RGPD / GDPR : tout ce qu’il faut savoir
Les données personnelles selon le RGPD
A qui s’applique le RGPD ?
Les principes du Privacy by design / Privacy by defaut
L’Accountability : nouvelle logique de protection des données personnelles
(DPO) Le délégué à la protection des données
Le RGPD renforce le droit des personnes (droit à l’oubli, droit de rectification …)
Le transfert de données personnelles plus flexible vers les pays tiers
Qui contrôle le respect du RGPD ?
Le RGPD prévoit de lourdes sanctions
Le règlement général sur la protection des données personnelles (dit RGPD ou GDPR pour l’acronyme anglais) constitue le nouveau cadre juridique de la protection des données personnelles unifié au sein de l’Union européenne (Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOUE n° L 119, 4 mai). Le RGPD (GDPR), adopté le 27 avril 2016, est entré en vigueur le 24 mai 2016 et est applicable à compter du 25 mai 2018. Il abroge la directive 95/46/CE du 24 octobre 1995. La loi Informatique et Libertés (LIL) n° 78-17 du 6 janvier 1978, fait l’objet d’une refonte afin de permettre la mise en conformité de notre droit national aux exigences issues du RGPD directement applicable et préciser les dispositions qui sont laissées à la compétence des Etats membres de l’Union européenne.
Les données à caractère personnel se définissent comme toute donnée se rapportant à une personne directement ou indirectement identifiable. Les personnes concernées sont tout utilisateur final dont les données à caractère personnel peuvent être recueillies (RGPD, art. 4). Le RGPD s'applique dès lors qu'il y a traitement de données à caractère personnel. Le traitement est reconnu dès la collecte, la consultation ou la conservation de la donnée, la communication et même la valorisation de la donnée. Le règlement général sur la protection des données personnelles renforce la notion de consentement de l’utilisateur final (RGPD, art. 7 et 8). Il définit explicitement certaines données comme les données biométriques, les données génétiques et introduit la notion de pseudonymisation. Le RGPD interdit par principe le traitement de certaines données personnelles : les données sensibles (données qui révèlent l’origine ethnique des personnes, leur opinion politique, leurs orientations religieuses, philosophiques, sexuelles, leur appartenance syndicale, leur santé, les données biométriques, génétiques, les condamnations pénales) (RGPD, art. 9 et 10). Plusieurs exceptions sont néanmoins prévues au principe d’interdiction (RGPD, art. 9, 2).
Le règlement général sur la protection des données personnelles s’applique à toutes les entreprises privées ou publiques, tous les organismes publics (autorités publiques) ou privés, responsables de traitement ou sous-traitant traitant des données personnelles, dès lors qu’ils exercent leur activité sur le territoire de l’Union européenne. L‘application du RGPD repose sur deux critères alternatifs et successifs (RGPD, art. 3): - l'existence d'un établissement sur le territoire de l'Union qui participe au traitement dans le cadre de ses activités, que le traitement lui-même ait lieu ou non dans l'Union ; - un résident européen est ciblé par un traitement de données à des fins commerciales (fourniture de biens ou de services même gratuits) ou de suivi régulier de comportement, cela même si ni le responsable de traitement, ni le sous-traitant ne sont établis sur le territoire de l'Union européenne.
Le RGPD implique le responsable de traitement ou le sous-traitant qui devront jouer un rôle actif et continu dans la garantie de la conformité du traitement des données personnelles. Il consacre ainsi les principes de Privacy by design et Privacy by default (RGPD, art. 25). Le principe du Privacy by design impose d’assurer la protection de la vie privée dès la phase de conception du design du projet de traitement en intégrant les contraintes juridiques et techniques. Le principe du Privacy by defaut met à la charge du responsable de traitement de garantir que ne seront collectées que les données, dans un périmètre limité, pour une durée de conservation strictement nécessaires à la finalité du traitement. De ces deux notions découlent plusieurs principes consacrés par le RGPD tel que par exemple la pseusonymisation ou la minimisation qui a pour objectif de réduire la gravité des risques d’atteinte aux données personnelles (RGPD, art. 4, 5 et 5,1,c).
