AccueilDroitProtection des données personnelles : l'adaptation des entreprises aux nouveaux droits du RGPD

Protection des données personnelles : l'adaptation des entreprises aux nouveaux droits du RGPD

Par Vanessa Bouchara, avocat à la cour
Protection des données personnelles : l'adaptation des entreprises aux nouveaux droits du RGPD

Droit Publié le ,

« À l'ère numérique, la vie privée doit être une priorité » (Albert Arnold Gore le 6 Juin 2013)

Après plus de quatre années d'intenses débats parlementaires, le règlement 2016/679 (1) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données entrera le 26 mai 2018 en application, soit dans moins d'une année.

Ce règlement, abrogeant la directive 95/46/CE (2), se veut ambitieux.

En effet, le nouveau RGPD prévoit un niveau élevé de protection des données personnelles, une totale harmonisation des législations et enfin une optimisation de la coopération entre acteurs européens.

La France, par la récente loi n° 2016-1321 (3) et l'éternelle loi n° 78-17(4), peut se targuer d'avoir une législation en avance sur nombre de ses voisins européens. Cependant, le règlement 2016/679 vient tout de même modifier l'état de notre droit.

Le règlement reprend classiquement les grands principes déjà bien connus en France de la protection des données personnelles : loyauté, transparence et sécurité.

Ces principes traditionnels vont cependant évoluer par ce règlement européen et prendre ainsi une toute nouvelle dimension dans une société où la donnée s'impose progressivement comme la matière première de demain.

Érigée en droit fondamental (5) par l'Union européenne depuis déjà plusieurs années, la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel, se voit renforcée par le règlement européen 2016/679 qui en facilite l'exercice et crée par là même de nouveaux droits à l'intention des internautes non professionnels.

Au regard des sanctions encourues, les entreprises se doivent d'assimiler et d'appliquer rapidement le nouveau RGPD.

Plus de transparence pour un consentement renforcé

Le tout nouveau RGPD entend renforcer tout particulièrement la transparence et la loyauté des professionnels vis-à-vis des particuliers.

Pour se faire, il impose aux professionnels la mise à disposition d'une information aisément accessible, concise, transparente et compréhensible aux particuliers concernés par un traitement de leurs données à caractère personnel (6).

Cette transparence permet aux particuliers de renforcer leur consentement qui est la condition sine qua non à toute collecte et au traitement de leurs données à caractère personnel.

En effet, les particuliers dont les données sont en mesure d'être collectées se doivent d'en être tenus informés pour pouvoir être en mesure de s'y opposer à tout instant et particulièrement avant la réalisation de la première collecte.

La charge de la preuve incombant au professionnel responsable du traitement des données, il convient que la matérialisation du consentement du particulier soit dénuée d'ambiguïté.

Cependant, les entreprises ont trop souvent recours aux clauses d'acceptation dites « opt-out » venant vicier toute forme de consentement éclairé des particuliers.

La clause « opt-out » fait fi de toute acceptation expresse de la part du particulier, l'acceptation étant réputée tacitement obtenue. Le particulier ne dispose que de la possibilité de décliner cette clause, si tant est qu'il puisse préalablement s'apercevoir de sa présence.

Nouveauté d'envergure qui vient bouleverser de facto la pratique des clauses « opt-out », une attention particulière est désormais donnée aux enfants de moins de 16 ans (abaissable jusqu'à 13 ans par les législations nationales) dont les données sont en mesure d'être collectées puis traitées (7).

L'article du règlement se veut original, plus en la forme que sur le fond. Ce dernier vise « l'offre directe de services de la société de l'information (8) », ce qui n'est pas le cas concernant le consentement des particuliers majeurs (9).

Cette formulation couvrirait ainsi « tout service fourni, normalement contre rémunération, à distance au moyen d'équipement électronique de traitement (y compris la compression numérique) et de stockage des données, à la demande individuelle d'un destinataire de services » (10). Autrement dit, toute forme de traitement de données telles qu'on les connaît plus classiquement.

En dessous de cette limitation d'âge, le traitement des données personnelles des mineurs n'est licite que si le consentement est donné ou autorisé par son responsable parental.

À cet égard, une obligation de moyen pèse sur le responsable du traitement. Ce dernier se doit de veiller avec la plus grande attention à l'âge de l'internaute dont les données personnelles sont sur le point d'être collectées. Cette vigilance doit également porter sur la forme donnée au consentement même si en pratique, la difficulté probatoire sera grande pour le responsable du traitement.

Confirmation du droit à la portabilité des données

Droit déjà consacré nationalement par la loi pour une République numérique du 7 octobre 2016 (11), le RGPD consacre désormais le droit à la portabilité de ses données à caractère personnel (12) au niveau européen.

Le droit à la portabilité de ses données à caractère personnel permet à tout particulier d'exiger auprès du responsable de traitement de récupérer l'ensemble de ses données personnelles ayant été préalablement collectées par le responsable de traitement et d'être en droit de pouvoir les faire transférer chez un autre responsable de traitement de son choix.

Précision de mise, obligation est faite au responsable de traitement de communiquer ces données sous un format « structuré, couramment utilisé et lisible par machine » (13). L'idée étant d'éviter toute forme de dérive contraire à l'esprit de loyauté devant animer la relation entre le particulier et le professionnel.

Le RGPD encourage ainsi la concurrence entre opérateurs du traitement de la donnée personnelle, à l'instar de ce qui existe déjà dans le milieu de la téléphonie mobile. Avec pour objectif final évident, la mise en place d'un marché européen unique de la donnée dont la libre concurrence en est le corollaire indispensable.

