Présentation du Règlement général sur la protection des données

Le Règlement général sur la protection des données (RGPD) reprend les fondamentaux de la directive 95/46 d’octobre 1995, mais malmène certains principes tels que l’autonomie des États membres, et prend en compte un environnement aujourd’hui marqué par la circulation internationale des données à caractère personnel et les nombreuses évolutions technologiques qui ont fait naître de nouveaux usages pour ces dernières. En outre, il promeut le principe d’autorégulation, tout en renforçant les sanctions de manière drastique.

L'auteur

Pour en savoir plus

Pièce jointe

Revue de l'article

Cet article est extrait de
Banque & Droit n°HS-2017-1

Protection des données personnelles : commentaires sur le règlement européen du 27 avril 2016

Le 4 mai 2016, le Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») a été publié au Journal Officiel de l’Union européenne [1]. Il sera applicable le 25 mai 2018.

Si le RGPD reprend les fondamentaux de la directive 95/46 d’octobre 1995 [2], elle-même issue de la convention n° 108 du Conseil de l’Europe, il malmène en revanche certains principes tels que l’autonomie des États membres, l’intérêt limité pour la circulation internationale des données à caractère personnel (ci-après « DCP ») et l’ignorance de l’autorégulation. Il va jusqu’à remettre en cause le rôle de la Commission européenne en matière de protection des DCP, tout en prenant en considération les nombreuses et importantes évolutions technologiques qui ont fait naître de nouveaux usages pour les DCP.

 

 

I. LES GÉNÉRALITÉS

1. Un peu d’histoire

La toute fin du XXe siècle marque une rupture nette avec le passé en matière d’exploitation des DCP, le début des années 1990 étant marqué par l’apparition des briques fondamentales du web [3]qui a largement contribué à un bouleversement profond des usages en matière de données personnelles. Schématiquement, on assiste à la bascule d’un monde de DCP collectées et exploitées par la puissance publique, ou les entreprises, vers un monde de DCP librement diffusées par les individus eux-mêmes, dans les médias sociaux.

En une décade, les avancées technologiques ont été constantes et d’ampleur. IBM lance le premier smartphone nommé « Simon » en août 1994, le moteur de recherche Google fait son apparition le 4 septembre 1998 et les réseaux sociaux font leur apparition dans la foulée, au début des années 2000 [4]. Pratiquement au même instant apparaissent les premiers objets connectés emblématiques que sont l’« iPhone » et l’« iPad », respectivement en juin 2007 et fin 2009 [5].

Rapidement toutefois, l’insuffisante prise en considération de la dimension sécuritaire, lors la conception d’internet et de ses services, fait ressentir ses effets [6], d’autant plus douloureusement que le nombre d’utilisateurs et d’objets connectés croît de façon exponentielle [7]. Par ailleurs, dès 1998 [8], les interceptions étatiques de masse des conversations et des courriers électroniques sont révélées, avant que ne soient dévoilées les écoutes sur Internet dans le cadre du programme de surveillance de la NSA [9] baptisé PRISM [10]. En dix ans, le paysage des usages des DCP a connu une évolution radicale, au moins autant d’ailleurs que la manière dont les personnes utilisent leurs données personnelles, rendant sans cesse plus poreuse la frontière entre sphère privée et publique [11].

Selon une étude conduite par Havas Media Group [12], si 84 % des personnes interrogées se prétendent inquiètes de l’usage qui peut être fait de leurs DCP, 30 % se disent néanmoins prêtes à y donner accès pour 500 euros par an, sans que l’on sache au juste quelles seraient les limites à cette vénalité des données.

 

2. Un règlement volumineux qui n’épuise cependant pas le sujet de la protection des données

Il fallait, afin de prendre en compte ces évolutions radicales, légiférer avec un texte d’ampleur. Cette démarche se matérialisa, le 25 janvier 2012, par une proposition de Règlement. Les débats, acharnés compte tenu des enjeux, suscitèrent près de 4 000 amendements [13], au cours d’une procédure parlementaire qui dura 4 ans. Le résultat est un texte beaucoup plus volumineux que la directive d’octobre 1995 [14], qui se trouve abrogée, sans pour autant que ceci bouleverse radicalement les fondamentaux de la matière.

L’examen du RGPD par rapport à la loi informatique et libertés, pilier de la protection des DCP en France depuis 1978, conduit à souligner quelques lignes de force [15]:

−−le principe d’autodétermination informationnelle [16]apparaît en filigrane notamment au travers des notions de consentement [17], de transparence [18], d’information [19], d’effacement [20], de limitation [21]et de portabilité [22];

−−les droits de personnes (chapitres III et IV) occupent 32 % ;

−−la part de texte dévolue aux autorités de contrôle est de 27 % alors même que l’accountability [23]conduits à une « internalisation » des fonctions dévolues à ces autorités ;

−−les sanctions n’occupent plus que 8 % du texte, alors que la répression est très substantiellement renforcée [24];

−−le RGPD laisse une grande latitude de mise en œuvre aux États membres (cf. notamment le chapitre IX).

