Entré en vigueur le vendredi 25 mai 2018, le Règlement Général sur la Protection des Données vise à concilier deux principes fondamentaux : la protection de la vie privée et la libre circulation de l’information. Quelles obligations pèsent désormais sur les entreprises ? De quels droits bénéficient les personnes physiques ?
Entré en vigueur le vendredi 25 mai 2018, le Règlement Général sur la Protection des Données vise à concilier deux principes fondamentaux : la protection de la vie privée et la libre circulation de l’information. Quelles obligations pèsent désormais sur les entreprises ? De quels droits bénéficient les personnes physiques ?
Le RGDP : qu’est-ce que c’est ?
Le RGPD est la contraction du Règlement Général sur la Protection des Données. Le RGPD a son sigle en anglais, à savoir GDPR pour General Data Protection Regulation.
Il s’agit plus précisément du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Ce texte comporte 99 articles et a été publié au Journal Officiel de l’Union européenne le 4 mai 2016. L’article 99 de ce Règlement a prévu son entrée en vigueur le 24 mai 2016, soit le vingtième jour de sa publication, et une application sur tout le territoire communautaire à partir du vendredi 25 mai 2018.
Il convient de rappeler la valeur juridique de ce texte. L’article 288 du traité sur le fonctionnement de l’Union européenne dotent les institutions européennes de cinq outils juridiques : règlements, directives, décisions, recommandations et avis, aux fins d’exercer les compétences de l’Union. Les règlements ont une valeur juridique supérieure que l’on pourrait comparer à celles conférées aux lois organiques dans la hiérarchie de notre droit interne. Le deuxième alinéa de l’article 288 dispose que « Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. » Autrement dit, le RGPD, comme tout règlement communautaire, est applicable de plein droit depuis le vendredi 25 mai 2018, dans tous les états de l’Union européenne, peu importe qu’ils s’y soient préparés ou pas.
S’agissant de la valeur juridique du règlement, la Cour de Justice de l’Union Européenne précise qu’« en raison de sa nature même, et par sa fonction dans le système des sources du droit communautaire, » il « produit des effets immédiats et est, comme tel, apte à conférer aux particuliers des droits que les juridictions nationales ont l’obligation de protéger ».
Cet article est aussi l’occasion de rappeler le principe dit de primauté du droit communautaire sur le droit national des États, ce qui implique qu’en cas de conflit entre une norme communautaire et une norme de droit interne, l’application de la seconde devra systématiquement être écartée au profit de la première. C’est la Cour de Justice de l’Union Européenne qui a pris clairement position en faveur de cette supériorité du droit communautaire dans son célèbre arrêt Costa contre Enel rendu le 15 juillet 1964, lequel précise « issu d’une source autonome, le droit communautaire né du traité ne pourrait donc, en raison de sa nature spécifique originale, se voir judiciairement opposer un texte interne quel qu’il soit, sans perdre son caractère communautaire et sans que soit mise en cause la base juridique de la Communauté elle-même ».
Tous les citoyens peuvent se prévaloir donc depuis le 25 mai 2018 des dispositions du RGPD, lesquelles imposent dans le même temps des obligations nouvelles aux entreprises, indépendamment des dispositions adoptées par les États membres. Ces derniers ne peuvent pas s’opposer directement ou indirectement à l’application effective de toutes les dispositions de ce Règlement, par exemple en prenant ou en conservant de façon active dans leurs droits nationaux respectifs des textes en opposition avec les normes nouvellement imposées par le RGPD.
Le RGPD : quel champ d’application ?
Selon l’article 2 1. du RGPD, ses dispositions s’appliquent à tout traitement automatisé en tout ou en partie ou non automatisé de données à caractère personnel. Le traitement vise par exemple les cas de la collecte de données, de la conservation de données ou de la transmission de données.
L’article 4 1) du RGPD, quant à lui, définit les données à caractère personnel comme étant celles permettant l’identification directe ou indirecte d’une personne physique. Il peut s’agir par exemple de votre nom, de votre e-mail, de votre adresse IP, de votre numéro de plaque d’immatriculation, etc.
Ainsi, toute entreprise collectant des données personnelles se trouve soumise automatiquement aux obligations du RGPD.
Vous ne le savez peut-être pas mais de nombreuses plateformes en ligne collectent vos données. Sous l’apparence d’un service « gratuit », ces dernières stockent ainsi vos données qui sont une grande source de richesse pour elles.
RGPD : qui est concerné ?
Les obligations du RGPD pèsent sur différents acteurs.
Tout d’abord, les responsables de traitement sont soumis aux obligations du RGPD. L’article 4 7) du RGPD définit le responsable de traitement comme celui (personne physique ou morale, autorité publique, service ou organisme pris seul ou conjointement avec d’autres intervenants) qui détermine les moyens et les finalités du traitement. Ainsi, si une entité détermine pourquoi elle traite des données et comment elle les traite, cette entité sera considérée comme responsable de traitement au sens du RGPD.
Ensuite, les sous-traitants sont également soumis à des obligations spécifiques.
L’article 4 8) définit ce qu’est un sous-traitant : Il s’agit de ceux traitant des données à caractère personnel pour le compte d’un responsable de traitement.
