Le Règlement Général sur la Protection des Données (“RGPD) ou “General Data Protection Regulation” (« GDPR »), constitue le changement le plus important jamais apporté à la loi sur la protection des données depuis trois décennies. Il entrera en vigueur le 25 mai 2018.

Ce Règlement va renforcer les exigences concernant deux points clés :

–          La sécurité ;

–          Les activités de traitement des données personnelles.

Il s’appliquera uniformément dans les 28 États membres, qui connaissent aujourd’hui une forte disparité des régimes de protection des données.

En 2016, IDC (“International Data Corporation”), a réalisé auprès de décideurs et responsables RH, une enquête relative à la Gestion du Capital Humain (« Human Capital Management Survey ») en Europe occidentale.

Les résultats sont éloquents :

  •  Pour 1/3 des personnes interrogées, les questions de confidentialité des données et d’évolution de la législation, comme le RGPD, étaient considérées comme une préoccupation majeure.
  •  76 % des participants considèrent toujours la confidentialité des données et la conformité comme des facteurs influant sur la décision d’achat d’une solution de gestion du capital humain (HCM).

 

  •  En ce qui concerne les entreprises, le but du RGPD est d’unifier et de simplifier la règlementation existante, posant de nouveaux principes et obligations, notamment :

–          La vérifiabilité ;

–          L’« accountability »/la responsabilisation de l’entreprise : la capacité de l’entreprise à rapporter la preuve de sa conformité avec le nouveau texte.

En effet, le RGDP renverse la charge de la preuve en imposant à l’entreprise de consigner, dans un registre, les informations relatives à la mise en conformité : l’entreprise est désormais responsabilisée. Elle est pro-active et ne se contente plus de faire une déclaration préalable à la CNIL, mais elle doit sans arrêt lister les manquements commis dans l’entreprise sur un registre en interne.

Il s’agit d’une différence notable avec la situation antérieure : l’entreprise devait faire une déclaration préalable à la CNIL, et cette dernière devait ensuite démontrer les manquements commis par l’entreprise. Le responsable du traitement disposait d’un délai pour régulariser la situation, à partir du moment où les manquements relevés par la CNIL lui étaient notifiés.

Compte tenu de ces nouvelles obligations pour les entreprises, les responsables de traitement doivent s’atteler à mener les actions nécessaires en amont, afin d’être fins prêts pour le 25 mai 2018, et notamment : faire des audits, des états des lieux des traitements, mettre en place des chartes de conduite et des procédures à suivre concernant la vie privée et la sécurité des données, tout en sensibilisant les entreprises sur tous ces sujets.

 

  • En ce qui concerne les particuliers, le but du texte est de renforcer le contrôle de l’utilisation de leurs données personnelles :

–         Les particuliers pourront désormais faire des réclamations contre l’utilisation abusive de leurs données auprès d’une autorité unique, au lieu de se tourner vers l’entreprise détentrice des données ;

–         Ils pourront également se joindre à des recours collectifs par l’intermédiaire des organisations représentatives qui pourront agir de leur propre chef, si la loi nationale l’y autorise.

 

  • En ce qui concerne l’étendue de l’application du RGPD, ce dernier s’applique dès lors que :

–          Le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne ;

–          Le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais « monitor »).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Nous étudierons ci-dessous les grandes nouveautés apportées par ce texte, pour le moins révolutionnaire, s’il en est, d’une part pour les entreprises et d’autre part, pour les particuliers.

1.       Pour les entreprises :

Etude d’Impact sur la Vie Privée (« EIVP ») avant la mise en place d’un traitement de données

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.

En cas de risque élevé, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les CNIL européennes pourront s’opposer au traitement, à la lumière de ses caractéristiques et conséquences.

Avec cette disposition, le RGPD introduit ainsi le concept de prise en compte du respect de la vie privée dès la conception du traitement : les différentes obligations pesant sur la collecte des données doivent être prises en compte dès la conception du traitement de données (« privacy by design and by default »).

Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements – Création des délégués à la protection des données (« Data Protection Officer »)

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.

C’est dans ce cadre que le RGPD rend obligatoire la nomination d’un Délégué à la Protection des Données (« DPD » ou, en anglais, « DPO » : « Data Protection Officer ») pour les organismes privés ou publics dont :

–          « Les activités de base (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées » ;

–          « Le traitement est effectué par une autorité publique ou un organisme public », à l’exception des juridictions. (Article 37)

Ce délégué n’est obligatoire que dans les cas susvisés.

Cependant, compte tenu du fait que toute entreprise ou administration doit être capable, à tout moment, de rendre compte à l’autorité de contrôle de l’état de ses traitements de données, il est fortement recommandé de le nommer systématiquement.

Par exemple, sont concernés une clinique ou une société de vidéosurveillance dont le respect de la vie privée se trouve au cœur de leur activité respective.