Consécration textuelle du droit à l'oubli

Dans une société de l'information où les réseaux sociaux s'immiscent (à notre bon vouloir) bien trop souvent dans nos vies privées, rendant poreuse la frontière avec la vie publique, le nouveau RGPD vient consacrer textuellement un droit à l'effacement ou à l'oubli (14).

Moins de 3 ans après l'arrêt de la Cour de Justice de l'Union européenne (15), la jurisprudence est déjà retranscrite textuellement.

Ce droit permet d'obtenir l'effacement de ses données personnelles aussi bien détenues par le responsable de traitement lui-même que celles transmises par ce dernier à d'autres opérateurs extérieurs.

C'est ainsi un « droit à la seconde chance » qui est consacré, dans un souci de protection de la vie privée des internautes les moins vigilants, voire même de dignité humaine.

Ce droit est cependant soumis à nombre de conditions particulières de mise en œuvre. Ces conditions sont limitativement énumérées par le règlement.

De plus, des exceptions sont également prévues. Ces dernières sont particulièrement larges, à l'antipode même des conditions d'application de ce droit, faisant du droit à l'oubli plus une exception qu'un principe et permettant dès lors au professionnel responsable du traitement de s'y opposer relativement aisément.

L'invocation du droit à la liberté d'expression, entre autres, suffirait ainsi à refuser l'exercice du droit à l'oubli par l'internaute concerné. Il conviendra néanmoins d'observer attentivement l'évolution de la jurisprudence de la CJUE et l'interprétation faite au texte sur cette question.

Évolution du CIL en DPO

Désormais bien connu du monde des professionnels, le Correspondant informatique et Liberté (CIL), institué par la loi n° 78-17 (16), va connaître une de ses plus grosses évolutions depuis son décret d'application de 2005 (17).

Auparavant facultative, la nomination d'un DPO est désormais obligatoire pour de nombreuses entreprises.

C'est en effet le cas pour l'ensemble du secteur public mais aussi pour certains acteurs du secteur privé. Sont ainsi visées les entreprises dont les activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore les entreprises dont les activités principales les amènent à traiter des données sensibles ou relatives à des condamnations pénales et infractions (18).

Pour les autres entreprises, la désignation d'un DPO reste totalement facultative, même si fortement recommandée au regard des sanctions encourues en cas de non-respect des règles en matière de traitement des données personnelles.

Pour les entreprises de moindre échelle, il leur est logiquement laissé la possibilité d'avoir recours à un DPO externe ou mutualisé afin d'en réduire les coûts. Les avocats seront sans nul doute les premiers sollicités pour cette charge.

Au-delà de sa désignation rendue obligatoire pour certaines entreprises, la mission du DPO connaît une forte évolution comparée à celle du CIL. Cette évolution se caractérise par l'augmentation du pouvoir et de l'importance du DPO au sein de l'entreprise.

Le DPO devient l'acteur incontournable des responsables de traitement en qualité d'expert en conformité.

Il est ainsi principalement chargé des missions suivantes :

- informer et conseiller l'entreprise quant aux obligations qui s'imposent à elle en matière de traitement et de protection des données personnelles collectées ;

- contrôler le respect du RGPD et de la législation nationale en matière de protection des données ;

- coopérer avec la CNIL et en être ainsi l'interlocuteur privilégié (19)

Le DPO s'impose, par ce règlement, comme le futur acteur indispensable à toute entreprise réalisant un traitement de données à caractère personnel.

Sa désignation représente un évident gain de ressources pour l'entreprise qui s'évite de possibles sanctions en cas de non-respect des règles en matière de traitement et de protection des données personnelles, pouvant se révéler souvent très importantes.

Renforcement des sanctions encourues par les responsables de traitement

Se voulant plus opérationnel, le nouveau RGPD vient renforcer et diversifier les sanctions encourues en cas de méconnaissance des dispositions du règlement.

En effet, les responsables de traitement et les sous-traitants, qui sont désormais soumis à un régime commun (20), peuvent désormais faire l'objet de sanctions administratives diverses et souvent très lourdes (21) par les autorités de contrôle.

La CNIL voit ainsi son pouvoir de sanction fortement renforcé permettant une fois de plus d'augmenter la crédibilité de cette autorité administrative qui a déjà su faire ses preuves depuis de nombreuses années.

Parmi le panel de nouvelles sanctions proposées aux autorités de protection et de contrôle, qui restent somme toute assez classiques, l'évolution la plus marquante reste celle du montant des amendes administratives encourues par les responsables de traitement en cas de violation du RGPD.

Ces dernières peuvent désormais s'élever pour les entreprises à 2 % de leur chiffre d'affaires annuel mondial total ou 10 000 000 euros, le montant le plus élevé étant celui retenu par l'autorité de protection et de contrôle.

Le montant particulièrement élevé de la sanction doit ainsi pousser les entreprises à être particulièrement vigilantes au respect du RGPD.

L'ambition donnée au RGPD par l'Union européenne est à la fois grande et très traditionnelle : renforcer les droits des particuliers, simplifier les démarches des entreprises, coordonner les différents acteurs et enfin harmoniser les législations nationales des États membres.

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(3) Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique

(4) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

(5) JO C 229 du 31.7.2012, p.90

(6) Article 7 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(7) Article 8 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(8) Article 8 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(9) Article 7 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(10) (17) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »)

(11) LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique

(12) Article 20 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(13) Article 20 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(14) Article 17 du Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(15) CJUE « Google Spain » 13 mai 2014

(16) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

(17) Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

(18) Article 37 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(19) Article 39 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(20) Article 28 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(21) Article 83 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 24 juin 2022

Journal du24 juin 2022

Journal du 17 juin 2022

Journal du17 juin 2022

Journal du 10 juin 2022

Journal du10 juin 2022

Journal du 03 juin 2022

Journal du03 juin 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?