Le petit juriste Site de la revue d'actualité juridique
Issu d’un long processus législatif, le règlement européen n°2016/679 sur les données personnelles entrera en application le 25 mai 2018. Il consacre un nouveau système de protection des données personnelles particulièrement exigeant à l’égard des responsables de traitement.
Le traitement des données personnelles au sein de l’Union européenne était jusqu’alors régi par la directive n°95/46/CE du 24 octobre 1995. Les lois nationales des Etats membres y ont apporté quelques nouveautés au fil des progrès technologiques, comme en France avec la Loi pour la confiance dans l’économie numérique du 21 juin 2004. Ces textes soumettent les responsables de traitement à un formalisme important.
Le nouveau règlement de 88 pages, intégré dans un « paquet données personnelles » avec la directive n°2016/680, inverse la logique de contrôle du traitement de données en supprimant ce formalisme et en créant une obligation d’autocontrôle pour les responsables de traitement.
Champ d’application du règlement
Le champ d’application matériel du règlement demeure le même que dans la directive de 1995 : les données personnelles sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le texte apporte toutefois des précisions sur de nouvelles notions comme les données biométriques ou le profilage.
Ratione loci, le règlement s’applique au traitement de données réalisé au sein de l’Union européenne mais également depuis des pays tiers, dès lors qu’il est destiné à proposer des biens ou services à des résidents européens. Ce champ d’application étendu permet notamment d’englober les GAFAs (géants du Web tels que Google, Apple, Facebook, Amazon).
La protection des droits fondamentaux des citoyens
L’un des objectifs du processus législatif était de renforcer la protection des droits fondamentaux des citoyens européens, et notamment du droit à la vie privée.
Le règlement reprend ainsi le principe du consentement explicite du citoyen au traitement de ses données personnelles. Il prévoit de faciliter le droit d’accès, de rectification et d’effacement des données.
Il consacre en outre de nouvelles prérogatives comme le droit d’information en cas de piratage ainsi que le droit à la portabilité des données, qui doit permettre au consommateur de transférer facilement son dossier d’un prestataire à un autre. L’objectif de ce nouveau droit est de renforcer la concurrence entre opérateurs sur le marché commun, par exemple en matière de téléphonie ou de services bancaires.
Enfin, de nouvelles mesures sont prévues en matière de profilage et de protection des mineurs.
Le règlement ménage toutefois une exception notable à la protection de la vie privée. Ainsi, chaque Etat a la possibilité de limiter législativement les droits des citoyens et les obligations des responsables de traitement s’il justifie de motifs de sécurité nationale. Sous couvert d’impératifs d’ordre public, le droit à la vie privée pourrait donc être remis en question.
Une nouvelle logique de responsabilisation des entreprises
L’innovation principale du règlement concerne le contrôle du traitement des données personnelles.
Ainsi, la notification préalable du traitement à un organisme de contrôle est supprimée, réduisant considérablement les formalités administratives pour les responsables de traitement. En contrepartie de cet allègement, ces derniers seront soumis à de nouvelles obligations : sans contrôle externe préalable, ils devront assurer eux-mêmes la conformité de leurs processus de traitement de données au règlement.
Ce nouveau « principe de conformité », inspiré du droit anglo-saxon, prévoit que le responsable de traitement doit assurer une protection adéquate des données personnelles pour chaque nouveau produit ou service conçu (on parle alors de « privacy by design ».) Un principe de minimisation lui impose également de limiter le nombre de données traitées au strict nécessaire. Enfin, il doit à tout moment être en mesure de prouver qu’il respecte le règlement européen.
Le responsable de traitement agit donc de manière autonome dans le traitement des données personnelles. Ce n’est qu’en cas de violation des règles de protection qu’il devra informer la CNIL (Commission nationale de l’informatique et des libertés) dans un délai de 72 heures.
Pour répondre à ces nouvelles obligations et se ménager la preuve du respect du règlement, les entreprises vont devoir repenser le traitement des données personnelles, par la mise en place de nouveaux outils et stratégies internes. Le règlement leur fournit des pistes de travail : mesures techniques et organisationnelles, codes de bonne conduite, certifications (accordées par la CNIL et ses homologues ou par des organismes de certification indépendants) ou encore tenue d’un registre d’activités de traitement de données, seront nécessaires pour satisfaire aux exigences du règlement.