Par ailleurs, le RGPD ne constitue pas, à lui seul, l’alpha et l’oméga de la protection des données personnelles au sein de l’Union européenne.

Depuis le 1er juillet 2016, s’appliquent les dispositions du Règlement dit eIDAS [25]. Ce règlement a notamment pour objet de s’assurer que les citoyens européens bénéficient d’une identité électronique partout en Europe et plus uniquement dans le pays d’émission de l’identité électronique et l’ouverture d’un marché européen des Prestataires de service de confiance (PSCO).

Il convient aussi d’évoquer la Directive NIS [26]inspiratrice de la loi de programmation militaire pour les années 2014 à 2019 [27]. Cette directive poursuit trois principaux objectifs, tout d’abord le renforcement de la cybersécurité au niveau national, le renforcement de la coopération au niveau Européen et, enfin, la gestion des risques sécuritaires et la notification des failles de sécurité, en sus des notifications prévues par le RGPD [28].

Dernier texte européen en gestation, la proposition de règlement de la Commission européenne concernant le respect de la vie privée et des données personnelles dans le secteur des communications électroniques, abrogeant la directive 2002/58/CE dite « Vie privée et communications électroniques ». Transposée en France par l’ordonnance dite « Paquet Telecom » (Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques), ce texte concerne notamment la privacy by design et donne des orientations sur ce que recouvre ce concept objet de l’article 25 du RGPD, tout en évoquant également le régime des cookies et métadonnées.

Enfin, la Commission européenne a lancé, le 11 avril 2016, une consultation publique sur l’évaluation et la révision de la directive 2002/58/CE du 12 juillet 2002. La troisième partie de cette consultation soulève des questions liées au champ d’application, à la sécurité et à la confidentialité des communications, notamment le stockage des données et l’identification en ligne [29]. Au niveau national, il convient de souligner la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique [30](dite loi Lemaire). Sans entrer dans les détails de ce texte, nous en retiendrons trois dispositions. Tout d’abord, l’article 65-III prévoit que le Gouvernement remettra au Parlement, avant le 30 juin 2017, un rapport sur les modifications de la loi informatique et libertés nécessaire à la mise en oeuvre du RGPD. Par ailleurs, l’article 54 de la loi Lemaire complète l’article premier de la loi informatique et libertés en introduisant le principe d’auto-détermination informationnelle [31], exprimant ainsi la volonté de faire des DCP un attribut de la personnalité et non l’objet d’un quelconque droit de propriété. Enfin, cette loi innove avec un article 63 relatif notamment à la « mort numérique », sujet absent du RGPD [32].

 

 

 

3. Une harmonisation au travers d’une « quasidirective »

 

3.1. Une large place laissée aux discrétions nationales

Le RGPD est un règlement et constitue, en principe, un acte juridique d’application ne varietur dans les États membres [33]. Dans les faits, une cinquantaine de dispositions du RGPD permettent aux États membres d’adopter des mesures nationales particulières, et pas uniquement sur des points de détail. Ce règlement hybride est sans doute la marque des compromis nécessaires à l’émergence d’une quadrature du cercle, un texte formant tout à la fois un socle commun de la protection des données personnelles, mais dans le respect des particularités nationales, notamment sur les sujets les plus sensibles.

Le chapitre IX du texte « Dispositions relatives à des situations particulières de traitement » est illustratif de cet état de fait. Ainsi, les États pourront-ils adopter des règles conciliant protection des données à caractère personnel et « le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques [34]». L’article 87, et la question du numéro d’identification national est également au nombre des discrétions nationales. La même latitude est notamment offerte s’agissant des conditions de licéité des traitements [35], des conditions d’âge s’agissant de la protection des mineurs [36]ou bien encore, l’encadrement du droit à l’effacement [37].

On notera que le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de donné à caractère personnel relatif aux passeports et aux cartes nationales d’identité, indépendamment des diverses critiques qu’il suscite [38]marque la volonté des États de maintenir leur souveraineté sur les questions relatives aux « atteintes aux intérêts fondamentaux de la Nation » et les « actes de terrorisme [39]». Il faudra toutefois compter avec le contrôleur européen de la protection des données qui aura, notamment, pour mission de promouvoir une gouvernance collective des données [40].

 

 

3.2. Champ d’application : un texte à visée « hégémonique [41]»

Le RGPD s’applique aux traitements de données à caractère personnel :

−−dès lors que le responsable du traitement (ou son sous-traitant) est présent sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;

−−dès lors que le responsable du traitement (ou son sous-traitant) n’est pas sur le territoire de l’Union, pour autant que les personnes y soient, lorsque les activités sont liées : à une offre de biens ou de services (gratuites ou non) ; au suivi du comportement, sur le territoire de l’Union, de ces personnes. Cette hégémonie de façade, protégeant les résidents européens, ne doit pas faire oublier que le RGPD peut se heurter à des droits tout aussi hégémoniques.

