Article publié dans la revue TELECOM - n° 185 - 15 juin 2017
par Claire Levallois-Barth, coordinatrice de la Chaire,
maître de conférences en droit à Télécom ParisTech
Le 25 mai 2018, le Règlement Général sur les Données Personnelles (RGPD) entrera en application. Le texte entend assurer la confiance dans le cadre du marché intérieur en renforçant les droits des citoyens et les obligations des entreprises.
Adopté le 27 avril 2016, le Règlement Général sur la Protection des Données (RGPD)1 encadre, au sein de l’Union européenne (UE), la façon dont sont collectées et utilisées les nombreuses données personnelles, que ces données soient relatives aux clients, prospects, salariés ou administrés. Le texte entrera en application le 25 mai 2018. L’actuelle directive européenne 95/46/CE Protection des données adoptée en 1995 sera alors abrogée.
L’objectif principal de cette réforme est de renforcer la confiance, élément essentiel à l’innovation et au développement économique. En effet, comme le note la Commission européenne, « s’ils n’ont pas totalement confiance, les consommateurs hésiteront à faire des achats en ligne et à recourir à de nouveaux services. Cela risque de ralentir l’innovation dans l’utilisation des nouvelles technologies »2. Il s’agit ici de consolider le marché unique du numérique en assurant la libre circulation des données personnelles et, dans le même temps, de renforcer l’effectivité du droit fondamental à la protection des données personnelles, reconnu notamment par la Charte des droits fondamentaux de l’Union européenne. A cette fin, le RGPD étend l’harmonisation des règles juridiques adoptées en 1995 : il sera directement applicable dans les Etats membres, sans avoir à être décliné via des lois ou actes juridiques nationaux. En France, une grande partie de la loi Informatique et Libertés sera abrogée, seules subsistant les dispositions non couvertes par le champ d’application du RGPD.
Dans le même temps, le règlement entend renforcer l’application effective des règles qu’il fixe. A cet égard, son champ d’application diffère de celui de la directive 95/46/CE. Le critère est celui du lieu d’établissement, entendu comme le lieu de « l'exercice effectif et réel d'une activité au moyen d'un dispositif stable », la forme juridique retenue (succursale, filiale…) n’étant pas déterminante. Si le responsable de traitement3 ou le sous-traitant4 sont établis dans l’UE, le RGPD s’applique que le traitement ait lieu ou non dans l’UE (cas d’une entreprise établie en France et qui traite les données personnelles d’un citoyen américain). Si le responsable de traitement ou le sous-traitant ne sont pas établis dans l’UE, le règlement s’applique si la personne concernée par les données se trouve sur le territoire de l’UE et si les activités de traitement sont liées :
- A l’offre de biens ou de services à cette personne, qu’il y ait paiement ou non,
- Ou au suivi du comportement de cette personne.
L’objectif recherché est ici d’encadrer les activités de multinationales comme Google et Facebook, ce qui conduit à projeter l’approche européenne sur la scène internationale et explique sans doute pourquoi le RGPD a fait l’objet d’une campagne de lobbying sans précédent.
Sur le fond, les 99 articles du règlement s’inscrivent dans la continuité des principes clés de protection des données personnelles tels que garantis notamment par la loi Informatique et Libertés de 1978, tout en introduisant de nombreux changements.
La continuité
En ce qui concerne la notion de donnée personnelle, la définition ne change pas : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte cite notamment les identifiants (nom, numéro d’identification), la localisation ainsi qu’un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dans ce contexte, il convient de prendre en compte « l’ensemble des moyens raisonnablement susceptibles d’être utilisés » pour permettre l’identification, à la fois les moyens utilisés par l’entité qui traite directement les données personnelles et ceux utilisés par toute autre personne. Ainsi, une information qui peut être reliée, même de façon ténue, à un individu sans pour autant connaître son identité constitue une donnée personnelle.