Avant le RGPD, les obligations relatives à la protection des données ne s’imposaient qu’aux responsables de traitement. Cependant, l’article 28 du Règlement consacré aux sous-traitants prévoit notamment que les sous-traitants doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité des traitements.
Désormais, il existe donc une responsabilité conjointe entre le responsable de traitement et le sous-traitant.
Le fait d’imposer des obligations aux sous-traitants témoigne de la logique de responsabilisation de tous les acteurs voulue par le RGPD.
RGPD : quelles obligations ?
Les entreprises qualifiées de responsables de traitement doivent respecter différentes obligations énoncées à l’article 5 du RGPD.
Les données qu’elles collectent doivent être :
traitées de manière licite, loyale et transparente. Autrement dit, les entreprises doivent impérativement informer les personnes de la collecte de leurs données. Cette information doit être donnée préalablement à tout traitement de données afin que le consentement de la personne concernée soit suffisamment éclairé ;
collectées pour des finalités déterminées, explicites et légitimes. Concrètement, cela signifie que les entreprises doivent informer les personnes des finalités pour lesquelles les données sont traitées ;
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Il s’agit du principe de minimisation consistant à ce que les données collectées doivent répondre au but poursuivi par le traitement ;
exactes, nécessaires et tenues à jour. Les entreprises peuvent être sanctionnées si les données collectées sont inexactes voire incomplètes ;
conservées pour une durée déterminée. À l’issue du traitement, les données doivent être effacées, anonymisées (sans ré-identification possible) ou archivées (sous certaines conditions).
L’accountability : au cœur du RGPD.
Le principe d’accountability constitue la pierre angulaire du RGPD. Ce principe désigne la mise en conformité de l’entreprise au RGPD.
L’entreprise doit être capable de prouver à tout moment sa conformité au Règlement européen et doit mettre en œuvre des mesures techniques et organisationnelles permettant d’assurer la sécurité et la confidentialité des données.
Ce principe d’accountability passe notamment par la tenue d’un registre des traitements recensant différentes informations : les différentes catégories de données traitées, les objectifs poursuivis, les acteurs du traitement, etc.
Des analyses d’impact sont parfois nécessaires afin d’évaluer les risques présentés par le traitement de certaines catégories de données plus sensibles que les autres. L’article 37 du règlement impose dans les deux cas ci-dessous la désignation d’un délégué à la protection des données :
Premier cas de figure : le traitement des données personnelles est effectué par une autorité publique ou un organisme public, exception faite des juridictions agissant dans l’exercice de leur mission d’aide juridictionnelle
Second cas de figure avec deux situations envisagées :
Première situation : les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
Deuxième situation : les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (traitement de données dans le domaine de la santé publique notamment) et de données à caractère personnel relatives à des condamnations pénales ou à des infractions visées à l’article 10 du Règlement.
Ce délégué doit notamment informer et conseiller le responsable de traitement et contrôler le respect du règlement par l’entreprise. Il est également le point de contact entre l’entreprise et les autorités de contrôle, en l’occurrence la Commission Nationale de l’Informatique et des Libertés CNIL en France.
Le Règlement adopte ainsi une logique de responsabilisation des différents acteurs procédant à des traitements de données à caractère personnel.
Quels nouveaux droits pour les personnes ?
Il convient de préciser que le considérant (1) du RGPD affirme que la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. Il rappele à ce sujet l’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne et l’article 16 du traité de fonctinnement de l’Union européenne, et précise « toute personne a droit à la protection des données à caractère personnel la concernant » .
Dans ses articles 15 et suivants, le RGPD consacre des droits aux personnes physiques dont les données sont récoltées.
Parmi ces droits, le droit d’accès vous permet d’accéder à vos données collectées et à d’autres informations (finalités du traitement, durée de conservation…) (article 15 du RGPD). Le droit de rectification (article 16 du RGPD) et le droit à l’effacement ou à l’oubli (article 17 du RGPD) vous permettent de demander la modification de données inexactes ainsi que l’effacement de vos données dans les meilleurs délais (sous certaines conditions). En outre, vous bénéficiez également d’un droit à la portabilité permettant la transmission de vos données personnelles à un autre responsable de traitement (article 20 du RGPD).
Bon à savoir :
En cas de non-respect des obligations du RGPD par un responsable du traitement, celui-ci risque une sanction pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel mondial. C’est une sanction particulièrement lourde. Les entreprises ont donc tout intérêt à respecter ce nouveau Règlement européen qui en tant que tel s’impose à toutes les autorités étatiques et autres des Etats de l’Union européenne et prévaut donc sur toutes les dispositions nationales qui lui seraient contraires et opposées à ce niveau.
Les données personnelles sont très sensibles parce qu’elles révèlent notamment le comportement, les choix et goûts d’une personne identifiée et identifiable. Leur utilisation dans un but malveillant peut donc conduire à des comportements dangereux pour la vie démocratique. Ainsi, la collecte par une société outre-atlantique de données personnelles provenant des 80 millions d’utilisateurs de Facebook et l’utilisation de telles informations pour orienter le choix d’électeurs en faveur d’un candidat précis lors des dernières élections présidentielles américaines, démontre si besoin est les risques réels de dérapage pouvant exister à ce niveau.
Le RGPD a pour objectif très clair d’éviter de telles dérives en assurant une protection très forte des données personnelles à l’échelle européenne.