Le 4 mai 2016, le Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») a été publié au Journal Officiel de l’Union européenne [1]. Il sera applicable le 25 mai 2018.

Si le RGPD reprend les fondamentaux de la directive 95/46 d’octobre 1995 [2], elle-même issue de la convention n° 108 du Conseil de l’Europe, il malmène en revanche certains principes tels que l’autonomie des États membres, l’intérêt limité pour la circulation internationale des données à caractère personnel (ci-après « DCP ») et l’ignorance de l’autorégulation. Il va jusqu’à remettre en cause le rôle de la Commission européenne en matière de protection des DCP, tout en prenant en considération les nombreuses et importantes évolutions technologiques qui ont fait naître de nouveaux usages pour les DCP.

I. LES GÉNÉRALITÉS

1. Un peu d’histoire

La toute fin du XXe siècle marque une rupture nette avec le passé en matière d’exploitation des DCP, le début des années 1990 étant marqué par l’apparition des briques fondamentales du web [3]qui a largement contribué à un bouleversement profond des usages en matière de données personnelles. Schématiquement, on assiste à la bascule d’un monde de DCP collectées et exploitées par la puissance publique, ou les entreprises, vers un monde de DCP librement diffusées par les individus eux-mêmes, dans les médias sociaux.

En une décade, les avancées technologiques ont été constantes et d’ampleur. IBM lance le premier smartphone nommé « Simon » en août 1994, le moteur de recherche Google fait son apparition le 4 septembre 1998 et les réseaux sociaux font leur apparition dans la foulée, au début des années 2000 [4]. Pratiquement au même instant apparaissent les premiers objets connectés emblématiques que sont l’« iPhone » et l’« iPad », respectivement en juin 2007 et fin 2009 [5].

Rapidement toutefois, l’insuffisante prise en considération de la dimension sécuritaire, lors la conception d’internet et de ses services, fait ressentir ses effets [6], d’autant plus douloureusement que le nombre d’utilisateurs et d’objets connectés croît de façon exponentielle [7]. Par ailleurs, dès 1998 [8], les interceptions étatiques de masse des conversations et des courriers électroniques sont révélées, avant que ne soient dévoilées les écoutes sur Internet dans le cadre du programme de surveillance de la NSA [9] baptisé PRISM [10]. En dix ans, le paysage des usages des DCP a connu une évolution radicale, au moins autant d’ailleurs que la manière dont les personnes utilisent leurs données personnelles, rendant sans cesse plus poreuse la frontière entre sphère privée et publique [11].

Selon une étude conduite par Havas Media Group [12], si 84 % des personnes interrogées se prétendent inquiètes de l’usage qui peut être fait de leurs DCP, 30 % se disent néanmoins prêtes à y donner accès pour 500 euros par an, sans que l’on sache au juste quelles seraient les limites à cette vénalité des données.

2. Un règlement volumineux qui n’épuise cependant pas le sujet de la protection des données

Il fallait, afin de prendre en compte ces évolutions radicales, légiférer avec un texte d’ampleur. Cette démarche se matérialisa, le 25 janvier 2012, par une proposition de Règlement. Les débats, acharnés compte tenu des enjeux, suscitèrent près de 4 000 amendements [13], au cours d’une procédure parlementaire qui dura 4 ans. Le résultat est un texte beaucoup plus volumineux que la directive d’octobre 1995 [14], qui se trouve abrogée, sans pour autant que ceci bouleverse radicalement les fondamentaux de la matière.

L’examen du RGPD par rapport à la loi informatique et libertés, pilier de la protection des DCP en France depuis 1978, conduit à souligner quelques lignes de force [15]:

−−le principe d’autodétermination informationnelle [16]apparaît en filigrane notamment au travers des notions de consentement [17], de transparence [18], d’information [19], d’effacement [20], de limitation [21]et de portabilité [22];

−−les droits de personnes (chapitres III et IV) occupent 32 % ;

−−la part de texte dévolue aux autorités de contrôle est de 27 % alors même que l’accountability [23]conduits à une « internalisation » des fonctions dévolues à ces autorités ;

−−les sanctions n’occupent plus que 8 % du texte, alors que la répression est très substantiellement renforcée [24];

−−le RGPD laisse une grande latitude de mise en œuvre aux États membres (cf. notamment le chapitre IX).

