Village de la Justice www.village-justice.com

RGPD, point d’étape à la suite de l’harmonisation de la Loi Informatique et Libertés. Par Fabien Drey, Avocat.
Parution : lundi 13 août 2018
Adresse de l'article original :
https://www.village-justice.com/articles/rgpd-point-etape-suite-harmonisation-loi-informatique-libertes,29185.html
Reproduction interdite sans autorisation de l'auteur.

Le RGPD, rarement 4 lettres n’auront autant fait couler d’encre.
A l’heure où la loi française s’est enfin adaptée, il nous semble opportun de réaliser un point d’étape.

Entre fantasmes liés à la régulation de l’utilisation de nos données et craintes pour le « patron de PME » écrasé par cette nouvelle norme, l’impact réel du RGPD ne peut aujourd’hui être réellement mesuré.

Il faut bien reconnaître que ces 4 lettres restent plus simple à utiliser que « règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ».

Cet acronyme, désormais bien connu, permet en outre d’englober un certain nombre de normes européennes et locales en matière de protection des données.

A cet égard, il est rappelé que l’utilisation des données à caractère personnel est notamment encadrée par :

Cette législation tentaculaire, couplée à une rédaction parfois incomplète, nuit inévitablement à la lisibilité de la Loi, et donc des obligations inhérentes à chaque responsable de traitement ou sous-traitant.

Tout avait pourtant bien commencé, le RGPD ayant vocation, initialement, à uniformiser et renforcer le droit européen en matière de protection des données.

Il est rappelé que le RGPD, comme tout règlement européen, est d’application directe en Droit français. Le texte ayant été voté au cours de l’année 2016, la Commission avait cependant décidé de retarder son entrée en application au 25 mai 2018 afin de « laisser le temps » aux acteurs, aux citoyens et aux Etats de se préparer.

S’agissant des Etats, il est rappelé que la RGPD prévoit à de nombreuses reprises des « marges de manœuvre » permettant aux Etats membres d’écarter et/ou de préciser certaines dispositions du RGPD.

Précisément, le RGPD prévoit ainsi 56 marges de manœuvres permettant aux Etats de déroger ou de préciser les dispositions du RGPD.

Bien évidemment, le législateur français s’est donc naturellement emparé de ces marges de manœuvre afin de faire son œuvre.

Suite à de nombreuses consultations, et en raison de tergiversations parlementaires, le projet de loi réformant la Loi Informatique et Libertés n’a cependant pu être adopté que le 14 mai 2018, pour ensuite être soumise à un examen du Conseil Constitutionnel.

Ce n’est ainsi que le 20 juin 2018 que la loi française a pu être adaptée, à la suite de la décision n° 2018-765 DC rendue par le Conseil Constitutionnelconfirmant la constitutionnalité du texte, à l’exception d’une disposition subsidiaire.

Cependant, la loi n’étant toujours pas assez claire, cette dernière a été récemment complétée par le Décret n°2018-687 du 1er août 2018.

Cet ensemble de règles forme un tout dont la cohérence peut raisonnablement être mise en doute, notamment lorsqu’il s’agit d’appliquer concrètement les dispositions qui y sont contenues.

Le présent article a donc pour objet de faire un point d’étape, afin d’identifier les éléments aujourd’hui fixés et ceux qui restent encore à préciser.

I) L’adaptation du RGPD en Droit français, où en est-on ?

La majeure des « responsables de traitements » et « sous-traitants » restent aujourd’hui dans l’expectative et de nombreuses questions d’ordre pratique restent en suspens.

Dans ce cadre, nous nous attarderons dans un premier temps sur les principales adaptations apportées au RGPD par le législateur français.

A- Les adaptations apportées par la loi du 20 juin 2018 au RGPD.

Le projet de loi portant réforme de la Loi Informatique et Libertés a été présenté au cours de l’année 2017 et a fait l’objet de nombreuses consultations, notamment auprès de la CNIL (voir l’avis de la CNIL rendu le 30 novembre 2017) et du Conseil d’Etat (lire l’avis du Conseil d’Etat).