Le rôle du Délégué à la Protection des Données (« DPD ») sera de :

–          Garantir la conformité des traitements de données avec les principes de protection de la sphère privée, tels que fixés par le RGPD,

–          De gérer les relations entre les personnes concernées (employés, clients) et les autorités de surveillance.

 

Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

 Les autorités de protection peuvent notamment :

Prononcer un avertissement ;

  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union Européenne.

Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.

Il convient de noter que ces sanctions contrastent avec les dispositions de la directive 1995/46/CE, qui prévoyait jusqu’ici simplement la possibilité, pour la personne dont les droits avaient été violés, de recourir aux tribunaux et d’obtenir du responsable du traitement la réparation de son préjudice !

En outre, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD, a le droit d’obtenir réparation du préjudice subi, tant matériel que moral, de la part du responsable du traitement ou du sous-traitant.

 

2.       Pour les particuliers :

Consentement renforcé de l’utilisateur

Comme indiqué ci-dessus, il est instauré un « privacy by design » : notion de respect de la vie privée qui est prise en compte dès la conception d’un système d’information, d’une base de données, d’une application. Dès lors, une application insuffisamment sécurisée ne serait donc pas conforme.

L’entreprise doit placer le curseur sur le niveau le plus élevé concernant la protection de la vie privée : chaque fois qu’elle initie un traitement, elle doit obtenir le consentement express (opt-in) et spécifique de l’utilisateur.

Cependant, certaines dérogations sont prévues, pour lesquelles le traitement demeure licite, même sans consentement (Article 6, b) à f)) :

Le traitement est nécessaire à l’exécution d’un contrat accepté par la personne ;

  • Le traitement découle d’une obligation légale ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ;
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.

 

Droit à la portabilité et à l’effacement des données

Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Concernant l’effacement des données, désormais possible, l’article 17 du RGPD dispose : « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais ».

Pour ce faire, la personne doit fournir l’une des raisons suivantes : la personne concernée retire son consentement, la personne concernée s’oppose au traitement à des fins de prospection, les données ont fait l’objet d’un traitement illicite, les données ne sont plus nécessaires, les données doivent être effacées pour respecter une obligation légale, les données ont été collectées dans le cadre d’une offre de service à destination de mineurs.

 

Notification des violations de données personnelles (« Data Breach Notification »)

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.

Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier la violation à l’autorité de protection des données, dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

De leur côté, les personnes concernées par la violation des données doivent également être notifiées dans les meilleurs délais, sauf si des mesures de protection ont été mises en œuvre ou seront prises ultérieurement.

 

Le transfert des données est soumis à vérification et peut être demandé par la personne elle-même

Les transferts de données personnelles vers des pays étrangers sont désormais soumis à la vérification des garanties offertes par les lois de ce pays, pour préserver un niveau de sécurité équivalent pour les données.

L’article 45 du RGPD prévoit que le pays destinataire devra être listé par la Commission européenne. A défaut, des clauses de garantie spéciales devront être prévues dans les contrats, outre la possibilité de recourir à des codes de conduite, des certifications et autres labels. Auquel cas, il ne sera pas nécessaire d’obtenir une autorisation auprès de l’autorité nationale du pays d’origine des données.

En outre, l’article 49 du RGPD prévoit que, si le traitement nécessitait de recueillir le consentement de la personne, alors celle-ci devra être informée du transfert de ses données et des risques que présentent l’opération. Ceci, afin de permettre à la personne de revenir éventuellement sur son consentement.

Enfin, les personnes dont les données sont collectées disposent, elles-mêmes, d’un droit à demander le transfert des données les concernant (ou « droit à la portabilité des données ». Cf. ci-dessus) vers un autre fournisseur de services : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées, y fasse obstacle ». (Article 20)

Restriction du profilage automatisé servant de base à une décision

L’article 21 du RGPD dispose : « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », sauf : (i) si ce traitement est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou (ii) si la décision est autorisée par le droit de l’Union Européenne, ou (iii) si le consentement explicite de la personne concernée a été recueilli en amont.

En conclusion, le RGPD fait figure de texte novateur dans un domaine en perpétuel changement, compte tenu des avances extrêmement rapides de la technique (Cf. le Big Data, l’Intelligence artificielle qui nécessitent de disposer de bases de données gigantesques et donc difficiles à contrôler), et même si certaines dispositions paraissent obsolètes ou le seront dans un avenir proche, il n’en a pas moins le mérite d’exister et de faire évoluer les pratiques au niveau européen. Pour le plus grand bien de tous : entreprises (qui seront davantage protégées et soucieuses de respecter de meilleures pratiques) et particuliers (qui auront davantage accès à leurs données personnelles et aux conséquences de leur utilisation).

Échanger en live Contacts