Si le chapitre IV du RGPD « Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales » (Articles 44 à 50 [42])se limite aux hypothèses où ceux-ci s’effectuent en conformité avec les dispositions qu’il fixe, dans les faits les choses sont plus complexes. Ainsi, l’hégémonie toute relative du RGPD fait notamment face aux interceptions des services de renseignement US [43]. Ainsi, il aura fallu attendre le Judicial Redress Act [44]pour que les citoyens européens puissent saisir les tribunaux américains sur le fondement de Privacy Act de 1974 s’agissant des atteintes portées à leurs données personnelles. Par ailleurs, le remplacement de l’accord de safe harbor [45]par le privacy Hors-série Banque & Droit – mars-avril 2017 shield [46]sur fond de méfiance à l’égard de la réglementation US permettant un accès généralisé au contenu des communications électroniques, puis le recours introduit devant la CJUE le 19 septembre 2016 [47]contre ce dernier, notamment motivé par ces mêmes risques d’interceptions, démontrent amplement que le sujet ne saurait être réglé par des pétitions de principes, fussent-elles issues d’un règlement européen.

 

3.3. Le principe du « one stop shop [48]»ou guichet unique

Toujours dans le but de garantir la cohérence des politiques de protection des données personnelles dans les groupes de sociétés établies en Europe, fixe un principe de détermination d’une seule autorité de contrôle qui sera celle du pays du principal établissement [49]. Toutefois, par exception à ce principe (art. 56-2), l’autorité de contrôle nationale restera compétente si le traitement suscite une plainte dont l’objet ne concerne qu’un seul établissement situé dans « l’État membre dont elle relève » ou « affecte les personnes concernées » mais uniquement dans cet État membre (art. 56-2). Le guichet unique n’est donc que partiellement unique, la logique purement nationale reprenant le dessus lorsqu’est en question la protection des personnes, ce qui tend d’une part, à relativiser la logique d’uniformité du RGPD et, d’autre part, à relativiser la protection uniforme des données à caractère personnel au niveau européen.

 

 

II. LES DROITS ET OBLIGATIONS : ENTRE NOUVEAUTÉS ET REDITES [50]

 

1. Un principe directeur : l’auto-détermination informationnelle

Ainsi que nous l’avons vu [51], ce principe, bien qu’il n’apparaisse pas expressis verbis dans le RGPD irrigue ce dernier et révèle une préoccupation majeure qui est le risque de perte de contrôle de ses données par la personne concernée et de mercantilisation desdites données. Dans le domaine bancaire, un discussion paper de l’EBA du 4 mai 2016 [52]sur les cas d’utilisations novatrices des données concernant les consommateurs par les institutions financières, souligne que « […] Les individus peuvent être prêts à sacrifier la vie privée afin d’obtenir un crédit, mais peuvent ne pas apprécier les conséquences de ceci [53]».

Ce droit apparaît l’article 54 de la loi Lemaire, lequel complète l’article premier de la loi informatique et libertés en insérant un alinéa affirmant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. » Tel qu’elle est décrite par la loi Lemaire, cette auto-détermination semble exprimer un droit attaché à la personne et non un droit de propriété pouvant donner lieu à une mercantilisation des données personnelles.

2. Droits des personnes concernées

Le RGPD préserve l’existant en précisant le contenu de droits énoncés de longue date par la loi informatique et libertés (2.1.) et en se montrant économe de nouveautés (2.2.).

 

2.1. Droits revivifiés

Le RGPD précise un certain nombre de fondamentaux. Consentement au traitement : envisagé par l’article 7 de la loi informatique et libertés, l’article 7 [54] du RGPD revisite le sujet, notamment [55]en prévoyant un consentement possible pour une ou plusieurs finalités spécifiques. Ceci ouvre la voie aux traitements reposant sur l’utilisation des techniques de traitement massif de données souvent dénommées Big Data.

Information renforcée [56]: un certain nombre d’obligations sont ajoutées à celle de l’article 32 de la loi informatique et libertés. Le recours à des icônes normalisées est prévu [57].

Accès : l’article 15 du RGPD complète l’article 39 de la loi informatique et libertés [58].

Effacement des données [59]: déjà prévu par l’article 40 de la loi informatique et libertés, l’article 17 du RGPD étoffe cette prérogative et ajoute la perte de nécessité des données à la poursuite de la finalité du traitement et le retrait du consentement en cas de perte de fondement juridique dudit traitement.

Opposition à la poursuite du traitement [60]: objet de l’article 38 de la loi informatique et libertés, il est modifié par l’article 21 du RGPD lequel fait référence à la situation particulière de la personne concernée. On soulignera l’article 22 du RGPD prévoit un droit de ne pas faire l’objet d’une décision « exclusivement » fondée sur un traitement automatisé, profilage compris [61].