Par ailleurs, le RGPD ne constitue pas, à lui seul, l’alpha et l’oméga de la protection des données personnelles au sein de l’Union européenne.

Depuis le 1er juillet 2016, s’appliquent les dispositions du Règlement dit eIDAS [25]. Ce règlement a notamment pour objet de s’assurer que les citoyens européens bénéficient d’une identité électronique partout en Europe et plus uniquement dans le pays d’émission de l’identité électronique et l’ouverture d’un marché européen des Prestataires de service de confiance (PSCO).

Il convient aussi d’évoquer la Directive NIS [26]inspiratrice de la loi de programmation militaire pour les années 2014 à 2019 [27]. Cette directive poursuit trois principaux objectifs, tout d’abord le renforcement de la cybersécurité au niveau national, le renforcement de la coopération au niveau Européen et, enfin, la gestion des risques sécuritaires et la notification des failles de sécurité, en sus des notifications prévues par le RGPD [28].

Dernier texte européen en gestation, la proposition de règlement de la Commission européenne concernant le respect de la vie privée et des données personnelles dans le secteur des communications électroniques, abrogeant la directive 2002/58/CE dite « Vie privée et communications électroniques ». Transposée en France par l’ordonnance dite « Paquet Telecom » (Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques), ce texte concerne notamment la privacy by design et donne des orientations sur ce que recouvre ce concept objet de l’article 25 du RGPD, tout en évoquant également le régime des cookies et métadonnées.

Enfin, la Commission européenne a lancé, le 11 avril 2016, une consultation publique sur l’évaluation et la révision de la directive 2002/58/CE du 12 juillet 2002. La troisième partie de cette consultation soulève des questions liées au champ d’application, à la sécurité et à la confidentialité des communications, notamment le stockage des données et l’identification en ligne [29]. Au niveau national, il convient de souligner la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique [30](dite loi Lemaire). Sans entrer dans les détails de ce texte, nous en retiendrons trois dispositions. Tout d’abord, l’article 65-III prévoit que le Gouvernement remettra au Parlement, avant le 30 juin 2017, un rapport sur les modifications de la loi informatique et libertés nécessaire à la mise en oeuvre du RGPD. Par ailleurs, l’article 54 de la loi Lemaire complète l’article premier de la loi informatique et libertés en introduisant le principe d’auto-détermination informationnelle [31], exprimant ainsi la volonté de faire des DCP un attribut de la personnalité et non l’objet d’un quelconque droit de propriété. Enfin, cette loi innove avec un article 63 relatif notamment à la « mort numérique », sujet absent du RGPD [32].

3. Une harmonisation au travers d’une « quasidirective »

3.1. Une large place laissée aux discrétions nationales

Le RGPD est un règlement et constitue, en principe, un acte juridique d’application ne varietur dans les États membres [33]. Dans les faits, une cinquantaine de dispositions du RGPD permettent aux États membres d’adopter des mesures nationales particulières, et pas uniquement sur des points de détail. Ce règlement hybride est sans doute la marque des compromis nécessaires à l’émergence d’une quadrature du cercle, un texte formant tout à la fois un socle commun de la protection des données personnelles, mais dans le respect des particularités nationales, notamment sur les sujets les plus sensibles.

Le chapitre IX du texte « Dispositions relatives à des situations particulières de traitement » est illustratif de cet état de fait. Ainsi, les États pourront-ils adopter des règles conciliant protection des données à caractère personnel et « le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques [34]». L’article 87, et la question du numéro d’identification national est également au nombre des discrétions nationales. La même latitude est notamment offerte s’agissant des conditions de licéité des traitements [35], des conditions d’âge s’agissant de la protection des mineurs [36]ou bien encore, l’encadrement du droit à l’effacement [37].

On notera que le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de donné à caractère personnel relatif aux passeports et aux cartes nationales d’identité, indépendamment des diverses critiques qu’il suscite [38]marque la volonté des États de maintenir leur souveraineté sur les questions relatives aux « atteintes aux intérêts fondamentaux de la Nation » et les « actes de terrorisme [39]». Il faudra toutefois compter avec le contrôleur européen de la protection des données qui aura, notamment, pour mission de promouvoir une gouvernance collective des données [40].

