Les innovations apportées par le RGPD se notent à plusieurs niveaux. Le présent article est élaboré en vue de mettre en évidence sinon de présenter les innovations apportées par le RGPD. Aussi, nous choisissons de nous appesantir sur les nouveaux droits des personnes concernées (1), les responsabilités des personnes qui traitent les données personnelles (2) et les sanctions en cas de manquements aux prescriptions du RGPD (3).

L’information n’est jamais neutre, elle a une couleur ; couleur à travers laquelle l’on peut déterminer avec précision sa nature et le message véhiculés.
Encore appelée data ou donnée, l’information, joue un rôle très important à tel enseigne que celui qui a l’information a le pouvoir.

L’importance de la donnée se constate avec l’évolution sans cesse croissante des Technologies de l’Information et de la Communication, lesquelles technologies bouleversent le monde dans tous ses aspects. D’ailleurs, considère-t-on notre société comme une société de l’information.
L’apparition de ce terme remonte cependant aux décennies antérieures. En 1973, le sociologue étatsunien Daniel Bell a introduit la notion de société de l’information dans son livre intitulé "Vers la société post-industrielle", où il avance que celle-ci sera axée sur la connaissance théorique et où il considère que les services fondés sur la connaissance devront devenir la structure centrale de la nouvelle économie et d’une société s’appuyant sur l’information, dans laquelle les idéologies seraient superflues.
Cette notion a connu plusieurs acceptions au fil du temps. Manuel Castells l’appréhende sous le vocable de « société informationnelle » et selon lui : « le terme “informationnel” caractérise une forme particulière d’organisation sociale, dans laquelle la création, le traitement et la transmission de l’information deviennent les sources premières de la productivité et du pouvoir, en raison des nouvelles conditions technologiques apparaissant dans cette période historique-ci ».
Ces pensées ci-dessus exposées, nous montrent l’importance de l’information dans notre société actuelle.

L’Europe, ne voulant pas rester insensible face au « coup data », a essayé de réglementer l’usage sinon le traitement de l’information relative aux personnes physiques (donnée à caractère personnel) par la mise place d’une législation spécifique à ce domaine, plus précisément par l’adoption de lois sur la protection des données à caractère personnel.

Né en Allemagne en 1977, le droit des données personnelles a inspiré bon nombre d’Etats notamment la France qui s’est par la suite dotée de la Loi Informatique et Libertés pour réguler le traitement des données à caractères personnel.

Toutefois, les données personnelles étant devenues « le carburant du numérique », il s’est avéré impérieux pour les Etats d’adopter une législation commune pour protéger efficacement les personnes physiques concernées contre tous risques liés aux traitements des données personnelles d’où l’adoption par le Parlement Européen du Règlement Général sur la Protection des Données Personnelles (RGPD) entré en vigueur le 25 Mai 2018.

Le présent article est élaboré en vue de mettre en évidence sinon de présenter les innovations apportées par le RGPD. Ce thème étant assez vaste, il existe une diversité de manière d’envisager sa résolution toutefois, nous nous limiterons à mettre en exergue quelques innovations du RGPD.

1- Les nouveaux droits de la personne concernée.

La personne concernée est la pierre angulaire du droit de la protection des données à caractère personnel et par voie de conséquence du Règlement Général sur la Protection des Données.
En effet la personne concernée, c’est la personne physique à laquelle se rapportent les données à caractère personnel, la personne dont les données personnelles font l’objet de traitement. Pour une connaissance approfondie des nouveaux droits reconnus à cette personne physique par le RGPD, il faut de prime abord savoir ce qu’est une donnée à caractère personnel dans la mesure ou l’application du présent Règlement en est subordonnée.

Aux fins du présent règlement, on entend par « "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
De par cette définition au domaine fort large, il faudra tout simplement retenir qu’on sera en présence de données à caractère personnel toutes les fois qu’une personne physique pourrait être identifiée. Cette personne physique, en l’occurrence la personne concernée se voit reconnaitre de nouveaux droits pour lui permettre d’assurer la protection de ses informations.

C’est l’une des innovations majeures du RGPD. En effet suite au traitement abusif des données à caractère personnel, les Etats de l’UE ont consacré de nouveaux droits au profit de la personne concernée. Ce sont notamment les droits : à l’effacement (droit à l’oubli numérique), à la portabilité des données personnelles. Ces différents droits ayant des particularités quant aux approches définitionnelles, il convient de les expliciter. De ce fait, nous traiterons d’abord du droit à l’oubli numérique, après quoi nous évoquerons le droit à la portabilité des données personnelles.

Le droit à l’effacement (droit à l’oubli) encore appelé droit de désindexation est un droit prévu par l’article 17 du RGPD. Ce droit aboutit non seulement à l’effacement des données mais également au déréférencement des données sur un moteur de recherche. En effet ce droit à une double portée dans la mesure où lorsqu’il s’agit de demander à un moteur de recherche de supprimer les informations de la personne concernée, on parlera de droit de déréférencement. Le RGPD prévoit des cas dans lesquels la personne concernée peut exercer son droit à l’effacement.