Le règlement européen données personnelles recentre la logique de responsabilisation sur le responsable du traitement ou son sous-traitant, responsables conjoints de toute violation des règles applicables à la protection des données personnelles (RGPD, art. 24 s.). Le responsable de traitement et le sous-traitant devront de façon continue durant la durée de vie du traitement assurer sa conformité aux obligations imposées par le RGPD et mettre en place des mesures de sécurité techniques et organisationnelles appropriées (RGPD, art. 32 s.). C’est le principe d’Accountability qui répond à la logique de compliance au cœur du RGPD: être responsable de la conformité et devoir rendre compte de cette conformité. Le RGPD prévoit des outils pour permettre d’assurer cette conformité lors de la collecte, du traitement, de la conservation des données (étude d’impact sur la vie privée –EIVP ou PIA-, registres de la conformité nécessaires pour documenter toutes les actions entreprises pour se mettre en conformité ; RGPD, art. 30, 35 s.) avec l’aide du délégué à la protection des données (DPO) (RGPD, art. 35 s., 37 s.) . Il introduit un nouveau mode probatoire. Le responsable de traitement et le sous-traitant doivent être en mesure de pouvoir démontrer, à tout moment et par tous moyens, aux autorités de contrôle qu’ils respectent bien les règles applicables.
Le délégué à la protection des données ou DPO (pour Data protection officer) succède au correspondant Informatique et Libertés (CIL) (RGPD, articles 37, 38 et 39) Le RGPD impose la désignation d’un DPO dans certains cas (traitement à grande échelle constituant un suivi régulier et systématique des personnes concernées ou concernant des données sensibles) mais la recommande plus généralement aux responsables de traitement et aux sous-traitants pour faciliter le respect de la conformité aux règles applicables (Accountability). Le DPO joue le rôle d'un chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne. Il assure la sécurité juridique du traitement des données personnelles. Il peut également être l’interlocuteur approprié de la CNIL et des personnes concernées pour l’exercice de leurs droits
Le règlement général sur la protection des données personnelles renforce les droits des personnes que prévoyaient la Loi Informatique et Liberté (LIL) comme le droit d’information (RGPD, art. 13 et 14), le droit d’accès (RGPD, art. 15) et introduit de nouveaux droits : le droit à la limitation du traitement (RGPD, art. 18), le droit de s’opposer au profilage, le droit à la portabilité des données (RGPD, art. 20) ou encore le droit à l’effacement également appelé « droit à l’oubli » (RGPD, art. 17) et le droit de rectification (RGPD, art. 16). Le profilage (RGPD, art. 4,4) et la mise en place de décisions individuelles automatisées sont soumis à des obligations renforcées pour le responsable de traitement en matière d’information des personnes, de licéité du traitement et de droits des personnes (RGPD, art. 22).
Le règlement européen données personnelles autorise les transferts ou « flux transfrontières » vers les pays tiers, c'est-à-dire tous les pays qui n'appartiennent pas à l'Espace économique européen (la Norvège, l'Islande et le Liechtenstein), ainsi que vers des organisations internationales (RGPD, art. 4, 26) dans certaines conditions. Le responsable de traitement doit vérifier si la législation du pays tiers destinataire a été reconnue par la Commission comme offrant un niveau de protection adéquat. En cas de décision d'adéquation, aucune formalité particulière ne sera nécessaire (RGDP, art. 45). En l’absence de décision d’adéquation, le transfert est possible s’il existe des garanties appropriées qui ne nécessite pas une autorisation particulière d’une autorité de contrôle (RGPD, art. 46). Les garanties appropriées peuvent être : des règles d’entreprise contraignantes (BCR « binding corporate rules »), un code de conduite d’un groupe de sociétés approuvé par une autorité de contrôle (RGPD, art. 47), des « clauses contractuelles types » de protection des données adoptées par la Commission ou par l’autorité de contrôle nationale (RGPD, art. 46), un code de conduite (RGPD, art. 40) ou un mécanisme de certification (RGPD, art. 42). Des dérogations pour des situations particulières sont prévues (RGPD, art. 49).
Les États membres peuvent instituer une ou plusieurs autorités de contrôle chargées de surveiller l'application du règlement européen données personnelles (RGPD, art. 51). Une seule doit les représenter au comité européen de protection des données (RGPD, art. 68 s.). L'État membre doit mettre en œuvre une procédure de gestion du mécanisme de contrôle de la cohérence (RGPD, art. 60 s.). Le RGPD crée les notions d’autorité chef de file et de guichet unique pour améliorer la coopération entre les autorités de contrôle nationales dans le cadre d’un traitement transfrontalier (RGPD, art. 56). Une autorité de contrôle parmi les autorités de contrôle européennes est désignée comme autorité chef de file et intervient à ce titre comme seule interlocutrice du responsable du traitement ou du sous-traitant pour les traitements transfrontaliers. Chaque organisme auquel le RGPD s’applique aura son autorité chef de file.
Le règlement général sur la protection des données personnelles a renforcé le pouvoir de sanction de la CNIL en augmentant le plafond des amendes administratives. Elles peuvent aller de 10 à 20 M€ ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial (RGPD, art. 83). Les Etats peuvent déterminer le régime des autres sanctions applicables en cas de violation des obligations prévues par le RGPD comme les sanctions pénales (RGPD, art. 84).