D’une part, la loi du 20 juin 2018 adapte ou modifie plus d’une trentaine de dispositions de la loi Informatique et Libertés, afin de prendre en considération les dispositions du RGPD (TITRE I de la loi).

D’autre part, la loi adapte certaines dispositions du RGPD au Droit français (TITRE II).

Comme si cela ne suffisait pas, le TITRE III de la loi est consacré à l’adaptation de la Directive « Police justice » et certaines dispositions sont spécifiques à des traitements particuliers ne figurant pas dans la Loi Informatique et Libertés (fichiers d’antécédents judiciaires et registre de traitement des établissements publics d’enseignement scolaire).

Dans ce cadre, il convient de distinguer les dispositions de la loi française :

i) Les dispositions de la loi françaises utilisant les marges de manœuvre du RGPD ou conservant certains éléments spécifiques.

La loi française est venue compléter ou modifier des dispositions du RGPD, notamment en ce qui concerne les pouvoirs de la CNIL.

Bien que de nombreuses dispositions de la loi française renvoient au texte du RGPD, certains éléments ont été précisés afin de renforcer les pouvoirs d’enquête de la CNIL (Chapitre VI de la Loi Informatique et Libertés).

a) Le renforcement de l’action de groupe en matière de protection des données à caractère personnel.

L’article 25 de la Loi du 20 juin 2018 renforce l’article 43 ter de la LIL relatif à l’action de groupe.
Alors qu’auparavant, l’action de groupe ne présentait guère d’intérêt car elle n’avait vocation qu’à demander « la cessation du manquement », la réforme permet désormais d’engager une action de groupe afin « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis ».

Il s’agit là, a priori, d’une avancée majeure pour l’action de groupe et le respect de la protection des données des utilisateurs.

Toutefois, afin d’éviter certains abus, le législateur a limité cette action en responsabilité aux dommages dont le fait générateur est « postérieur au 24 mai 2018 ».

En complément, le législateur a souhaité restreindre l’utilisation de ces actions aux :

« 1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
3° Les organisations syndicales de salariés ou de fonctionnaires […] lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre
. »

En pratique, ce type d’actions restera donc extrêmement rare.

b) Les dispositions spécifiques au consentement des utilisateurs sur smartphone.

L’article 28 de la Loi du 20 juin 2018 n’a pas fait l’objet d’une intégration à la Loi Informatique et Libertés.

Cet article dispose que « lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final ».

A cet égard, le responsable de traitement (par exemple l’éditeur d’une application smartphone) ne peut pas restreindre les possibilités de choix de l’utilisateur final et l’application doit permettre de garantir l’ensemble des droits et des options de l’utilisateur final.

c) La définition de l’âge limite pour les traitements destinés aux enfants.

L’article 8-1 du RGPD dispose que l’article 6 du règlement s’applique en ce qui concerne l’offre de service directe aux enfants.

A cet égard, le traitement de données à caractère personnel lié à l’accès à un service de la société de l’information d’un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans.

Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

La question se pose donc de savoir ce que recouvre « les services de la société de l’information ».

A cet égard, la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 définit la notion de « service de la société de l’information » comme « tout service presté normalement contre rémunération, à distance voie électronique et à la demande individuelle d’un destinataire de services. »

En synthèse, la notion d’accès à une offre directe de services de la société de l’information vise toute prestation rendue par l’intermédiaire d’internet, à titre gratuit ou payant.

Cette notion est donc extrêmement large.

Concernant la fixation de l’âge limite, les Etats membres disposent toutefois du pouvoir d’adapter ces dispositions en modifiant notamment l’âge limite fixé par le RGPD, sans pouvoir abaisser cet âge en dessous de 13 ans.

C’est dans ce cadre que le législateur français a décidé de fixer l’âge limite à 15 ans (article 7-1 de la Loi Informatique et Libertés).