3.2. Champ d’application : un texte à visée « hégémonique [41]»

Le RGPD s’applique aux traitements de données à caractère personnel :

−−dès lors que le responsable du traitement (ou son sous-traitant) est présent sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;

−−dès lors que le responsable du traitement (ou son sous-traitant) n’est pas sur le territoire de l’Union, pour autant que les personnes y soient, lorsque les activités sont liées : à une offre de biens ou de services (gratuites ou non) ; au suivi du comportement, sur le territoire de l’Union, de ces personnes. Cette hégémonie de façade, protégeant les résidents européens, ne doit pas faire oublier que le RGPD peut se heurter à des droits tout aussi hégémoniques.

Si le chapitre IV du RGPD « Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales » (Articles 44 à 50 [42])se limite aux hypothèses où ceux-ci s’effectuent en conformité avec les dispositions qu’il fixe, dans les faits les choses sont plus complexes. Ainsi, l’hégémonie toute relative du RGPD fait notamment face aux interceptions des services de renseignement US [43]. Ainsi, il aura fallu attendre le Judicial Redress Act [44]pour que les citoyens européens puissent saisir les tribunaux américains sur le fondement de Privacy Act de 1974 s’agissant des atteintes portées à leurs données personnelles. Par ailleurs, le remplacement de l’accord de safe harbor [45]par le privacy Hors-série Banque & Droit – mars-avril 2017 shield [46]sur fond de méfiance à l’égard de la réglementation US permettant un accès généralisé au contenu des communications électroniques, puis le recours introduit devant la CJUE le 19 septembre 2016 [47]contre ce dernier, notamment motivé par ces mêmes risques d’interceptions, démontrent amplement que le sujet ne saurait être réglé par des pétitions de principes, fussent-elles issues d’un règlement européen.

3.3. Le principe du « one stop shop [48]»ou guichet unique

Toujours dans le but de garantir la cohérence des politiques de protection des données personnelles dans les groupes de sociétés établies en Europe, fixe un principe de détermination d’une seule autorité de contrôle qui sera celle du pays du principal établissement [49]. Toutefois, par exception à ce principe (art. 56-2), l’autorité de contrôle nationale restera compétente si le traitement suscite une plainte dont l’objet ne concerne qu’un seul établissement situé dans « l’État membre dont elle relève » ou « affecte les personnes concernées » mais uniquement dans cet État membre (art. 56-2). Le guichet unique n’est donc que partiellement unique, la logique purement nationale reprenant le dessus lorsqu’est en question la protection des personnes, ce qui tend d’une part, à relativiser la logique d’uniformité du RGPD et, d’autre part, à relativiser la protection uniforme des données à caractère personnel au niveau européen.

II. LES DROITS ET OBLIGATIONS : ENTRE NOUVEAUTÉS ET REDITES [50]

1. Un principe directeur : l’auto-détermination informationnelle

Ainsi que nous l’avons vu [51], ce principe, bien qu’il n’apparaisse pas expressis verbis dans le RGPD irrigue ce dernier et révèle une préoccupation majeure qui est le risque de perte de contrôle de ses données par la personne concernée et de mercantilisation desdites données. Dans le domaine bancaire, un discussion paper de l’EBA du 4 mai 2016 [52]sur les cas d’utilisations novatrices des données concernant les consommateurs par les institutions financières, souligne que « […] Les individus peuvent être prêts à sacrifier la vie privée afin d’obtenir un crédit, mais peuvent ne pas apprécier les conséquences de ceci [53]».

Ce droit apparaît l’article 54 de la loi Lemaire, lequel complète l’article premier de la loi informatique et libertés en insérant un alinéa affirmant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. » Tel qu’elle est décrite par la loi Lemaire, cette auto-détermination semble exprimer un droit attaché à la personne et non un droit de propriété pouvant donner lieu à une mercantilisation des données personnelles.

2. Droits des personnes concernées

Le RGPD préserve l’existant en précisant le contenu de droits énoncés de longue date par la loi informatique et libertés (2.1.) et en se montrant économe de nouveautés (2.2.).