Rectification des données personnelles : la rédaction de l’article 40-1 de la loi informatique et libertés [62]est simplifiée par l’article 16 du RGPD

Protection spécifique des mineurs : l’article 8 du RGPD prévoit que les moins de 16 ans [63]doivent obtenir l’autorisation du titulaire de l’autorité parentale afin de souscrire une offre « directe de services de la société de l’information ».

Proportionnalité : Déjà visé à l’article 6 de la loi informatique et libertés, ce principe est repris en substance par l’article 5-c du RGPD, lequel évoque à ce sujet la « minimisation ».

 

 

2.2. Droits nouveaux

Le RGPD est porteur de diverses nouveautés destinées à renforcer l’emprise des personnes sur leurs données personnelles [64]:

portabilité des données [65]: évoquée dans la loi Lemaire [66], la portabilité telle qu’envisagée par le RGPD doit permettre, s’agissant des données fournies par la personne, qu’elle puisse les recevoir dans un format structuré et exploitable informatiquement, ainsi que de les transmettre à un autre responsable de traitement [67];

– limitation des données [68]: il s’agit d’un nouveau statut de la donnée personnelle.

Cette « donnée zombie » ne peut être ni traitée, ni effacée et être conservée par le responsable de traitement, c’est-à-dire stockée dans une base qui n’est ni active, ni d’archivage intermédiaire. Ce droit s’applique dans une série d’hypothèses limitativement énumérées, dont notamment la perte d’utilité de la donnée ou bien encore, une opposition de la personne concernée dont le responsable n’a pas encore pu vérifier le bien-fondé ;

– recours juridictionnel contre une autorité de contrôle [69]: possibilité d’une action contre une autorité de contrôle qui n’aurait pas traité une réclamation ou n’aurait informé le demandeur de sa position, au plus tard trois mois après le dépôt de la plainte ou bien encore, contre une décision contraignante rendue par ladite autorité. Dans les faits, ceci ne fait que confirmer la possibilité d’un recours juridictionnel contre la CNIL ;

– action de groupe [70]: cette nouvelle action permet de mandater un organisme ou une association en vue de lui confier le soin d’introduire une réclamation et/ou une action en son nom.

Cette action, tendant exclusivement à la cessation de ce manquement [71], est sans préjudice des éventuelles poursuites que la CNIL, voire le régulateur bancaire, pourrait entamer ;

– la mort numérique : Ce sujet n’est pas abordé par le RGPD mais par la loi Lemaire [72](art. 63) qui vient combler cette lacune du Règlement au travers d’un article 40-1-I nouveau de la loi informatique et libertés. Ce texte énonce le principe que les droits de la personne s’éteignent à son décès, sous réserve des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel qu’elle a pu laisser.

Les directives laissées par la personne décédée définissent la manière dont la personne entend que soient exercés ses droits sur ses données à caractère personnel après son décès.

3. Les obligations des responsables de traitement

 

 

3.1. Obligations revivifiées

Registre des traitements [73]: déjà prévu par la loi informatique et libertés [74], il pourra être tenu sous une forme écrite, y compris dans un format électronique. Ce registre sera à disposition de la seule autorité de contrôle [75], et non plus à disposition de « toute personne qui en fait la demande » comme auparavant. Ce registre tient une place important dans le mécanisme d’accountability.

Auto-régulation et codes de conduite – Certification : l’adoption d’un code a pour objet de minimiser les sanctions de l’autorité de contrôle en cas de défaut de conformité au RGPD.

Ces codes de conduite, issus d’associations ou de syndicats professionnels, ont vocation à déterminer des pratiques destinées à la bonne application des obligations issues du RGPD [76]. Ils peuvent être soumis, et, le cas échéant, approuvés par la Commission européenne [77]. La certification [78]réside quant à elle dans une démarche volontaire par laquelle l’entreprise fait constater la conformité de ses procédures à une norme avalisée par l’autorité de contrôle.

Contrairement aux codes de conduites, la certification ne peut être délivrée que par un organisme de certification, celui-ci ayant été au préalable agréé par l’autorité de contrôle.

 

3.2. Les obligations nouvelles [79]

Le RGPD comporte un certain nombre de nouveautés ayant un impact opérationnel important.

Accountability [80]: c’est l’une des innovations majeures introduites par le RGPD. Bien que n’apparaissant que de manière discrète [81], elle manifeste la bascule d’un mécanisme de formalités préalables [82]vers un mécanisme d’autocontrôle dans lequel lesdites formalités ont quasiment disparu [83].

Privacy by design [84]: exige des responsables de traitements qu’ils mettent en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service. Concrètement, l’entreprise doit être en mesure de démontrer que le traitement est effectué conformément au Règlement. L’accountability exigeant une « traçabilité transversale » de chaque opération (collecte, consultation, modification, transfert, etc.), une documentation adéquate est attendue (si ce n’est requise) comme preuve du respect des exigences du RGPD.