Dans ce cadre, l’article 7-1 est rédigé comme suit :

« Un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans. »

La difficulté provient du deuxième paragraphe de cet article :

« Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur. »

Ce consentement « par le mineur concerné  » n’est pas prévu par le RGPD et la loi français ajoute donc au texte.

En pratique, il semble cependant complexe d’obtenir le consentement de l’enfant exprès, éclairé et équivoque d’un très jeune enfant. Cet article devra donc à notre sens faire l’objet d’une adaptation.

d) La question des données sensibles.

L’article 9 du RGPD définit les « données sensibles » comme les données liées :

La loi française reprend intégralement cette définition mais ajoute un cas de dérogation à l’interdiction de principe liée au traitement de ce type de données, concernant « les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ».

Cette notion liée à l’utilisation des données issues des décisions de justice (ou l’Open Data des décisions de justice) pose un certain nombre de difficultés pratiques et juridiques, notamment en ce qui concerne l’identification des personnes concernées par l’intermédiaire d’une personne morale (les données des personnes morales ne sont pas concernées par le RGPD).

A cet égard, la pseudonymisation du nom du dirigeant n’aura aucun effet dans l’hypothèse où le nom de la société lui-même sera conservé. Il suffira alors de rechercher le nom des associés ou des dirigeants de ladite société pour identifier la personne concernée.

Sur ces difficultés, il est intéressant de prendre connaissance du rapport Cadiet sur l’open data des décisions de justice.

e) L’utilisation des cookies.

L’utilisation des cookies est encadrée, en France, par l’article 32-II de la Loi Informatique et Libertés.
Cet article n’a pas été modifié suite à l’entrée en vigueur de la loi du 20 juin 2018 et ne transcrit donc pas les dispositions du RGPD en la matière.

Il convient donc de se reporter au texte du RGPD ainsi qu’à l’article 32-II concernant l’utilisation des cookies.

Cette solution ne pose pas de difficulté en pratique, les deux législations étant équivalentes.

f) l’utilisation des directives anticipées en cas de décès en complément des droits des utilisateurs.

L’article 40-1 de la LIL reste en vigueur.

Ces dispositions permettent à l’utilisateur de définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès.

Il s’agit donc d’un droit complémentaire à ce qui est prévu par le RGPD, à savoir :

g) Le traitement des données pénales.

L’article 10 du RGPD soumet à une autorisation préalable les traitements de données relatifs aux infractions et condamnations pénales, à l’exception des traitements autorisés par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Cette dérogation visait donc principalement les Tribunaux et autres services de l’Etat destinés à collecter et traiter des données à caractère pénal, bien que l’on puisse légitimement s’interroger sur les garanties mises en œuvre dans ce cadre.

A cet égard, le législateur français a souhaité lister les personnes pouvant traiter des données à caractère personnel relatives à des condamnations pénales, des infractions et des mesures de sûreté, à savoir :

Ces précisions étaient les bienvenues, notamment en ce qui concerne les auxiliaires de justice ainsi que les personnes destinataires de ces informations.

La problématique restera, comme souvent, relative aux durées de conservation desdites données.

h) L’élargissement des pouvoirs de sanctions et de contrôle de la CNIL.

-* Le contrôle de la CNIL n’est plus limité aux locaux « à usage professionnel »

Les agents de la CNIL possède un pouvoir de contrôle sur place des traitements effectués par une entité.

A cet égard, il est rappelé que le responsable des locaux dispose d’un droit d’opposition à contrôle, la visite ne pouvant alors être effectuée sans une autorisation du juge des libertés et de la détention (article 44 de la Loi Informatique et Libertés).

Dans l’hypothèse d’un contrôle sur place, l’ancienne rédaction permettait aux agents de la CNIL de visiter (sous conditions et de 6 heures à 21 heures) les lieux, locaux, enceintes, installations ou établissements « usage professionnel  ».

Cette notion d’usage professionnel a été supprimée par la loi du 20 juin, les agents de la CNIL pouvant visiter tous locaux, à l’exception toutefois des parties de ceux-ci « affectées au domicile privé ».