2.1. Droits revivifiés

Le RGPD précise un certain nombre de fondamentaux. Consentement au traitement : envisagé par l’article 7 de la loi informatique et libertés, l’article 7 [54] du RGPD revisite le sujet, notamment [55]en prévoyant un consentement possible pour une ou plusieurs finalités spécifiques. Ceci ouvre la voie aux traitements reposant sur l’utilisation des techniques de traitement massif de données souvent dénommées Big Data.

Information renforcée [56]: un certain nombre d’obligations sont ajoutées à celle de l’article 32 de la loi informatique et libertés. Le recours à des icônes normalisées est prévu [57].

Accès : l’article 15 du RGPD complète l’article 39 de la loi informatique et libertés [58].

Effacement des données [59]: déjà prévu par l’article 40 de la loi informatique et libertés, l’article 17 du RGPD étoffe cette prérogative et ajoute la perte de nécessité des données à la poursuite de la finalité du traitement et le retrait du consentement en cas de perte de fondement juridique dudit traitement.

Opposition à la poursuite du traitement [60]: objet de l’article 38 de la loi informatique et libertés, il est modifié par l’article 21 du RGPD lequel fait référence à la situation particulière de la personne concernée. On soulignera l’article 22 du RGPD prévoit un droit de ne pas faire l’objet d’une décision « exclusivement » fondée sur un traitement automatisé, profilage compris [61].

Rectification des données personnelles : la rédaction de l’article 40-1 de la loi informatique et libertés [62]est simplifiée par l’article 16 du RGPD

Protection spécifique des mineurs : l’article 8 du RGPD prévoit que les moins de 16 ans [63]doivent obtenir l’autorisation du titulaire de l’autorité parentale afin de souscrire une offre « directe de services de la société de l’information ».

Proportionnalité : Déjà visé à l’article 6 de la loi informatique et libertés, ce principe est repris en substance par l’article 5-c du RGPD, lequel évoque à ce sujet la « minimisation ».

2.2. Droits nouveaux

Le RGPD est porteur de diverses nouveautés destinées à renforcer l’emprise des personnes sur leurs données personnelles [64]:

– portabilité des données [65]: évoquée dans la loi Lemaire [66], la portabilité telle qu’envisagée par le RGPD doit permettre, s’agissant des données fournies par la personne, qu’elle puisse les recevoir dans un format structuré et exploitable informatiquement, ainsi que de les transmettre à un autre responsable de traitement [67];

– limitation des données [68]: il s’agit d’un nouveau statut de la donnée personnelle.

Cette « donnée zombie » ne peut être ni traitée, ni effacée et être conservée par le responsable de traitement, c’est-à-dire stockée dans une base qui n’est ni active, ni d’archivage intermédiaire. Ce droit s’applique dans une série d’hypothèses limitativement énumérées, dont notamment la perte d’utilité de la donnée ou bien encore, une opposition de la personne concernée dont le responsable n’a pas encore pu vérifier le bien-fondé ;

– recours juridictionnel contre une autorité de contrôle [69]: possibilité d’une action contre une autorité de contrôle qui n’aurait pas traité une réclamation ou n’aurait informé le demandeur de sa position, au plus tard trois mois après le dépôt de la plainte ou bien encore, contre une décision contraignante rendue par ladite autorité. Dans les faits, ceci ne fait que confirmer la possibilité d’un recours juridictionnel contre la CNIL ;

– action de groupe [70]: cette nouvelle action permet de mandater un organisme ou une association en vue de lui confier le soin d’introduire une réclamation et/ou une action en son nom.

Cette action, tendant exclusivement à la cessation de ce manquement [71], est sans préjudice des éventuelles poursuites que la CNIL, voire le régulateur bancaire, pourrait entamer ;

– la mort numérique : Ce sujet n’est pas abordé par le RGPD mais par la loi Lemaire [72](art. 63) qui vient combler cette lacune du Règlement au travers d’un article 40-1-I nouveau de la loi informatique et libertés. Ce texte énonce le principe que les droits de la personne s’éteignent à son décès, sous réserve des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel qu’elle a pu laisser.

Les directives laissées par la personne décédée définissent la manière dont la personne entend que soient exercés ses droits sur ses données à caractère personnel après son décès.