Privacy by default [85]: exige que les technologies et les procédures protectrices de la vie privée ne soient pas seulement embarquées dans les nouvelles applications, mais qu’elles soient activées par défaut.

Étude d’impact relative à la protection des données (EIPD) [86]: seul vestige des autorisations préalables, l’EIPD est nécessaire pour les traitements comportant des risques particuliers pour les personnes [87]/span>. La consultation de l’autorité de contrôle n’est obligatoire qu’en présence d’un risque élevé qui ne peut être atténué par des moyens raisonnables [88].

Désignation d’un Délégué à la protection des données [89]: rendue obligatoire par le RGPD pour certaines organisations, notamment celles dont l’activité de base [90] implique un suivi régulier systématique et à grande échelle de personnes [91] .

Déclaration des failles de sécurité [92]: le RGPD étend les obligations déclaratives applicables aux opérateurs Télécom depuis 2011 [93] à tous les responsables de traitement, quel que soit leur secteur d’activité. Ainsi, ils devront notifier l’incident à leur autorité de contrôle (en France, la CNIL), de manière détaillée et documentée.

L’article 33-1 exige un traitement diligent, la notification auprès de l’autorité de contrôle devant intervenir « dans les meilleurs délais » et, si possible, 72 heures au plus tard [94] après la prise de connaissance de l’événement [95] .

On soulignera que, sous l’empire de l’article 34 de la loi informatique et libertés, le fait de déclarer une faille n’est pas exonératoire d’une sanction par la CNIL [96] .

Coresponsabilité : si loi informatique et libertés visait la notion de « responsables de traitements » [97], c’est-à-dire les entités qui déterminent les finalités et les modalités des traitements utilisant des données personnelles [98] , le règlement étend cette responsabilité dans deux directions. Tout d’abord, les sous-traitants se voient appliquer une large partie des obligations imposées aux responsables [99] , instaurant ainsi un régime de coresponsabilité. Le deuxième axe d’extension de cette coresponsabilité est celle pouvant se manifester entre responsables de traitement, ce qui ne manquera pas de poser la question de la détermination des missions et responsabilités de chaque partie prenante [100] . Enfin, Le Règlement innove également en posant le principe selon lequel toute victime d’une non-conformité « a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » [101] . Jusqu’à présent, la loi informatique et libertés fixait le principe de responsabilité directe du responsable du traitement à l’égard des victimes [102] .

 

[1] Règlement n° 2016/679 du 27 avril 2016, JOUE n° L. 119, 4 mai 2016, p. 1.

[2] Entre autres choses, les pages au format HTML mélangeant textes, images et liens, l’adressage au travers des URL et le protocole HTTP. Pour un récapitulatif historique,v.http://webdirections.org/ history/.

[3] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO n° L. 281 du 23 novembre 1995, p. 31. Les États membres disposaient d’un délai de 3 ans pour transposer ce texte (art. 32).

[4] Facebook apparaît en février 2004, Twitter en mars 2006.

[5] Le cabinet Gartner estime à 20,8 milliards le nombre d’objets qui seront connectés en 2020

[6] En France, dès 1988, la loi Godfrain (5 janvier 1988) prenait en considération les atteintes aux systèmes de traitement automatisés de données (STAD - art. 323-1 à 323-7 du CP)

[7] . En 2014, il y avait environ 2,5 milliards d’internautes (sur un peu plus de 7 milliards d’habitants) : http://www.blogdumoderateur.com/ chiffres-2014-mobile-internet-medias-sociaux/.

[8] Un journaliste dévoile l’existence du programme ECHELON désignant un réseau d’interception des communications auquel contribuent les États- Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande

[9] National Security Agency. Organisme gouvernemental du département de la Défense en charge du renseignement numérique et de la sécurité des systèmes d’information

[10] Créé en décembre 2007, ce programme permet aux agences de renseignements de surveiller, pour une durée maximale d’une semaine, les appels téléphoniques, les courriels et d’autres communications de citoyens américains sans mandat d’un tribunal. En juin 2013, le quotidien britannique. Suite aux révélations d’Edward Snowden, l’on sait que la NSA, disposait ainsi d’un accès direct aux données hébergées par les géants américains des nouvelles technologies.

[11] S’agissant de l’intérêt des objets, cf., dans ce même numéro, l’interview d’A. Delsuc et G. Mathias, « Big Data et objets connectés – De nouveaux services qui peuvent se révéler très invasifs pour la vie privée ».

[12] « Les Français prêts à monnayer leurs données personnelles », publié sur le figaro. fr le 26 septembre 2014.

[13] 3 133 amendements déposés en Commission des libertés civiles, 417 amendements déposés dans les avis en Commission de l’industrie, 226 en Commission du marché intérieur, 27 en Commission de l’emploi et 196 en Commission des affaires juridiques, soit 3 999. « Il s’agit du plus grand nombre d’amendements jamais déposés pour un seul dossier législatif au Parlement » : http://www.europarl.europa.eu/news/fr/news-room/20160413BKG22980/nouvellel%C3%A9gislation-europ%C3%A9enne-sur-laprotection-des-donn%C3%A9es.