La notion de « domicile privée » demeure en l’état, seule la notion d’« usage professionnel » étant supprimée.

Les agents de la CNIL ont donc par principe accès à l’ensemble des lieux susceptibles de mettre en œuvre un traitement de données à caractère personnel, à l’exclusion des locaux privatifs.

La question se pose donc toujours de l’entrepreneur, ou de la société, exerçant ses activités au domicile du dirigeant et y stockant l’intégralité des données (archives, serveurs, formulaires papiers, etc.).

Suffirait-il de stocker son fichier clients et prospects sur un serveur personnel à son domicile pour échapper au contrôle des agents de la CNIL ?

Il est à ce titre rappelé que l’article 58-1-f) du RGPD ne prévoit pas de limitation au pouvoir de contrôle, le texte faisant simplement référence à « tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres. ».

-* L’élargissement des sanctions pouvant être prononcées par la CNIL

Avant l’entrée en vigueur de la Loi du 20 juin 2018, la CNIL disposait de pouvoirs relativement réduits à l’encontre des contrevenants (article 45 & suivants de la Loi Informatique et Libertés), à savoir :

A cet égard, le processus de mise en garde et de sanctions a été remanié de manière importante suite à la réforme.

Dorénavant, en cas de constatation du non-respect des dispositions de la Loi ou du RGPD, la CNIL peut prononcer à l’encontre du contrevenant une mise en demeure afin :

« 1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;
2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;
3° A l’exception des traitements qui intéressent la sûreté de l’Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;
4° De rectifier ou d’effacer des données à caractère personnel, ou de limiter le traitement de ces données. »

Le délai donné à l’entité pour effectuer ces démarches peut être limité à 24 heures en cas d’urgence.
Dans le même temps, la CNIL peut mettre en demeure le contrevenant de notifier aux destinataires des données les mesures qu’il a prises.

Par ailleurs, le Président de la CNIL peut, de manière autonome ou en complément de la mise en demeure visée ci-avant, prononcer à l’encontre de l’entité :

Ces mesures peuvent par ailleurs être cumulées (Article 45-III alinéa 1er de la Loi Informatique et Libertés).

Il est rappelé que les manquements constatés par les traitements effectués par l’Etat ne sont pas concernés par les sanctions pécuniaires.

En complément, la CNIL peut décider de manière alternative, en cas de violation des droits fondamentaux des personnes concernées et en cas d’urgence, de l’interruption provisoire du traitement ou sa limitation pour une durée maximale de 3 mois, tout en enjoignant au responsable de traitement de se mettre en conformité sous astreinte.

Le montant de l’astreinte est plafonné à 100.000 € par jours de retard à compter du terme fixé.
En complément l’article 46-IV du RGPD ajoute qu’« en cas d’atteinte grave et immédiate aux droits et libertés mentionnés à l’article 1er de la présente loi, le président de la commission peut en outre demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés ».

La loi française est donc venue adapter le RGPD afin de renforcer les pouvoirs d’intervention de l’autorité de contrôle.

Cependant, il aurait à notre sens été plus judicieux de se pencher sur le fond du texte et de ses interprétations, avant de renforcer les mesures visant à le mettre en œuvre.

ii) Les renvois de la loi française aux dispositions du RGPD.

La majeure partie des dispositions du RGPD ont été simplement adaptées et transcrites en Droit français.

Ces éléments d’ordre généraux ne posent guère de difficulté mais n’ont hélas pas vocation à préciser certains éléments du RGPD, parfois imprécis.

Les éléments transcrits reprennent ainsi les 3 grands principes issus de la réglementation européenne et sur lesquels nous ne reviendrons pas, à savoir :

L’ensemble des mécanismes de déclarations préalables à la CNIL a ainsi été supprimé.

L’avis de la CNIL ne reste ainsi en vigueur que pour :

En pratique, très peu de dispositions viennent donc déroger aux principes posés par le RGPD suite à l’entrée en vigueur de la réforme de la Loi Informatique et Libertés.