On retrouve également dans le RGPD les principes clés bien connus5. Ainsi, avant même de collecter une donnée personnelle, l’entité doit déterminer les finalités du traitement (c’est-à-dire les objectifs) et minimiser le nombre de données en s’assurant que seules des données adéquates, pertinentes et non excessives au regard des finalités sont traitées. Elle doit également fixer une durée de conservation des données qui ne dépasse pas la durée nécessaire aux finalités. Passé ce délai, les informations doivent être supprimées ou anonymisées de façon irréversible, ce qui est loin d’être aisé6.
L’organisme doit ensuite s’assurer de la licéité du traitement. Il peut soit recueillir le consentement de la personne désormais défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (ce qui exclut les cases pré-cochées !), soit répondre à d’autres principes de licéité : par exemple vérifier que le traitement est nécessaire au respect d’une obligation légale ou à l’exécution d’un contrat.
De façon classique, la confidentialité et la sécurité des données doivent être garanties. Il en va de même pour les droits de la personne concernée qui doit être informée « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » que ses données sont collectées. Cette personne pourra ensuite exercer son droit d’accès aux données et, au besoin, les faire rectifier ou supprimer. Elle peut aussi s’opposer au traitement de ses données.
En ce qui concernant les données personnelles par nature particulièrement sensibles, à savoir les informations révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la santé ou la vie sexuelle, les identifiants de portée générale comme le numéro de sécurité sociale et désormais les données génétiques et les données biométriques, leur traitement est en principe interdit à moins qu’il ne soit autorisé dans des cas spécifiques (notamment l’exécution du droit du travail ou lorsque les données sont manifestement rendues publiques par la personne concernée).
Si les données quittent l’Union européenne, leur transfert ne peut avoir lieu que vers un pays offrant un niveau de protection « adéquat ». Si tel n’est pas le cas (les pays se conformant à ce critère étant peu nombreux), l’organisme a la possibilité de recourir à des clauses contractuelles, des règles contraignantes d’entreprise et, en ce qui concerne les États-Unis, au dispositif spécifique du Privacy Shield. Il peut aussi opter pour deux nouvelles possibilités : des mécanismes de certification/labels et des codes de conduite approuvés.
Enfin, le droit « de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques » concernant la personne ou « l'affectant de manière significative » est réaffirmé. Il s’applique notamment au profilage qui vise à analyser ou prédire le comportement, la situation économique, la santé, les préférences personnelles, les intérêts ou les déplacements d’un individu.
Dans le même temps, le RGPD fixe de nouvelles obligations qui ne figuraient ni dans la directive de 1995, ni dans la loi Informatique et Libertés.
Le changement
Apparaît ainsi un droit au déréférencement et un droit à la portabilité des données personnelles. Ces nouveaux droits doivent être mis en parallèle avec la publication, le 7 octobre 2016, de la loi pour une République numérique7 qui devance certains aspects du règlement. Elle reconnait notamment à toute personne un droit à la libre disposition de ses données numériques sous la forme d’un droit à l’effacement des données pour les mineurs et la possibilité de récupérer, dans certains cas, l’ensemble de ses données dans un standard ouvert, aisément réutilisable.
Par ailleurs, la loi pour une République numérique prévoit de nouveaux droits, que l’on ne retrouve pas au niveau européen : un droit à la mort numérique (possibilité d’exprimer de son vivant ses volontés en définissant des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès) et un droit à la transparence des algorithmes utilisés par l'administration (la personne devant désormais être systématiquement informée via une mention d'information qu'un algorithme a été utilisé afin de prendre une décision le concernant).
Pour sa part, le RGPD entend renforcer la protection des enfants. Si ceux-ci ont moins de 16 ans – voire moins de 13 ans dans certains Etats – le traitement de données personnelles n'est licite que si le consentement est donné par le titulaire de la responsabilité parentale. Il réforme également la répartition des responsabilités entre responsable de traitement et sous-traitant, créant de nouvelles obligations pour ce dernier. Notamment, toute personne ayant subi un dommage du fait d’une violation du règlement peut en obtenir réparation auprès du sous-traitant. En ce qui concerne la sécurité des données, deux obligations apparaissent : l’organisme doit notifier des violations de données personnelles à l’autorité de protection (en France, la CNIL) dans les 72 heures, et communiquer « dans les meilleurs délais » ces violations à la personne lorsque la violation « est susceptible d'engendrer un risque élevé » pour ses droits et libertés. Autre nouveauté, et non des moindre, l’entité doit protéger les données dès la phase de conception d’un produit ou d’un service (« Data protection by design ») et par défaut, notamment en pseudonymisant les données personnelles dès que possible.