Ce droit peut être demandé dans six cas :
 Quand la personne concernée retire son consentement ;
 Quand les données ne sont plus nécessaires au regard de la finalité du traitement ;
 Quand la personne concernée exerce son droit d’opposition ;
 Quand le traitement est illicite ;
 Quand la collecte concerne un mineur de 16 ans en l’absence de consentement de ses représentants légaux ;
 Quand les doivent être effacées pour se conformer à une obligation légale.

En clair le responsable de traitement c’est-à-dire, celui qui prend l’initiative de la collecte des données et qui en détermine les finalités, doit effacer les données et les déréférencer dans les moteurs de recherche. Il doit en outre tout mettre en œuvre pour informer les tiers de la demande d’effacement toutes les fois que les données sont traitées par d’autres opérateurs.
Toutefois, est-il important de préciser que le droit à l’effacement ne peut pas prospérer dans toutes les hypothèses. En effet, le RGPD a prévu des cas dans lesquels ce droit ne peut être exercé. Ce droit ne peut être exercé lorsque le traitement des données est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9 ou à des fins de recherches scientifiques, archivistiques.

A travers ce droit, l’idée à retenir c’est qu’on ne peut indéfiniment voir ses données être traitées ou même consultées sur la toile, l’on a la possibilité de se faire oublier.
Outre ce droit, la personne concernée dispose d’un droit qui lui permet de transférer ses données à un autre prestataire de service en vue de leurs traitements. Quid de ce droit ?

Le RGPD est porteur de diverses nouveautés destinées à renforcer l’emprise des personnes sur leurs données personnelles. Le droit à la portabilité des données est une des innovations majeures du RGPD. Il crée également de nouvelles opportunités de développement et d’innovation en facilitant le partage de données personnelles, de manière sécurisée et sous le contrôle de la personne concernée.

La portabilité telle qu’envisagée par le RGPD doit permettre, s’agissant des données fournies par la personne concernée, qu’elle puisse les recevoir dans un format structuré et exploitable informatiquement, ainsi que de le transmettre à un autre responsable de traitementsi ce transfert direct est techniquement possible. Il convient de préciser que ce droit reconnu à la personne concernée ne peut s’exercer dans tous les cas, mais aussi ce droit ne peut porter sur tout type de donnée.

En effet le droit à la portabilité des données à caractère personnel, est un droit qui peut être mis en œuvre uniquement, lorsqu’il y a traitement automatisé des données, c’est-à-dire traitement des données à l’aide de moyens informatisés. Conséquemment, ce droit ne peut être exercé lorsque le traitement est effectué par des moyens manuels (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.

En outre convient-il de répondre à une question qui se pose avec acuité : Le "droit à la portabilité" concerne-t-il les "données fournies" par une personne ou "l’ensemble de ses données" ?
Le droit à la portabilité exprimé par le Règlement européen ne concerne que les données « fournies » par les personnes, ce qui est un champ d’application relativement réduit : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».

La notion de données fournies recouvre à la fois :
 Les données déclarées activement et consciemment par la personne concernée, telles que des données fournies pour créer un compte en ligne (ex. adresse électronique, nom d’utilisateur, âge),
 Et les données générées par l’activité de la personne concernée, lorsqu’elle utilise un service ou un appareil (par ex. les données brutes collectées par des compteurs communicants, les achats enregistrés sur une carte de fidélité, l’historique des recherches faites sur internet, les relevés de compte bancaire, les courriels envoyés ou reçus, etc.).

A l’inverse, les données personnelles qui sont dérivées, calculées ou inférées à partir des données fournies par la personne concernée, telles que le profil d’un utilisateur créé grâce à l’analyse des données brutes produites par un compteur « intelligent », sont exclues du droit à la portabilité, dans la mesure où elles ne sont pas fournies par la personne concernée, mais créées par l’organisme.

En tout état de cause, est-il nécessaire de préciser que le responsable de traitement ainsi que le sous-traitant pourraient pour voir leur responsabilité engagée s’ils ne respectent pas les droits des personnes concernées qui sont en réalité des obligations pour eux.

2- Les responsabilités des personnes traitant les données personnelles.

A travers la définition donnée par l’article 2 de la directive de 1995 et l’article 1 de la loi ivoirienne sur la protection des données à caractère personnel, l’on pouvait déjà penser à une possible co-responsabilité pour le traitement de données personnelles, en définissant le responsable de traitement comme pouvant être « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (article 2 d).

Cependant, La loi de 1978 définissait le responsable de traitement de données personnelles comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement ».
Ainsi, afin d’être qualifié de responsable de traitement, la réunion de deux critères était indispensable :
 La personne doit décider de la finalité du traitement, c’est-à-dire qu’elle doit déterminer les raisons du traitement et les catégories des données qui vont être collectées.
 La personne doit décider des moyens du traitement, c’est-à-dire des modalités de mise en œuvre dudit traitement (durée de conservation, destinataire, droit d’opposition, droit de rectification). Cette définition du responsable de traitement exclut tout type de responsabilité conjointe.