B- Les adaptations apportées par le Décret du 1er août 2018.

Le Décret n° 2018-687 du 1er août 2018 a pour objectif de préciser les mesures d’applications de la Loi Informatique et Libertés réformée et porter réforme du décret du 20 octobre 2005 auparavant applicable.

Ce décret vient uniformiser certains textes au regard de l’évolution de la Loi Informatique et Libertés, afin d’adapter le décret du 20 octobre 2005.

En complément, ce décret vient ajouter un certain nombre de précisions bienvenues.

i- Vers la création de certifications en faveur des DPO.

Le texte vient ainsi préciser un certain nombre de règles d’organisation interne de la CNIL.

Le décret vient par ailleurs apporter un certain nombre de clarification concernant l’organisme national d’accréditation permettant d’obtenir des accréditations en tant que DPO (ce qui n’est actuellement pas le cas).

Les discussions se tournent aujourd’hui vers la création d’organismes certificateurs ayant la capacité de délivrer des certifications spécifiques pour les délégués à la protection des données.

Cette procédure d’accréditation prendra encore du temps et devrait être présentée dans les prochains mois.

ii) Des précisions concernant les traitements en dehors de l’Union Européenne.

L’article 24 du Décret vient notamment encadrer les transferts de données intra-UE, notamment en rappelant l’utilisation des codes de conduite et des clauses contractuelles types et les délais donnés à la CNIL afin de répondre à une demande dans ce cadre.

iii) La définition des personnes morales de droit privé amené à traiter des données pénales.

L’article 9 de la loi Informatique et Libertés réformée autorise certaines personnes morales de droits privé à mettre en œuvre des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions et aux mesures de sûreté connexes, sans pour autant définir avec précision les personnes morales véritablement habilitées.

Cette lacune est comblée par l’article 26 du Décret qui dresse la liste des établissements autorisés à traiter ce type de données.

iii) La définition des éléments à intégrer dans l’étude d’impact.

L’analyse d’impact est un élément à mettre en œuvre lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes (art. 70-4 de la Loi Informatique et Libertés et article 35 du RGPD).

A cet égard, le Décret vient confirmer les principes qui étaient d’ores et déjà utilisés jusqu’à lors au regard des disposition du RGPD, à savoir que l’étude d’impact doit contenir :

II) La mise en conformité au regard du RGPD, tout reste à faire.

Maintenant que la loi française semble en harmonie avec les dispositions du Droit européen, tout reste à faire.

Bien que les bases de la conformité soient connues et qu’une littérature abondante existe déjà sur le sujet, il n’en demeure pas moins que certains points méritent encore d’être encadrés avec plus de précisions.

Pour rappel, et au regard des quelques éléments rappelés ci-avant, la « mise en conformité » au regard des dispositions du RGPD et de la loi française reste une opération juridique et technique complexe, notamment lorsque les dispositions de la loi Informatique et Libertés n’étaient pas respectées.

Au regard de l’état des traitements réalisés par l’entité, cette mise en conformité nécessite souvent un temps incompressible d’analyse préalable et la mise en œuvre de procédés techniques conformes et uniformisés.

La mise en œuvre d’une politique générale permettant d’assurer le respect des principes d’accountability, de privacy by design et de privacy by default doit être analysée au cas par cas.

Ce n’est qu’à la suite de cette analyse qu’il sera possible de rédiger la documentation inhérente et de mettre en application les moyens techniques permettant d’assurer et de suivre la conformité des traitements.

Pour les traitements complexes, une simple charte ou des modèles de registres ne peuvent donc suffire.

L’ensemble de ces éléments requiert ainsi de mettre en œuvre des moyens, afin de permettre à l’entité concernée de traiter la donnée à caractère personnel comme un véritable actif de l’entreprise.

Fabien DREY, Avocat Fondateur du Cabinet RecLex Avocats www.reclex-avocats.com