[14] Pour la directive, 72 considérants et 34 articles, pour le RGPD 173 considérants et 99 articles.

[15] Pour une comparaison loi informatique et libertés / RGPD voir ci-dessous infographie en fin d’article.

[16] La loi Lemaire (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) introduit ce principe, sans pour autant le nommer, en complétant l’article premier de la loi I&L d’un nouvel alinéa affirmant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

[17] Notamment articles 4-11 et 7 du RGPD.

[18] Article 12 du RGPD.

[19] Articles 13 et 14 du RGPD.

[20] Article 17 du RGPD.

[21] Article 18 du RGPD.

[22] Article 20 du RGPD.

[23] Voir infra.

[24] Cf., dans ce même numéro, F. Boucard, « Règlement général relatif à la protection des données personnelles – Le régime novateur des sanctions ».

[25] Règlement eIDAS n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. Publié au JOUE du 28 août 2014. Deux directives étaient auparavant applicables, à savoir la directive eSignature 1999/93 et la directive 2006/123 relatives aux formats de signature. Ces deux directives ont été transposées dans le droit Français, par la loi n° 2000-230 du 13 mars 2000 et son décret d’application n° 2001-272 du 30 mars 2001.

[26] La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (dite directive NIS – Network and Information Security) a été adoptée le 6 juillet 2016 par le Parlement européen et le Conseil (JOUE du 19 juillet), elle devra être transposée le 9 mai 2018. En savoir plus sur http://www.village-justice.com/articles/Breve-actualite-adoption-directive-NIS-Network-and-Information-Security, 23011.html#5cAgWAmbYbvTXWhl.99. Cf., dans ce même numéro, C. Boutonnet, « La sécurité des données ».

[27] Loi n° 2013-1168 du 18 décembre 2013 introduisant un mécanisme complet de préservation des intérêts vitaux de la nation mettant en relief la protection des activités d’importance vitale et de ceux qui s’y livrent les opérateurs d’importance vitale (OIV). Ces activités sont réparties en douze secteurs (finances, transports, énergie, santé, recherche…).

[28] Article 33 : « Notification à l’autorité de contrôle d’une violation de données à caractère personnel ».

[29] Le G29 a demandé que l’Union européenne soit attentives aux normes internationales relatives à la confidentialité, évoquant un règlement ad hoc, notamment en matière de confidentialité et de respect de la vie privée. Enfin, il invite la Commission à s’intéresser à la notion de « privacy by design », au respect de l’intégrité et à la protection des données par défaut. Dans son avis du 25 juillet 2016 à propos du projet de révision de la directive ePrivacy, le CEPD (Contrôleur européen de la protection des données) estime nécessaire une régulation plus forte en matière de protection de la vie privée (Opinion 5/2016 - Preliminary EDPS Opinion on the review of the ePrivacy Directive 2002/58/EC). Pour un résumé de cet avis cf. JOUE 378/16 du 14 octobre 2016. Le Bureau européen des unions de consommateurs (BEUC) estime lui aussi nécessaire un renforcement de la protection des consommateurs dans ce domaine.

[30] JO du 8 octobre 2016.

[31] « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

[32] Pour un tour d’horizon de cette loi, cf. P. Storrer, M. Roussille, L. Laidi et E. Jouffin, « Nouveaux moyens de paiement, banque digitale et protection des données », Banque et Droit n° 170, p. 56.

[33] . L’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE) énonce que le règlement revêt une portée générale et obligatoire, dans tous ses éléments, directement applicable dans tous les pays de l’Union européenne.

[34] Article 85.

[35] Article 6

[36] Article 8.1.

[37] Article 17-1-e).

[38] Cf. l’avis réservé de la CNIL : délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité (saisine n° 1979541).

[39] Expression issue du Code de la sécurité intérieure, notamment l’article L. 222-1 permettant la consultation par des agents individuellement désignés et habilités d’accéder à un certain nombre de fichiers informatiques.

[40] Cf., dans ce même numéro, l’interview d’Isabelle Falque-Pierrotin, « Protection des données en Europe : “Un changement de culture” ».

[41] Article 3 – Considérants 22 à 24. A. Bounedjoum, « Le nouveau règlement européen sur la protection des données : tous concernés ! », JCP E et A, n° 22, 2 juin 2016, 1324.

[42] Cf., dans ce même numéro, M. Abadie, « Du Safe Harbor au Privacy Shield – Les soubresauts législatifs et jurisprudentiels liés au transfert des données personnelles hors de l’Union européenne ».

[43] Cf. supra, § 2. Selon le rapport de Mme Berger du 5 octobre 2016 sur l’extraterritorialité de la législation américaine http://www.assembleenationale.fr/14/pdf/rap-info/i4082.pdf ) : « D’après les données publiées par le gouvernement américain, les agences de renseignement ont dépensé près de 68 milliards de dollars (dont une trentaine de milliards pour les seules interceptions) au cours de l’année fiscale 2014, quand le “budget” français du renseignement […] pourrait être d’environ 1,2 milliard d’euros, soit un rapport de l’ordre de 1 à 50. »

[44] Judicial Redress Act du 24 février 2016.