Toutefois, cette responsabilité conjointe est aujourd’hui consacrée : le Règlement reprend la notion et la définit à l’article 26 : « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».

Dorénavant, le sous-traitant, qui serait co-responsable du traitement, pourrait voir sa responsabilité engagée au même titre que le responsable de traitement. Il faudra donc porter une attention particulière à la rédaction de la convention liant les parties afin de fixer de façon précise les obligations et rôles de chacun. Le Règlement étend cette responsabilité dans deux directions. Tout d’abord, les sous-traitants se voient appliquer une large partie des obligations imposées aux responsables, instaurant ainsi un régime de coresponsabilité.

Le Règlement innove également en posant le principe selon lequel, toute victime d’une non-conformité « a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi » alors que jusqu’à présent, la Loi Informatique et Libertés fixait la responsabilité directe du responsable à l’égard des victimes.

Le sous-traitant, voit ses obligations précisées dans le contrat ou l’acte juridique de sous-traitance en plus de la possibilité d’engager de façon conjointe sa responsabilité avec le responsable. En effet, le RGPD prévoit une responsabilité spécifique, c’est-à-dire une responsabilité propre du sous-traitant dans en cas de manquement à ses obligations dans certaines hypothèses.
Il engage sa responsabilité spécifique lorsqu’il :
 Ne s’en tient pas aux instructions du responsable de traitement et qu’il ne prend pas les mesures de sécurité requises ;
 Ne respecte pas les conditions pour la « sous-sous-traitance » ;
 Ne soutient pas le responsable de traitement dans ses diverses obligations et de devoir d’alerte ;
 Ne désigne pas le délégué à la protection des données dans les cas ou sa présence est indispensable et ne tient pas un registre des catégories de traitements effectués pour le compte du responsable de traitement.

Avec le RGPD, les obligations et les responsabilités des personnes intervenant dans le traitement des données personnelles sont bien définies. Avec ces précisions apportées par le RGPD, les risques abusifs d’interprétations sont désormais proscrits et conséquemment, il est plus facile de sanctionner les manquements aux prescriptions du Règlement Général sur la Protection des Données personnelles.

Qu’en est-il des sanctions en cas de manquements aux prescriptions du Règlement Général sur la Protection des données ?

3- Les sanctions aux manquements des prescriptions du RGPD.

Le RGPD prévoit en effet des sanctions pour obliger les responsables de traitement et les sous-traitants à respecter les prescriptions dudit Règlement.
Il est important de noter que les sanctions prévues par le RGPD sont extrêmement dissuasives. Elles ont pour rôle d’empêcher la survenance de tous manquements aux dispositions du présent Règlement.

Ces sanctions, notamment les amendes administratives vont :
 Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design( Le Privacy by Design est une mesure préventive ayant donc pour but de limiter les risques d’abus et de violation des données), Privacy By Default (consiste pour le responsable de traitement et le sous-traitant, à appréhender la problématique des données personnelles dès la mise en place de leurs projets et à garantir, par défaut, le plus haut niveau possible de protection des données, et ce de manière continue), en matière de PIA (l’analyse d’impact sur la protection des données Privacy Impact Assessment, PIA ou DPIA) , etc. ;
 Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

L’on constate que le montant des sanctions est encore plus élevé lorsqu’il y a manquement aux droits de la personne concernée. Cette position prise par le RGPD se comprend parfaitement, dans la mesure où, les droits de la personne concernée constituent le substrat même du droit relatif à la protection des données personnelles, conséquemment tous manquements audits droits devraient être sévèrement punis.

Toutefois, le but de la sanction en droit, qu’elle soit pécuniaire ou non, n’a pas pour but de porter atteinte mais d’empêcher la survenance des comportements repréhensibles.

Ainsi, en cas d’amende administrative infligée, certaines entreprises pourraient se retrouver dans une situation délicate financièrement de nature à impacter leur activité : réduction d’effectifs, réorganisation voire arrêt total de l’activité pour les plus petites entreprises.
De plus, ne pas se mettre en conformité avec le RGPD pourrait se révéler désastreux en termes de réputation pour les entreprises qui subiraient une atteinte à leur image de marque et risqueraient de perdre la confiance de clients de plus en plus attachés à la protection de leurs données personnelles.

Le RGPD donne la possibilité aux Etats membres de l’Union Européenne, de déterminer les sanctions pénales en cas de violation dudit Règlement. C’est d’ailleurs ce qui transparait en ces termes : « les Etats membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violation du présent Règlement, y compris des violations aux dispositions nationales adoptées et dans la limite du présent Règlement ».

En clair, la qualification pénale des manquements audit Règlement est du ressort des législations nationales des Etats partie de l’Union Européenne sous réserve du respect du présent Règlement.

Désiré Allechi, Juriste Spécialiste du Droit des TIC