Les entreprises qui traitent des données personnelles sensibles (de type médical par exemple) ou qui assurent la surveillance de zones publiques auront en outre l’obligation de réaliser une « étude d’impact sur la vie privée » de leurs traitements. Il s’agit de présenter les caractéristiques du traitement, les risques encourus et les mesures prises pour limiter ces risques. Si l’étude révèle un risque important, le responsable de traitement doit en informer la CNIL, qui rendra un avis pour valider ou s’opposer au traitement des données. Une fois de plus, l’autorité de contrôle n’intervient qu’en dernier lieu dans le contrôle du traitement des données.
Enfin, les sous-traitants des responsables de traitement sont désormais soumis aux mêmes obligations que leurs clients. Ils peuvent également adopter des codes de bonne conduite ou obtenir des certifications.
Malgré ces nombreuses obligations, le règlement fait preuve d’une certaine souplesse. Ainsi, les responsables de traitement de données ne doivent remplir leurs obligations que dans la limite de l’état actuel des connaissances et en fonction du coût de mise en œuvre des processus. Cette limitation vise notamment les PME (petites et moyennes entreprises) qui ne peuvent financer de lourds dispositifs de contrôle. Une fois de plus, le droit à la protection des données personnelles pourra être limité pour des motifs, cette fois, d’ordre économique.
Un nouvel acteur du traitement des données personnelles : le DPO
Le règlement institue un nouvel acteur afin d’accompagner les entreprises dans la mise en place de ces nouveaux processus : le Délégué à la Protection des Données, également désigné sous l’acronyme anglais « DPO » (pour « Data Protection Officer »). Il s’agit du successeur du CIL (Correspondant Informatique et Libertés), dont certaines entreprises ont déjà modifié la dénomination en prévision de l’entrée en vigueur du nouveau règlement.
Le DPO intervient obligatoirement dans les entités du secteur public et dans les entreprises qui réalisent un suivi régulier et systématique des personnes à grande échelle ou qui traitent à grande échelle des données sensibles.
Ce nouvel acteur dispose de fonctions élargies. Il informe, conseille et sensibilise le responsable de traitement et ses employés sur les obligations qui leur incombent, contrôle le respect des règles applicables et assure la mise en place des différents outils de protection des données personnelles.
Le DPO est également un lien entre les différents acteurs du traitement de données: il est ainsi l’interlocuteur du responsable de traitement, de ses employés, des autorités de contrôle et des personnes dont les données sont traitées. A ce titre, il est soumis au secret professionnel.
Afin qu’il puisse assurer l’ensemble de ces missions, l’entreprise doit lui assurer une indépendance fonctionnelle et des ressources suffisantes.
Un contrôle a posteriori du traitement des données personnelles
Les formalités administratives préalables étant supprimées, la CNIL et ses homologues européens pourront désormais se consacrer au contrôle a posteriori des traitements de données.
Cette mission est répartie entre les autorités de contrôle des Etats membres selon un système de guichet unique : les entreprises sont contrôlées par l’entité du lieu où se trouve leur établissement principal dans l’Union européenne. Une action coordonnée entre plusieurs autorités est également possible, avec la désignation d’un chef de file. Afin d’assurer l’efficacité de ce système, chaque autorité de contrôle devra reconnaitre les décisions de ses homologues européens.
Ces contrôles pourront donner lieu à des sanctions financières, qui sont également renforcées par le règlement : elles pourront désormais atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial du responsable de traitement, le montant le plus élevé étant retenu. Ces chiffres sont multipliés par deux en cas de récidive.
Ces sanctions poursuivent un but dissuasif, notamment vis-à-vis des GAFAs dont les condamnations s’élèvent aujourd’hui à des montants très faibles au regard de leur chiffre d’affaires (en témoigne par exemple la décision de la CNIL du 16 mai 2017 à l’encontre de Facebook, condamné au paiement de l’amende maximale de 150.000 euros).
Des sanctions pénales sont également prévues par le règlement.
Par ailleurs, le texte ouvre un droit d’action aux acteurs de la société civile. Ainsi, à l’instar des actions de groupe en droit de la consommation, il permet aux associations de protection des données personnelles d’introduire des recours collectifs en matière de traitement des données.
Enfin, les citoyens eux-mêmes peuvent former des recours individuels contre les responsables de traitement de données, si la violation du règlement 2016/679 leur a causé un préjudice matériel ou moral.
Nathalie MATERNE
Ecole des avocats Sud-Ouest Pyrénées
Pour en savoir plus :
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Article de la CNIL : « Règlement européen sur la protection des données : ce qui change pour les professionnels » (15 juin 2016)