3. Les obligations des responsables de traitement

3.1. Obligations revivifiées

Registre des traitements [73]: déjà prévu par la loi informatique et libertés [74], il pourra être tenu sous une forme écrite, y compris dans un format électronique. Ce registre sera à disposition de la seule autorité de contrôle [75], et non plus à disposition de « toute personne qui en fait la demande » comme auparavant. Ce registre tient une place important dans le mécanisme d’accountability.

Auto-régulation et codes de conduite – Certification : l’adoption d’un code a pour objet de minimiser les sanctions de l’autorité de contrôle en cas de défaut de conformité au RGPD.

Ces codes de conduite, issus d’associations ou de syndicats professionnels, ont vocation à déterminer des pratiques destinées à la bonne application des obligations issues du RGPD [76]. Ils peuvent être soumis, et, le cas échéant, approuvés par la Commission européenne [77]. La certification [78]réside quant à elle dans une démarche volontaire par laquelle l’entreprise fait constater la conformité de ses procédures à une norme avalisée par l’autorité de contrôle.

Contrairement aux codes de conduites, la certification ne peut être délivrée que par un organisme de certification, celui-ci ayant été au préalable agréé par l’autorité de contrôle.

3.2. Les obligations nouvelles [79]

Le RGPD comporte un certain nombre de nouveautés ayant un impact opérationnel important.

Accountability [80]: c’est l’une des innovations majeures introduites par le RGPD. Bien que n’apparaissant que de manière discrète [81], elle manifeste la bascule d’un mécanisme de formalités préalables [82]vers un mécanisme d’autocontrôle dans lequel lesdites formalités ont quasiment disparu [83].

Privacy by design [84]: exige des responsables de traitements qu’ils mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service. Concrètement, l’entreprise doit être en mesure de démontrer que le traitement est effectué conformément au Règlement. L’accountability exigeant une « traçabilité transversale » de chaque opération (collecte, consultation, modification, transfert, etc.), une documentation adéquate est attendue (si ce n’est requise) comme preuve du respect des exigences du RGPD.

Privacy by default [85]: exige que les technologies et les procédures protectrices de la vie privée ne soient pas seulement embarquées dans les nouvelles applications, mais qu’elles soient activées par défaut.

Étude d’impact relative à la protection des données (EIPD) [86]: seul vestige des autorisations préalables, l’EIPD est nécessaire pour les traitements comportant des risques particuliers pour les personnes [87]/span>. La consultation de l’autorité de contrôle n’est obligatoire qu’en présence d’un risque élevé qui ne peut être atténué par des moyens raisonnables [88].

Désignation d’un Délégué à la protection des données [89]: rendue obligatoire par le RGPD pour certaines organisations, notamment celles dont l’activité de base [90] implique un suivi régulier systématique et à grande échelle de personnes [91] .

Déclaration des failles de sécurité [92]: le RGPD étend les obligations déclaratives applicables aux opérateurs Télécom depuis 2011 [93] à tous les responsables de traitement, quel que soit leur secteur d’activité. Ainsi, ils devront notifier l’incident à leur autorité de contrôle (en France, la CNIL), de manière détaillée et documentée.

L’article 33-1 exige un traitement diligent, la notification auprès de l’autorité de contrôle devant intervenir « dans les meilleurs délais » et, si possible, 72 heures au plus tard  [94] après la prise de connaissance de l’événement [95] .

On soulignera que, sous l’empire de l’article 34 de la loi informatique et libertés, le fait de déclarer une faille n’est pas exonératoire d’une sanction par la CNIL [96] .

Coresponsabilité : si loi informatique et libertés visait la notion de « responsables de traitements » [97], c’est-à-dire les entités qui déterminent les finalités et les modalités des traitements utilisant des données personnelles [98] , le règlement étend cette responsabilité dans deux directions. Tout d’abord, les sous-traitants se voient appliquer une large partie des obligations imposées aux responsables [99] , instaurant ainsi un régime de coresponsabilité. Le deuxième axe d’extension de cette coresponsabilité est celle pouvant se manifester entre responsables de traitement, ce qui ne manquera pas de poser la question de la détermination des missions et responsabilités de chaque partie prenante [100] . Enfin, Le Règlement innove également en posant le principe selon lequel toute victime d’une non-conformité « a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » [101] . Jusqu’à présent, la loi informatique et libertés fixait le principe de responsabilité directe du responsable du traitement à l’égard des victimes [102] .