Après plus de quatre ans de discussions au niveau européen, le règlement général sur la protection des données (ou RGPD) a enfin été promulgué le 27 avril 2016. Le règlement sera applicable dans tous les Etats membres dans deux ans, à partir du 25 mai 2018. (1) Le compte à rebours de la mise en conformité a donc commencé à courir pour tous les organismes en charge de traitements de données à caractère personnel.
Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.
1. Le RGPD, socle du droit européen des données personnelles
Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne, constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).
Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.
Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.
Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.
2. RGPD et droits des personnes
Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :
- Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.
- La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.
- Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.
- Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.
- Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.
3. RGPD et droits des responsables de traitement
Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :
- Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.
- Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).
- Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).
- Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.
- Le règlement supprime l’obligation de déclaration préalable d’un traitement de données, (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.
- Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).
- Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.
- Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).
- Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.
- Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.
Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
- aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
- aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.
Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).
En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.
* * * * * * * * * * * *
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
Bénédicte DELEPORTE – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2016
Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.
1. Le RGPD, socle du droit européen des données personnelles
Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne, constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).
Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.
Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.
Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.
2. RGPD et droits des personnes
Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :
- Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.
- La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.
- Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.
- Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.
- Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.
3. RGPD et droits des responsables de traitement
Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :
- Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.
- Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).
- Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).
- Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.
- Le règlement supprime l’obligation de déclaration préalable d’un traitement de données, (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.
- Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).
- Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.
- Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).
- Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.
- Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.
Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
- aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
- aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.
Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).
En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.
* * * * * * * * * * * *
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
Bénédicte DELEPORTE – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2016