[45] P.-Y. Bérard, « L’invalidation de l’accord “Safe Harbor” entre l’Union européenne et les États-Unis », Revue Banque n° 789. E. Derieux, « Encadrement du transfert de données personnelles de l’Union européenne vers les États-Unis d’Amérique », RLDI n° 120, novembre 2015, 3853. C. Castets-Renard, « Invalidation du “Safe Harbor” par la CJUE : tempête sur la protection des données personnelles aux États-Unis », D. 2016, p. 88.

[46] Entré en vigueur le 12 juillet 2016. Décision d’adéquation : Commission Implementing Decision of 12.7.2016 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection Provided by the EU-U.S. Privacy Shield (C(2016) 4176 final et C(2016) 4176 final annexes I to 7)

[47] À l’initiative de Digital Rights Ireland (affaire n° T-670/16) sous le visa de l’article 263 du TFUE. En France, trois associations ont, elles aussi, introduit un recours en annulation (la Quadrature du Net, French Data Network et Fédération FDN).

[48] Article 56 à 60du RGPD – Considérant 123 à 126.

[49] Tel que défini à l’article 4-16 a) du RGPD. Établissement où s’exerce l’administration centrale au sein duquel sont prises les décisions relatives aux finalités et aux modalités du traitement.

[50] Cf., dans ce même numéro, X. Lemarteleur, « Règlement général sur la protection des données : entre constance et innovation ».

[51] Cf. supra, § 2.

[52] Discussion paper « on innovative uses of consumer data by financial institutions », EBA/DP/2016/01, 4 mai 2016 : https://www.eba.europa.eu/documents/10180/1455508/EBA-DP-2016-01+DP+on+innovative+uses+of+consumer+data+by+financial+institutions. pdf.

[53] § 31 et traduction libre.

[54] Article 4-11 pour la définition du consentement.

[55] Le terme « explicité » est ajouté s’agissant du consentement en matière de données sensibles (art. 9-2 a), de profilage (art. 22-2 c) et de transfert (art. 49-1 a). Cf. également considérant 32. Le considérant 42 précise que le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. Le considérant 43 ajoute qu’un consentement libre, ne peut exister en présence d’un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique.

[56] Article 12 à 14.

[57] Article 12-7.

[58] On soulignera notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 15 f ).

[59] Dans la foulée d’un arrêt de la CJUE du 13 mai 2014 Google Spain (C-131/12). Cette décision souligne « En recherchant de manière automatisée, constante et systématique des informations publiées sur Internet, l’exploitant d’un moteur de recherche procède à une “collecte” des données au sens de la directive ». Cf. le document CNIL « Droit au déréférencement - Les critères communs utilisés pour l’examen des plaintes » : https ://www.cnil.fr/sites/default/files/typo/document/Droit_au_dereferencementcriteres.pdf. Cf. G29 : guidelines on implementation of the Court of Justice of the European Union judgment on “Google Spain and inc vs Agencia espanola de proteccion de datos (AEPD) and Mario Costeja Gonzales”, C-131/12, adopted on 26 November 2014 (WP 225).

[60] On notera les dispositions de l’article 22-1 en matière de profilage et le fait que si une personne peut opposer un refus d’une décision fondée exclusivement sur un traitement automatisé, l’article 13-2 f, relatif à l’information des personnes, ne prévoit pas d’obligation d’information à ce sujet.

[61] Cf., dans ce même numéro, Éric A. Caprioli, « Profilage et algorithmes dans la banque – Brèves réflexions juridiques ».

[62] Données « inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».

[63] Art. 8.2 : « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en dessous de 13 ans. » La loi Lemaire aborde ce sujet au travers d’un ajout à l’article 40 de la loi informatique et libertés, complété d’un II traitant du droit à l’effacement à l’égard des personnes mineures au moment de la collecte.

[64] Cf., dans ce même numéro, X. Lemarteleur, « Règlement général sur la protection des données : entre constance et innovation ».

[65] Article 20 du RGPD. Cf. également G. 19, Guidelines on the Right to Data Portability WP 242, adopted on 13 December 2016, et art. 22 de la proposition de règlement e-privacy 2017/0002 (COD) du 10 janvier 2017.

[66] Article L. 224-42-1 du Code de la consommation : « Le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données. » Les internautes pourront récupérer les données qu’ils ont mises en ligne, dans un standard ouvert, aisément réutilisable et exploitable par un autre système de traitement automatisé (Art. L. 224-42-3).

[67] . On notera le contenu du considérant 68 du RGPD énonce que « le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles ». Cf. G29 Guidelines on the Right to Data Portability - WP 242 du 13 décembre 2016.