Enfin, la nouvelle obligation de responsabilité (principe d’« accountability » issu du droit anglo-saxon) signifie que l’entité qui traite les données personnelles doit être en mesure de démontrer à tout moment qu’elle respecte ses obligations. Outre la tenue obligatoire d’un registre des traitements, elle doit mettre en œuvre des politiques appropriées via une gouvernance globale. Après analyse, elle peut s’appuyer sur les éléments de démonstration qui lui apparaissent les plus appropriés :
- Désignation d’un délégué à la protection des données,
- Conduite d’audits, application d’un code de conduite ou d’un mécanisme de certification approuvés par la CNIL ou le Comité européen de protection des données,
- Réalisation d’une analyse d’impact pour les traitements « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le respect de cette responsabilité renforcée sera assuré par l’autorité de l’Etat de résidence du lieu d’établissement de l’entité (la Cnil pour une entreprise établie en France). Par dérogation, une autre autorité pourra être compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle infraction au règlement, si des personnes sont affectées dans son Etat membre.
Le pilotage
Le RGPD est donc un texte complexe, difficilement abordable à la fois par les entreprises et les citoyens, et ce d'autant plus que beaucoup de questions restent en suspens quant à son application. D’où l’impérieuse nécessité d’anticiper dès à présent son application en prenant en compte les lignes directrices publiés ou en cours de rédaction par le Comité européen de protection des données (actuel G29)8. Concrètement, son respect suppose de piloter la conformité en continu ce qui implique de mettre en place une véritable gouvernance des données personnelles. Si les grands comptes ont déjà lancé leur projet d’adaptation des processus internes9 et des bonnes pratiques pour être prêts en mai 2018, les PME découvrent à peine le sujet.
Il s’agit aussi de favoriser une approche par les risques : recenser tous les traitements de données dans le registre obligatoire, lister les risques actuels et potentiels comme ceux liés aux objets connectés ou aux algorithmes, les hiérarchiser selon leur degré de probabilité et de gravité, établir un calendrier des actions à mener, appliquer effectivement ces mesures et gérer les risques résiduels. Ainsi, nous assistons à la prévalence de la notion de risque, pour l’entité qui traite les données mais aussi, de façon plus nouvelle, pour les droits fondamentaux et intérêts de la personne concernée.
Cette anticipation est d’autant plus importante que les autorités de contrôle, dont la CNIL, pourront prononcer des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, pour une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial. Nous laisserons loin derrière le maximum de 3 millions d'euros d’amende maximal que la CNIL peut imposer depuis le 16 octobre 2016 !
1/ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE L 119/1 du 4.05.2013.
2/ Proposition de Règlement RGPD, COM(2012)11 final, Bruxelles, 25.01.2012.
3/ Le responsable de traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».
4/ Le sous-traitant désigne « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
5/ Voir Levallois-Barth, C. (2013), « Big data et protection des données personnelles : un défi (quasi) impossible ? », in Revue TELECOM, n° 169.
6/ Voir Levallois-Barth, C., Laurent, M. (2015), « La difficile anonymisation des données personnelles », in Revue TELECOM, n° 177.
7/ Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF du 8 octobre 2016.
8/ https://www.cnil.fr/fr/reglement-europeen/lignes-directrices.
9/ Traitement des demandes des personnes concernées, révision des contrats avec les sous-traitants, mise en place de la procédure de notification des violations de données, modalités d’intégration dès la conception d’un produit de la dimension « Données personnelles ».