émetteurs. Chacune a un rôle à jouer.

Manon VIALLE, Avocat