[68] Article 18 du RGPD

[69] Article 78 du RGPD.

[70] Article 80 du RGPD.

[71] Article 45 quinquies du projet de loi Justice pour le XXIe siècle. La France n’a pas jugé bon d’utiliser la possibilité offerte par l’article 80-1 in fine du RGPD (renvoyant à l’article 82) de prévoir une action à des fins indemnitaires.

[72] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (ci-après loi Lemaire – le décret organisant notamment le répertoire des directives sera publié pour mars 2017). Nous nous bornerons à deux droits emblématiques non évoqués dans le RGPD.

[73] Article 30 du RGPD.

[74] Article 47 et 48 du décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et fiche n° 9 - la liste des traitements du CIL ou « registre » du guide CIL de la CNIL, éd. 2011.

[75] Article 30-4 du RGPD

[76] Art. 40 du RGPD.

[77] Art. 40 7° du RGPD.

[78] Art. 42 du RGPD. Sur la notion de certification et ses implications, O. Tambou, « L’introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? », RLDI, n° 126, mai 2016, p. 43.

[79] Cf. infra, « Les nouvelles obligations des responsables de traitement et sous-traitants ».

[80] Journée d’INRIA et de l’AFDIT – Protection de la vie privée (11 septembre 2013) - Évolution de l’accountability dans le droit européen, Antoine Fobe – CNIL, Affaires européennes et internationales ; G29, Opinion 3/2010 adoptée le 13 juillet 2010 on the principle of accountability. Expression que l’on peut traduire par « responsabilité » ou « être comptable de ».

[81] Article 5-2 : « The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’) » et considérant 85 à propos de la déclaration des failles de sécurité dans un délai de 72 heures.

[82] Déclarations, demandes d’autorisation réalisées auprès du régulateur préalablement à la mise en oeuvre d’un nouveau traitement de données. Bien que ces formalités préalables aient été déjà allégées depuis la mise en place du Correspondant Informatique et Libertés dans les entreprises.

[83] À l’exception des études d’impact relatives à la protection des données, cf. infra.

[84] Article 24 du RGPD.

[85] Articles 25 du RGPD : « Protection des données dès la conception et protection des données par défaut »

[86]

[87] Art. 35 et 36 du RGPD : Scoring, données sensibles, vidéosurveillance, données génétiques ou biométriques, usage de nouvelles technologies…

[88] Considérant 94 du RGPD.

[]

[89] Articles 37 à 39 du RGPD. Lors d’un Fablab conduit par le G29 en juillet 2016(ec. europa. eu/.../20160930_fablab_results_of_discussions_ en. pdf ), le statut du DPO a été abordé en termes d’exigences et d’incompatibilités, de volume d’activité impliquant sa désignation, de conflits d’intérêts et de fonction complémentaires. Cf., dans ce même numéro, B. Fauvarque-Cosson et E. Jouffin, « Du Correspondant informatique et libertés (CIL) au Délégué à la protection des données (DPD) : entre continuité et changements ». Cf. également G 29 Guidelines on Data Protection Officer (« DPOs ») WP 243, adoptés le 13 décembre 2016 et projet de règlement e-privacy, spéc. art. 44 à 46.

[90] Considérant 97.

[91] Traitement d’un « volume considérable de données à caractère personnel au niveau régional, national ou supranational » (considérant 91). Article 37-1 du RGPD.

[92] Articles 33 et 34. Cf. dans ce même numéro, C. Boutonnet, « La sécurité des données », intégrée dans une perspective plus large de sécurité des systèmes informatiques.

[93] Ordonnance n° 2011-2012 du 24 août 2011 relative aux communications électroniques.

[94] À moins que cette faille ne soit pas « […] susceptible d’engendrer un risque pour les droits et libertés des personnes physiques », évaluation qui doit être faite avec la plus grande prudence (art. 33-1).

[95] Le sous-traitant doit également notifier les violations au responsable du traitement et ce, dans les meilleurs délais (art. 33-2) .

[96] 96. CA 18 décembre 2015, n° 385019 : N. Metallinos, « Notifications des violations de données à la CNIL : tendre le bâton pour se faire battre ? », Dalloz Ip/IT 145, mars 2016

[97] Article 32 et s. de la loi informatique et libertés et 24 du RGPD. La loi informatique et libertés n’avait pas repris le principe de coresponsabilité présent dans l’article art. 2, d de la directive 95/46 du 24 octobre 1995

[98] Article 4 du RGPD

[99] Articles 26 et 28 du RGPD

[100] L’accord 26-2 du RGPD énonce que les grandes lignes de l’accord sont mises à la disposition de la personne concernée. Reste à déterminer ce que sont ces « grandes lignes ».

[101] Article 82-1 du RGPD.

[102] M. Bourgeois « Réforme européenne des données personnelles : le nouveau partage de responsabilité entre les acteurs d’un traitement », JCP E et A, n° 22, 2 juin 2016, 1328.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet