Protection des données personnelles

Les changements issus du RGDP

L’adoption du RGPD européen sur la protection des données à caractère personnel en date du 27 avril 2016 ouvre une période transitoire de deux ans pour permettre aux entreprises et organisations de se mettre en conformité avec le nouveau dispositif légal qui sera directement applicable sur l’ensemble du territoire de l’Union européenne le 25 mai 2018. À quels changements peut-on s’attendre ?

Protection données personnelles

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°360

Les enjeux juridiques et technologiques des données personnelles

Voté à l’issue de quatre années, le RGPD européen sur la protection des données à caractère personnel en date du 27 avril 2016 remplace désormais la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette nouvelle législation, publiée le 4 mai 2016 au Journal officiel de l’Union européenne, est à effet direct. Aucun besoin de loi nationale pour transposer le RGPD européen, les règles européennes nouvelles remplaçant automatiquement les règles nationales existantes incompatibles. Il ouvre une période transitoire de deux ans pour permettre aux entreprises et organisations de se mettre en conformité avec le nouveau dispositif légal qui sera directement applicable sur l’ensemble du territoire de l’Union européenne le 25 mai 2018. Concrètement, à quels changements peut-on s'attendre ?

I. Des droits de la personne renforcés

Définition plus détaillée des données à caractère personnel

Le devoir d’information des personnes concernées et les cas dans lesquels leur consentement est nécessaire avant la collecte de leurs données ont été renforcés. Aussi, la définition des données à caractère personnel ne change pas avec le RGPD, mais elle est plus détaillée. Il s’agit des données identifiant ou permettant d’identifier une personne, que ce soit directement ou indirectement. Le RGPD ajoute toutefois une série d’exemples de données qui permettent d’identifier une personne : son nom, mais également un numéro d’identification, une donnée de localisation, un identifiant en ligne, ainsi que des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dès lors, les données collectées, traitées et conservées par les établissements bancaires sont concernées.

Création de droits nouveaux

Dès la directive de 1995 était prévu un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations, un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données, un droit de rectification qui consiste en la possibilité pour la personne concernée de demander la rectification des données qui sont incomplètes ou inexactes et un droit d’opposition qui est le droit pour la personne concernée de s’opposer à tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes.

Avec le RGPD européen, ces droits sont renforcés – à l’exemple du droit à l’information qui s’enrichit de la notion de consentement préalable de la personne concernée.

Par ailleurs, les droits de la personne s’enrichissent de droits tels que celui de s’opposer à une mesure de profilage, le droit à la portabilité de ses données et le droit à la limitation du traitement. Le RGPD consacre également un droit d’effacement « élargi » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant, la cessation de la diffusion de ces données ainsi que l’effacement par des tiers des liens vers ces données ou de toute copie ou reproduction de celle-ci. Tel est le cas lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou lorsqu’elles sont traitées d’une autre manière, lorsque la personne concernée a retiré son consentement au traitement, lorsqu’elle s’oppose au traitement, lorsque le traitement ne respecte pas d’une autre manière ou d’une autre le RGPD. Et lorsqu’il s’agit de données rendues publiques par le responsable de traitement, celui-ci a l’obligation de prendre « toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci ». Même si des exceptions sont prévues dans certaines circonstances puisque ce droit d’effacement « élargi » ne peut pas s’appliquer lorsque le traitement est nécessaire à l’exercice de la liberté d’expression, au respect d’une obligation légale ou pour des motifs d’intérêt public dans le domaine de la santé publique par exemple.

II. Le principe d’accountability

Disparition des formalités préalables

L’un des autres apports fondamentaux du RGPD porte sur l’allégement des formalités pour le responsable de traitement. Les obligations générales de notification ont été supprimées et remplacées par « des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités ».

Par ailleurs est instauré le principe du « guichet unique » qui permet aux groupes ayant des établissements dans plusieurs pays d’Europe, ou une activité ciblant plusieurs États membres, d’effectuer leurs formalités auprès de l’autorité de l’État membre dans lequel le groupe a son établissement principal, les autorités des différents États membres devant ensuite coopérer entre elles.

Le pendant de cette simplification des procédures est qu’une personne qui considère que les données la concernant sont traitées en violation de ses droits peut saisir l’autorité de contrôle de l’État membre dans lequel elle est établie ou celle de l’État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement.

Logique de contrôle de la conformité…

L’allégement des formalités pour le responsable de traitement est compensé par l'instauration de mécanismes de gouvernance au sein de l'organisme – désignés par le terme d’accountability – permettant d'assurer la connaissance de la réglementation en matière de protection des données et son respect. Il augmente cependant corrélativement le coût de la protection des données, à raison des mécanismes internes qui devront être mis en œuvre par les responsables de traitement

…obligeant à des mesures organisationnelles…

Le responsable de traitement ou sous-traitant, dès lors qu’il traite de données de résidents européens, doit désigner un représentant dans l’Union européenne. Ainsi, les sociétés établies en dehors de l’Union européenne, ayant une activité ciblant le public européen, devront désigner un représentant sur le territoire de l’Union, qui agira comme point de contact unique, tant pour les autorités que pour les personnes dont la société en question traite les données. Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité ; tout comme chaque sous-traitant. Ils doivent aussi, l’un et l’autre, désigner un délégué à la protection des données.

…et à l’adoption de mesures techniques de protection

Les spécifications mêmes des applications qui traitent les données et leurs procédures d’exploitation devront prendre en compte les règles de protection des données personnelles édictées par le RGPD (privacy by design et privacy by default).

Mesures de sécurité renforcées

Avec le RGPD, il est prévu que, lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit effectuer une analyse d'impact pour évaluer l'origine, la nature, la particularité et la gravité de ce risque. Les autorités de contrôle devront publier une liste de types de traitement pour lesquels une telle analyse est requise et le RGPD précise les actions à diligenter dans le cadre d’une telle analyse.

Par ailleurs, sauf lorsque la violation n’est pas de nature à engendrer des risques pour les droits et les libertés des personnes physiques, le responsable de traitement est tenu de notifier les failles de sécurité à la CNIL dans les meilleurs délais (au plus tard 72 heures après en avoir pris connaissance). Il doit également informer dans les meilleurs délais la personne concernée de la violation de ses données ; si la communication individuelle exige des efforts disproportionnés, il est alors possible de faire une communication publique. Le sous-traitant doit, quant à lui, notifier les failles de sécurité au responsable de traitement.

Garanties du sous-traitant

Le RGPD exige que le responsable de traitement fasse appel à des sous-traitants qui présentent des garanties suffisantes. Le contrat de sous-traitance doit désormais contenir un certain nombre de dispositions impératives et notamment prévoir que le sous-traitant ne traite des données personnelles que sur instruction documentée du responsable de traitement. Le sous-traitant devra en outre répercuter ses obligations sur ses propres sous-traitants.

III. Des contraintes internationales

Règles de transfert inchangées

Certains pays peuvent toujours se voir reconnaître par la Commission européenne un niveau de protection adéquat. À défaut de décision d’adéquation, le transfert hors Union européenne ne pourra se faire qu’à des conditions très strictes telles que des règles d’entreprises contraignantes approuvées par l’autorité de contrôle compétente (« Binding Corporate Rules ») ou encore des clauses contractuelles types ou bien un code de conduite ou un mécanisme de certification.

C’est la solution intermédiaire qui s’est imposée pour les transferts de données à caractère personnel avec les États-Unis en attendant l’accord trouvé entre les institutions européennes et les autorités américaines sur le Privacy Shield – qui remplace le Safe Harbour annulé par la décision CJUE du 6 octobre 2015.

À défaut de pouvoir recourir soit à une décision d’adéquation, soit aux règles contraignantes évoquées ci-dessus, le transfert hors Union européenne doit donc respecter des conditions énumérées par le RGPD. Celles-ci recouvrent celles énoncées par la loi Informatique et libertés (par exemple, la personne concernée a donné son consentement, le transfert est nécessaire pour des motifs importants d’intérêt public, la sauvegarde des intérêts vitaux de la personne concernée, etc.).

Application territoriale désormais sans limite

En effet, les entreprises établies hors Union européenne doivent désormais s’y conformer lorsque les traitements de données à caractère personnel qu’elles mettent en œuvre sont relatifs à l’offre de biens ou de services à des personnes qui sont dans l’Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne ». Dans de tels cas, ces responsables de traitement établis hors de l’Union européenne devront désigner un représentant au sein de l’Union européenne.

IV. Le renouvellement des sanctions

Fermeté des sanctions

Enfin, l’un des apports majeurs du RGPD consiste en une hausse importante des sanctions. Désormais, les autorités de contrôle ont le pouvoir de prononcer des amendes administratives qui doivent être « effectives, proportionnées et dissuasives ». Les sanctions pécuniaires peuvent ainsi atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 000 000 d’euros pour les infractions les plus graves, le montant le plus élevé étant retenu. Et le RGPD ajoute que chaque État membre peut définir les règles dans lesquelles des amendes administratives peuvent également être imposées par des autorités ou organismes publics établis sur son territoire. Ces sanctions administratives sont sans préjudice du droit à réparation des personnes dont les droits ont été violes.

À titre d’exemple, actuellement, la sanction financière la plus élevée prononcée par la CNIL s’élève à 150 000 €. Et même si les plafonds avaient été portés à 3 000 000 d’euros par la loi pour une République numérique du 7 octobre 2016, on se trouvait encore très en deçà par rapport à ce que va permettre le RGPD en mai 2018.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet