LES ARTICLES DU RGPD
Le 25 mai 2018, s’appliquera le
fameux Règlement général sur la protection des données personnelles. Ses 99
dispositions suscitent interrogations et inquiétudes. Pour tenter d’y voir plus
clair, Next INpact vous propose une explication ligne par ligne du RGPD. Nous
débutons cette série avec les articles 1 à 23.
Un texte unique pour les régenter toutes. Voilà le credo du RGPD. L’acronyme est désormais un juteux argument commercial dans les salons dédiés à la sécurité, puisqu’on ne compte plus le nombre de sociétés de conseil spécialisées dans la mise en conformité. Il est vrai cependant que le règlement correspond bien à une révolution en Europe et au-delà, avec des points névralgiques que ne devront pas ignorer les sociétés qui brassent de la donnée.
D’abord, pourquoi un règlement et non une directive ? Tout simplement parce que le règlement est juridiquement d’application directe. Il n’exige donc pas de loi de transposition pour être adapté au climat de chaque État membre. Un tel véhicule assure l’uniformisation bien loin de la simple harmonisation. Dit autrement, un règlement évite la fragmentation des législations, et les opportunités de forum shopping, alors que les services en ligne se soucient si peu des frontières.
Voilà en tout cas pour la théorie puisque le RGPD a ses particularités. Le texte ouvre en effet plusieurs options sur certains axes, afin de laisser du mou à chaque législation. Une forme de droit souple.
C’est d’ailleurs l’objet du projet de loi actuellement discuté en France qui, outre une adaptation de l’environnement juridique, active plusieurs des interrupteurs facultatifs programmés par le texte européen. Un exemple parmi d’autres : la question de l’âge à partir duquel un mineur peut consentir à voir ses données personnelles traitées par Facebook et les autres acteurs en ligne. La marge de manœuvre des États se situe entre 16 ans, la norme, et 13 ans, le seuil qui sied tant aux géants américains.
Mais délaissons ces propos introductifs et plongeons-nous maintenant dans les méandres de ce fameux RGPD, article par article en débutant avec les article 1 à 23, à savoir les dispositions générales (chapitre 1), les principes (chapitre 2) et les droits des personnes physiques (chapitre 3).
Notre dossier sur le RGPD :
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)
Chapitre I. Dispositions générales
Un droit fondamental (article 1)
D’entrée, le règlement rappelle plusieurs considérations de principe. La protection des données personnelles est clairement un droit fondamental. Son objectif ? « Contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques ».
Ces paroles n’ont pas seulement une beauté philosophique alors que géants du Net et institutions publiques engloutissent chaque jour toujours plus de données personnelles, jusque dans les méandres de l’intimité.
Elles guideront les pas du juge lorsqu’il devra ausculter un dossier épineux où seront nécessairement en confrontation des intérêts divergents. La protection des données n’est d’ailleurs pas érigée en droit absolu, mais devra être mise en balance avec d’autres dispositions de même rang, comme la liberté d’entreprendre. Un travail classique d’arbitrage, mais où les rampes d’interprétation sont d’une utilité manifeste.
Champ d’application du règlement (article 2)
Le règlement disponible au Journal officiel européen s’applique donc à tous les traitements de données à caractère personnel, sauf exception.
Quelles exceptions ? Avant tout, les fichiers de sécurité restent de la compétence des États membres. De même, sont exclus les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé…). Le RGPD ne s’occupe pas davantage des traitements relatifs à la prévention et la détection des infractions pénales, lesquels font l’objet d’un texte à part, une directive cette fois.
Le règlement, pose l’article 1, établit « des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».
Cette notion de libre circulation des données est importante : elle ne pourra être limitée ou interdite « pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ». Le sacro-saint marché unique ne doit donc pas sortir affaibli de cette législation qui concerne toutes les personnes physiques, « indépendamment de leur nationalité ou de leur lieu de résidence ».
En somme, l’exercice périlleux du règlement sera d’assurer une parfaite fluidité de la donnée, tout en blindant sa protection contre les abus mesurés en fonction de principes classiques et des nouvelles règles.
Le champ d’application territorial (article 3)
Quels sont les traitements qui tomberont sous le coup du règlement ? C’est justement l’une des grandes nouveautés de ce texte.
D’une part, il va s’appliquer à toutes les manipulations de données à caractère personnel effectuées « dans le cadre de l’exercice effectif d’un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l’Union ».
Derrière ces mots, on doit comprendre que le lieu du traitement n’a plus aucune incidence. Il ne sera plus possible d’échapper aux griffes de cette législation en faisant héberger son système d’information loin des frontières européennes.
Le critère qui l’emporte est celui de « l’établissement », qui selon la définition apportée par le RGPD « suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable ». Soit un joli champ à contentieux.
Ce critère de l’établissement n’est pas le seul à être pris en compte. Le RGPD s’applique d’autre part aux transferts et traitements concernant des personnes se trouvant en UE quand bien même le responsable (ou un sous-traitant) n’est pas établi dans l’Union.
Plus exactement, toutes les offres de biens ou services, avec ou sans paiement, mais également le suivi de comportements (profilage, prédiction, etc.) repérés au sein de l’Union seront encadrés dès lors qu’ils ciblent des personnes physiques se trouvant dans l’Union.
Plusieurs indices permettront aux autorités de justifier cette emprise : langue utilisée, monnaie… Si un prestataire américain veut éviter d’avoir à respecter le RGPD, il devra bien s’atteler à ne pas laisser pareilles traces sur son site.
Cette portée est importante puisque d’une certaine manière, elle va assurer la propagation de ces valeurs à l’échelle planétaire, du moins chez ceux qui envisagent de cibler le marché européen. Les arguties liées à la territorialité, déployées par force de conviction par des armées d’avocats n’auront qu’un intérêt théâtral à l’avenir.
Qu’est-ce qu’une donnée personnelle ? (article 4)
Le règlement définit les « données à caractère personnel », comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Le texte reste très ambitieux puisqu’une « personne physique identifiable » sera celle « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Autant dire que les juridictions auront plusieurs leviers pour faire entrer un traitement dans ce champ matériel.
Autre précision, les données qui ont fait l’objet d’une pseudonymisation « et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».
Chapitre II. Principes
Les principes que doivent respecter tous les traitements de données (article 5)
L’article 5 est l’un des autres pivots du RGPD. C’est lui qui définit le niveau de qualité attendu de tous les traitements de données à caractère personnel. Et c’est à partir de lui que pourront être prises diverses sanctions contre les responsables qui n’auraient pas respecté ces fondamentaux.
Pas de surprise à prévoir pour notre législation. On retrouve en effet plusieurs principes déjà inscrits dans la loi CNIL de 1978. Les données à caractère personnel doivent être :
- « traitées de manière licite, loyale et transparente au regard de la personne concernée ».
- « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».
- « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
- « exactes et, si nécessaire, tenues à jour », sachant que toutes les mesures raisonnables seront prises pour corriger les inexactitudes.
- « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (sauf hypothèse d’archivage dans l’intérêt public, de recherche scientifique, historique ou statistique).
- « traitées de façon à garantir une sécurité appropriée »
En somme : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, dont la conservation est réduite dans le temps, et dont sont assurées l’intégrité et la confidentialité.
Un dernier alinéa prévient que le responsable du traitement sera « responsable du respect » de ces critères. Mieux, il devra être en mesure de « démontrer » que ceux-ci sont respectés et donc assumer la charge de la preuve.
Ce principe de responsabilité est fondamental dans la logique du RGPD. Le règlement conduit en effet les États membres à sortir d’un régime d’autorisation ou de déclaration que connaissent bien ceux en contact avec la CNIL par exemple. Les entreprises gagneront en liberté, avec des formalités en moins auprès des autorités de contrôle, mais devront aussi assumer les conséquences d’une violation de ces dispositions, ou s’ils ne parviennent pas à apporter la démonstration attendue.
Le caractère licite du traitement (article 6)
Cet article s’attache à définir à partir de quand un traitement est considéré comme « licite ». Pour cela, les responsables devront respecter au moins l’une des conditions énumérées :
- La personne a consenti au traitement
- Le traitement est nécessaire à l’exécution d’un contrat
- Le traitement est nécessaire au respect d’une obligation légale
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
- Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.
Ce critère de « l’intérêt légitime » sera aussi le creuset d’un important contentieux, mais pour éviter un déséquilibre manifeste, il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant). Dans ces hypothèses, sa protection l’emportera toujours.
Les propos liminaires ne sont pas explicites sur ce qui se cache derrière ces blocs. On apprend ainsi que l’intérêt légitime s’arrêtera lorsque des données « sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur ».
Néanmoins, la prévention de la fraude, la sécurité des systèmes d’information (dont la lutte contre les attaques DDoS), ou les traitements à des fins de prospection sont considérés par défaut comme « des intérêts légitimes » (point 47 de l’introduction).
Un détail important : les traitements des autorités publiques ne sont pas concernés par cette notion, tout simplement parce qu’« il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques ».
Malgré la grande uniformisation attendue dès mai 2018, les États conservent plusieurs facultés d’adaptation de leur droit. L’article 6 prévient que chaque pays aura la possibilité de prévoir ou maintenir des dispositions spécifiques pour les traitements relatifs à une obligation légale ou ceux concernés par l’intérêt public. Mais la logique est plutôt celle du cliquet anti retour, en ce sens que ces textes devront toujours être plus précis et garantir un traitement licite et loyal.
Cette logique de finalité n’est enfin pas absolue. Le RGPD accepte que les traitements soient effectués pour d’autres finalités que celles qui ont piloté la collecte initiale. Néanmoins, il devra toujours y avoir « compatibilité ».
Le considérant 50 indique à titre d’exemple que « le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible ».
Si on veut résumer, il pourra y avoir extension des finalités, mais jamais un détournement auquel les personnes ne pouvaient pas s’attendre raisonnablement. Là aussi, ce sujet de la compatibilité risque d’être un beau nid à questionnement pour les tribunaux lorsqu’une entreprise lancera un traitement pour des finalités qui n’avaient pas été prévues à l’origine.
Remarquons enfin que le fait pour le responsable du traitement « de révéler l’existence d’éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l’intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).
Le consentement (article 7)
Comme déjà précisé, dans une logique de responsabilité, le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement, du moins dans les cas où ce recueil était nécessaire.
Certes, il y a une astuce bien connue : noyer cette demande de collecte dans des conditions générales d’utilisation ou dans un flot de questions. Une astuce sans détour repoussée par le RGPD lorsqu’il prévient que la demande devra « être présentée sous une forme qui la distingue clairement », « compréhensible et aisément accessible, et formulée en des termes clairs et simples ».
Le texte insiste : il sera aussi simple de retirer que de donner son consentement. Ce retrait pourra avoir lieu à tout moment. Bien entendu, « le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait ». Enfin, « la personne concernée en est informée
[de cette liberté]avant de donner son consentement ».
Un point névralgique : si l’exécution d’un contrat est subordonnée au consentement de la personne, alors que celui-ci n’est pas nécessaire à une telle démarche, alors le critère de la liberté sera présumé ne pas avoir été respecté.
Lorsqu’un site voudra aspirer vos données personnelles, il devra requérir « un acte positif clair » afin de s’assurer que la personne concernée « manifeste de façon libre, spécifique, éclairée et univoque son accord ».
Idéalement, cela doit se faire par une déclaration écrite, mais une simple case à cocher lors de la consultation d’un site pourra suffire voire « un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte »
En toute hypothèse, pas de consentement en cas de silence, de cases précochées par défaut ou encore d’inactivité durant un laps de temps.
Des lignes directrices et explicatives finalisées seront bientôt disponibles sur le site de la CNIL.
Les enfants (article 8)
Les enfants sont mieux protégés, très logiquement « parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
La question centrale est de déterminer à partir de quel âge un enfant est en capacité de consentir seul par exemple pour que Facebook puisse traiter ses données. L’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans.
Faute de mieux, Facebook et les autres devront s’efforcer « raisonnablement » de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, « compte tenu des moyens technologiques disponibles ». Des propos qui ne sont pas bien utiles, tant cette phase de vérification est impossible à distance, sans moyens extrêmement intrusifs.
Le considérant 38 ajoute une précision utile : même sous le seuil, le consentement des parents ne sera jamais nécessaire « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». On pense ici aux services liés par exemple à la consommation de drogue ou aux moyens de contraception…
Les données sensibles (article 9)
Cet article pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale. Sont ajoutées les données génétiques, et les données biométriques si elles servent à identifier une personne physique de manière unique. Enfin, les données de la santé ou concernant la vie ou l’orientation sexuelle.
Ces traitements sont toutefois autorisés dans une série de cas limitatifs :
- En cas de consentement de la personne
- En matière de sécurité sociale, protection sociale ou droit du travail.
- Lorsque des intérêts vitaux sont en jeux,
- Pour les associations à finalité politique, philosophique, religieuse ou syndicale,
- Quand les données ont été rendues publiques par la personne
- Dans le secteur de la justice
- Si sont en jeux des « motifs d’intérêt public importants » qui doivent néanmoins respecter « l’essence du droit à la protection de la donnée ».
- Dans le secteur de la santé (médecine, etc.)
- Pour l’archivage, la recherche scientifique ou historique, etc.
Les États membres pourront introduire des conditions supplémentaires pour les données génétiques, biométriques ou de santé. Remarquons que les motifs d’intérêt public importants ne pourront jamais autoriser que des traitements soient envisagés « à d’autres fins par des tiers, tels que les employeurs ou les compagnies d’assurance et les banques ». Il y a des précisions de rigueur qui s’imposent, compte tenu de l’appétit de ces secteurs.
Les traitements liés aux condamnations pénales (article 10)
Selon le RGPD, ces traitements sensibles ne peuvent être en principe envisagés « que sous le contrôle de l’autorité publique », soit la CNIL en France. Rappelons ici le contentieux sur le terrain du droit à l’oubli où Google a porté un dossier devant la CJUE alors que plusieurs requérants lui reprochent d’avoir référencé des condamnations pénales.
Traitement sans identification (article 11)
Une mesure de bon sens : lorsque des données à caractère personnel traitées par une entreprise par exemple ne permettent pas à celle-ci d’identifier une personne physique (anonymisation), le responsable « ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement » (conservation, etc.)
Dans ce cas, si « le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée ». Si cela lui est possible… par exemple avec une information générique sur un site Internet. En cas d’anonymisation, les droits de la personne disparaissent (droit d’accès, etc.) sauf le droit d’opposition, curieusement.
Chapitre III. Droits de la personne concernée
Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)
Toute collecte devra être accompagnée d’une série d’informations obligatoire. La liste est longue, mais citons l’identité du responsable du traitement, celle du délégué à la protection des données s’il existe, les finalités du traitement, les données concernées, la base juridique…
La personne physique devra également connaitre les « intérêts légitimes » avancés par le collecteur, outre les destinataires de ces données. Il devra être éclairé de la volonté de transférer les données hors UE.
Seront également soufflés la durée de conservation du traitement, le droit à la rectification ou l’effacement, le droit d’opposition, le droit de saisir l’autorité de contrôle.
Les informations à communiquer pourront être fournies accompagnées « d’icônes normalisées » afin « d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ». Par délégation, la Commission européenne sera chargée de déterminer les informations présentées sous cette forme.
Ce droit est une des pierres angulaires puisque les intéressés devront être informés également « si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ».
Enfin, en cas de décision automatisée (précédée par exemple d’un profilage), la personne physique devra se voir livrer « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement ».
Le considérant 62 pose qu’« il n’est pas nécessaire d’imposer l’obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations [ou] lorsque l’enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d’informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés ». Un dernier point qui devrait servir de brèche.
L’article 14 évoque le scénario où des données n’ont pas été collectées auprès de la personne concernée. Là encore surgit l’obligation d’information (identité, finalité, etc.) qui doit intervenir dans le délai d’un mois, avec en particulier mention de la source. Il devra lui-même dire « s’il est envisagé de communiquer les informations à un autre destinataire », histoire d’assurer une traçabilité pleine et entière.
Tout pareillement, cette obligation d’information dérivée n’aura pas à être organisée si le concerné a déjà ces infos ou si leur fourniture « se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public ».
Les droits d’accès et de rectification (articles 15 et 16)
Si le responsable dispose d’une obligation d’information, la personne concernée a, elle, le droit d’obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. C’est le droit d’accès qui lui permettra d’avoir un éclairage individualisé de ces traitements.
Fait notable, le responsable doit sur demande lui fournir une copie des données faisant l’objet d’un traitement, mais le cas échéant, il peut exiger le paiement « de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ».
Mais comment s’assurer que celui qui fait cette demande est bien celui qui se prétend être ? Sur ce point, le considérant 64 explique que le responsable « devrait prendre toutes les mesures raisonnables pour vérifier l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le cadre des services et identifiants en ligne ». Nous voilà bien avancés.
Évidemment, en cas d’erreur, le demandeur dispose du droit, « dans les meilleurs délais », d’obtenir rectification des données inexactes ou incomplètes.
Droit à l’effacement ou à l’oubli (article 17)
Ce droit à l’effacement a été consacré à destination des moteurs dans le fameux arrêt Costeja de la Cour de justice de l’Union européenne. Il devient ici un droit à l’oubli, précisé, détaillé et expliqué dans le marbre du RGPD, conditionné à la vérification d’un des motifs suivants : des données qui ne sont plus nécessaires (principe de minimisation), le consentement de l’intéressé a été retiré, ou le traitement initial était illicite, ou concernait des enfants sans autorisation, etc.
Une fois l’une de ces conditions respectée, le site, le moteur ou autre devra prendre « des mesures raisonnables » pour informer tous les autres prestataires utilisant ces mêmes données qu’une demande d’effacement a été exprimée.
Ce droit n’est pas absolu : il ne s’applique pas lorsque le traitement est nécessaire à la liberté d’expression ou d’information ou est consécutif au respect d’une obligation légale. Impossible ainsi de demander son effacement du fichier TES des titres sécurisés, géré par le ministère de l’Intérieur. Des motifs d’intérêt public dans le domaine de la santé, de l’archivage, de la recherche ou historique pourront être avancés. Enfin, le droit à l’effacement ne percera pas dans le secteur de la justice.
Droit à la limitation du traitement (article 18)
Lorsque l’exactitude du traitement est contestée ou que ce même traitement est illicite, la personne physique peut demander la limitation de l’utilisation des données. Cette demande vaudra également lorsque les données ne sont plus nécessaires, mais qu’elles doivent être pour partie conservées afin de permettre l’exercice des droits. Les données limitées ne peuvent alors être exploitées qu’avec le consentement des intéressés.
Cet article pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement, histoire de les sanctuariser sans les rendre accessibles aux tiers.
Obligation de notification (article 19)
Les rectifications et effacements de données devront faire l’objet d’une notification aux différents destinataires auxquelles ces informations ont été communiquées, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés ».
Droit à la portabilité des données (article 20)
C’est l’un des éléments les plus médiatisés du règlement, qui fait l’objet de lignes directrices. En quoi consiste-t-il ? Quiconque a fourni des données chez X ou Y aura le droit dès le 25 mai d’y accéder et de les récupérer. Et pas n’importe comment : même s’il est un peu brumeux, l’article 20 prévient que ce transfert se fera « dans un format structuré, couramment utilisé et lisible par machine ». Et même interopérable, insiste le considérant 68.
Ce droit en emporte un autre : celui de transmettre « son » stock de données à un autre prestataire, sans que le premier détenteur ne puisse y faire obstacle. Mieux, il sera également possible d’exiger un déport des données du premier au second prestataire, du moins « lorsque cela est techniquement possible ».
Cette dernière incise est un appel du pied pour que des acteurs spécialisés émergent sur le marché afin d’aider à la suppression de ces barrières (voir à ce titre l’exemple de Cozy Cloud).
Ce droit n’est toutefois pas absolu. Il suppose que le traitement initial ait été fondé sur le consentement ou un contrat ou à l’aide de procédés automatisés. Néanmoins, ces trois motifs sont suffisamment vastes pour assurer la petite révolution espérée.
Le périmètre exclut en tout cas les traitements nécessaires à l’exécution d’une mission d’intérêt public, relevant de l’exercice de l’autorité publique et ceux répondant à une obligation légale.
Droit d’opposition (article 21)
Toute personne pourra s’opposer à n’importe quel moment à un traitement de données, « pour des raisons tenant à sa situation particulière ».
Ce droit exercé, le responsable du traitement devra alors s’abstenir, sauf à démontrer l’existence de « motifs légitimes et impérieux » suffisamment lourds pour prévaloir « sur les intérêts et les droits et libertés de la personne concernée » ou bien parce que cette poursuite est utile « pour la constatation, l’exercice ou la défense de droits en justice ».
En attendant cette démonstration, le traitement devra nécessairement être interrompu. Ce droit pourra par exemple s’exercer dans toute sa plénitude en cas de prospection commerciale accompagnée ou non d’un profilage.
Pour le blinder davantage encore, le responsable de traitement devra explicitement porter à l’attention de l’individu l’existence de ce droit, « clairement et séparément de toute autre information ». Inutile encore de tenter de noyer le poisson dans les CGU.
Ajoutons qu’à l’égard des services en ligne, une personne pourra exercer son droit d’opposition de manière automatique (via des services en ligne dédiés par exemple).
Décision individuelle automatisée, profilage (article 22)
Cette interdiction se retrouvait déjà dans la loi CNIL. Il sera interdit dans toute l’Europe le 25 mai de fonder une décision – peu importe sa nature dès lors qu’elle affecte ou produit des effets juridiques – exclusivement sur un traitement automatisé, en particulier un profilage. Cela concerne à titre d’illustration « le rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ».
Des exceptions : lorsque ces traitements sont autorisés par la loi (lutte contre la fraude, etc.), ou encore en matière de droit des contrats ou enfin lorsque la personne a donné son consentement explicite.
Dans ces deux derniers cas, l’individu aura cependant toujours la possibilité « d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ». Les données sensibles sont en principe exclues sauf cas particulier.
Sur le profilage, on pourra retenir que des lignes directrices sont disponibles en l’état de projet sur le site de la CNIL.
Les limitations aux droits de la personne (article 23)
Différents motifs peuvent venir limiter l’ensemble des droits exposés par le RGPD (rectification, information, accès, effacement…). Ce sont des éléments tenant par exemple à la sécurité ou la défense nationale, la sécurité civile (catastrophes naturelles),
Ces limitations doivent toujours
respecter « les exigences
énoncées par la Charte et par la convention européenne de sauvegarde des droits
de l’homme et des libertés fondamentales ».
Chapitre IV. Responsable du traitement et sous-traitant
Section 1. OBLIGATIONS GÉNÉRALES
La responsabilité du responsable du traitement (article 24)
Comme déjà expliqué, le RGPD se construit sur une logique de responsabilité. Cela va avoir des conséquences organisationnelles douloureuses pour l’entreprise qui souhaite brasser de la donnée ou qui sous-traite cette mission.
Elle devra en effet mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».
S’assurer de et pouvoir démontrer l’existence de mesures efficaces pour respecter les termes du RGPD seront des obligations qui exigeront une bonne « hygiène » de la part des structures concernées.
Cette disposition impliquera toujours une analyse de risques dès lors que « le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ». Évidemment, cette analyse sera d’autant inévitable lorsque les traitements concerneront les enfants (considérant 75).
Pour démontrer ces éléments, les responsables seront bien inspirés d’adopter un code de conduite ou de lignes directrices. Loin des discours français venus de l’Intérieur ou même de l’Élysée, le RGPD prône, à l’attention du responsable ou du sous-traitant, des mesures pour atténuer ces risques, « telles que le chiffrement ».
Protection des données dès la conception et protection des données par défaut (article 25)
Ce sont le « privacy by design » et le « privacy by default ». Selon le contexte et les risques évalués par lui seul, le responsable de traitement devra dès « la détermination des moyens », mettre en œuvre « des mesures techniques et organisationnelles appropriées » comme la pseudonymisation ou la minimisation des données.
Cette protection dès la conception, mais également par défaut est donc une nouvelle responsabilité à laquelle doit répondre chaque entreprise
Un système de certification est possible comme on le verra à l’article 42, afin d’aider à démontrer le respect de ces exigences.
Un oubli, une défaillance ou une fragilité pourra peser dans la balance des sanctions administratives infligées par les autorités de contrôle.
Responsabilité conjointe (article 26)
Afin de parer toute divergence juridictionnelle et autre stratégie de ping-pong, l’article 26 explique que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».
Le RGPD demande qu’un accord soit dès lors passé entre ces membres pour en déterminer les rôles respectifs. Ses grandes lignes doivent être mises à disposition des personnes physiques concernées. Celles-ci peuvent exercer leurs droits (accès, rectification, etc.) auprès de l’un ou l’autre.
Représentants des responsables du traitement ou des sous-traitants non établis dans l’Union (article 27)
Lorsqu’un responsable ou un sous-traitant est situé hors UE, s’impose la désignation d’un représentant dans l’Union, parmi les pays où des personnes physiques sont visées par le traitement (ou sont suivies). C’est lui qui servira de courroie de transmission avec les autorités de contrôle en cas de vérification ou gestion des problèmes.
Ce principe connaît des exceptions. L’obligation disparaît en particulier pour les traitements occasionnels, qui ne concernent pas une masse de données sensibles, sans risque pour les droits et libertés des personnes physiques. Autre hypothèse, les traitements mis en œuvre par les autorités publiques.
Sous-traitant (article 28 et 29)
Ces articles traitent des relations entre sous-traitant et responsable du traitement. Le sous-traitant doit impérativement présenter « des garanties suffisantes », techniques et organisationnelles, afin que « le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Ce niveau d’exigence se répercute également chez le sous-traitant du sous-traitant, le RGPD exigeant une autorisation écrite préalable, spécifique ou générale, du responsable du traitement afin de nouer les responsabilités dans cet enchevêtrement.
Le contrat liant sous-traitant au responsable prévoit objet, durée, nature et finalités du traitement outre les données personnelles et les catégories de personnes concernées. Les données ne peuvent être traitées (ou transférées hors UE) que sur instruction du responsable, sauf obligations légales.
Ce principe est souligné à nouveau à l’article 29 du RGPD. La question sera évidemment de savoir ce que recouvre l’obligation légale. Est-ce une norme venue d’un pays hors UE, même non démocratique, ou une norme uniquement UE ?
Évidemment, le sous-traitant doit respecter la confidentialité, et supprimer ou transmettre toutes les données après la fin de la prestation. Il tient à disposition du responsable « toutes les informations nécessaires pour démontrer le respect des obligations » prévues par cet article, en permettant au surplus « la réalisation d’audits ». Le RGPD recommande l’usage d’un code de conduite pour démontrer la solidité de ces garanties.
Registre des activités de traitement (article 30)
Une autre obligation documentaire est prévue. Elle concerne toutes les entreprises de plus de 250 salariés. C’est la tenue d’un registre qui répertorie tout un ensemble d’informations. On y trouve le nom du responsable, les finalités du traitement, une description des personnes concernées et des données, les destinataires de ce stock, les éventuels transferts hors UE, « dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données » et une description sommaire des mesures de sécurité techniques et organisationnelles.
Le sous-traitant doit également tenir un tel document dans le pourtour de ses données, enrichi des noms de ses éventuels sous-traitants et des responsables ainsi que celui du délégué à la protection des données.
Ces documents sont mis à la disposition des autorités de contrôle.
Les plus petites structures, inférieures à 250 salariés, sont également tenues de s’équiper d’un tel registre « si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données » (données sensibles, comme les condamnations pénales).
Coopération avec l’autorité de contrôle (article 31)
L’article impose une obligation de coopération avec les autorités de contrôle (la CNIL en France). D’apparence, cela ne mange pas de pain… mais la moindre défaillance pourra être sanctionnée sur le fondement de cette disposition.
Section 2 : SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL
Sécurité du traitement (article 32)
C’est un élément central. Responsable comme sous-traitant doivent « garantir un niveau de sécurité adapté au risque », en optant pour une série de techniques de protection comme la pseudonymisation et le chiffrement des données à caractère personnel, et « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
Mieux, par avance, chacun doit prévoir des moyens pour « rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ».
Cette obligation de sécurité, qui pourra se concrétiser par l’application d’un code de conduite, leur imposera un contrôle régulier où, à chaque fois, de nombreux scénarios devront être anticipés, notamment la destruction, la perte, l’altération, la divulgation, l’accès non autorisé à de telles données, etc.
Notification à l’autorité de contrôle d’une violation de données à caractère personnel (article 33)
En cas de violation de données, l’article 33 du RGPD impose une procédure de notification à la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », à moins de démontrer, conformément au principe de responsabilité, « qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques ». Si le responsable a dépassé ce délai, il devra s’expliquer de son retard lors de la notification effective.
Une obligation similaire pèse sur le sous-traitant à l’égard du responsable de traitement.
Le RGPD donne les informations minimales que doivent intégrer ces échanges : nature de la violation, nombre approximatif de personnes victimes, catégories de données… Les conséquences probables de la violation de données doivent aussi être fournies, ainsi que les mesures prises ou envisagées pour éteindre ou calmer l’incendie. Si tout ne peut être communiqué à temps, les éléments manquants pourront être fournis « de manière échelonnée sans autre retard indu. »
Une obligation documentaire pèsera là aussi sur le responsable : description des faits, les effets de la violation, et les mesures prises pour y remédier, etc. (Voir les lignes directrices du G29)
Communication à la personne concernée d’une violation de données à caractère personnel (article 34)
Cette alerte sera doublée d’une notification adressée dans les meilleurs délais à l’ensemble des personnes physiques concernées, dès lors que la violation « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».
Le responsable doit utiliser à cette fin « des termes clairs et simples » et expliquer « la nature de la violation ».
Il pourra néanmoins échapper à ce devoir d’information individuelle s’il a mis en œuvre les mesures de protection appropriées, s’il peut garantir que le risque élevé n’est plus susceptible de se matérialiser, ou enfin si cela lui exigeait des efforts disproportionnés. Mais dans ce dernier cas, il ne pourra échapper à l’obligation d’« une communication publique ».
Si la société a bêtement oublié d’informer les victimes, la CNIL pourra, en cas de risque élevé, la contraindre à le faire.
Section 3. ANALYSE D’IMPACT RELATIVE A LA PROTECTION DES DONNÉES, CONSULTATION PRÉALABLE
Analyse d’impact relative à la protection des données (article 35)
Selon le type de traitement, et en cas de « risque élevé » pour les droits et libertés des personnes physiques, une analyse de l’impact des opérations envisagées sera menée sur la protection des données à caractère personnel, ou « PIA ».
Cette analyse, rédigée avec les bons conseils du délégué à la protection des données, devra évaluer les traitements automatisés comme le profilage, ceux à grande échelle portant sur des données sensibles, ou encore « la surveillance systématique à grande échelle d’une zone accessible au public », etc.
Il reviendra à la CNIL de détailler au fil du temps les types d’opérations obligeant à ces analyses. Elle pourra inversement énumérer les traitements ne nécessitant pas une telle procédure.
Que trouve-t-on dans cette analyse ? Un véritable inventaire des opérations, des finalités, une évaluation de la nécessité et de la proportionnalité de ces actes, des risques, des mesures de sécurité… ou encore le respect par le responsable des codes de conduite prévus par l’article 40 du RGPD. Pour plus de détails, on pourra consulter les lignes directrices disponibles sur le site de la CNIL ou sur le site du G29.
Consultation préalable (article 36)
Dans certains cas graves, la CNIL devra être consultée pour pouvoir ausculter cette analyse. La logique de la déclaration/autorisation n’est donc pas totalement éradiquée de notre législation. Si elle considère que le traitement va à l’encontre du règlement, elle pourra émettre un avis à destination du responsable en principe dans un délai de 8 à 14 semaines.
Section 4. DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES
Désignation du délégué à la protection des données (article 37)
Déjà évoqué plusieurs fois, un DPD (ou DPO, en anglais) devra être désigné par le responsable du traitement et le sous-traitant dans certains cas précis :
- Traitements effectués par une autorité publique
- Suivi à grande échelle systématique des personnes physiques
- Traitement à grande échelle des données sensibles
La question est évidemment de savoir ce que recouvre l’expression de grande échelle. Les autres responsables peuvent toujours désigner un DPD en dehors de ces cas, ou bien parce que la loi interne les y oblige. Un seul délégué pourra exister au sein d’un groupe d’entreprises ou d’autorités publiques.
Qui peut être DPD ? Il doit s’agir d’un spécialiste du droit et des pratiques en matière de protection des données. Il n’est pas nécessairement un membre du personnel, mais peut être un tiers lié par un contrat de prestation de service.
Fonction et missions du délégué à la protection des données (articles 38 et 39)
Quel est le rôle du DPD ? Il doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » impose l’article 38. Cela suppose évidemment qu’il dispose de ressources nécessaires et d’un accès aux données et traitements.
Il jouit d’une certaine indépendance puisque le responsable comme le sous-traitant doivent veiller à ce qu’il « ne reçoive aucune instruction en ce qui concerne l’exercice des missions ». Il ne peut être relevé de ses fonctions ou pénalisé. Il est un point de contact pour les personnes concernées par les traitements.
Ses missions sont multiples : information et conseil sur les obligations relatives au RGPD et des lois internes, ou sur les études d’impact. Contrôle, sensibilisation, formation du personnel, et enfin coopération avec la CNIL.
Section 5. CODES DE CONDUITE ET CERTIFICATION
Codes de conduite (article 40 et 41)
Ces codes sont rédigés par des associations ou d’autres organismes représentant des catégories de responsables du traitement ou de sous-traitants. L’enjeu ? « Préciser les modalités d’application du présent règlement » sur plusieurs chapitres comme la notion de traitement loyal et transparent, celle d’intérêt légitime, la pseudonymisation des données à caractère personnel, la protection des enfants…
Ces codes sont soumis à l’avis de la CNIL qui jauge leur conformité au règlement, enregistre et publie ces documents. Des dispositions procédurales sont prévues pour les codes qui concernent des traitements menés sur plusieurs pays, histoire d’éviter les doublons.
Suivi des codes de conduite approuvés (article 41)
En plus du contrôle mené par la CNIL, il est possible de soumettre les codes de conduite appliqués dans le privé à un organisme spécialisé et agréé par celle-ci selon une liste de critères qualitatifs.
En cas de violation du code de conduite par le responsable du traitement, cet organisme peut lever l’application du code. Afin de préparer une future action, « il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises ».
Certification (article 42)
Le RGPD embarque un mécanisme de certification, labels et marques en matière de protection des données personnelles. Une certification est un acte volontaire qui ne diminue en rien la responsabilité de chacun, mais joue le rôle d’une rambarde pour les responsables.
Organismes de certification (article 43)
Les organismes de certification sont agréés lorsqu’ils démontrent « à la satisfaction de l’autorité de contrôle compétente, leur indépendance et leur expertise au regard de l’objet de la certification ». Plusieurs critères sont prévus par l’article 43, dont évidemment l’inexistence du moindre conflit d’intérêts. L’agrément est délivré pour une durée maximale de cinq ans.
La Commission européenne est habilitée à adopter les actes destinés à « préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données ».
Chapitre V. Transferts de données vers des pays tiers ou à des organisations internationales
Les transferts de données internationaux (articles 44 à 50)
Comme on l’a vu lors de l’examen de la compétence territoriale, le règlement général sur la protection des données est d’application massive. Les garanties de ce texte s’appliqueront dès lors qu’un responsable ou un sous-traitant exploite un établissement sur le territoire de l’Union, mais aussi sur les transferts et traitements visant les personnes se trouvant en UE, quand bien même le responsable (ou un sous-traitant) n’est pas établi dans l’Union.
L’article 44 pose que les transferts hors UE sont par défaut interdits, sauf s’ils respectent plusieurs conditions. L’article 45 du texte autorise par exemple les transferts de données personnelles au-delà des frontières de l’Union si la Commission européenne a constaté que le pays tiers « assure un niveau de protection adéquat ».
Dans un tel cas, ce transfert « ne nécessite pas d’autorisation spécifique ». C’est le mécanisme sur lequel repose le Privacy Shield, qui reconnait, sur le papier, l’existence de garanties suffisantes aux États-Unis.
L’article 46 prévoit d’autres possibilités. Ce sont « garanties appropriées » prévues par les règles d’entreprise contraignantes (détaillées à l’article 47) ou les clauses types de protection des données, ces dernières étant définies par la Commission européenne.
L’article 49 envisage enfin d’autres dérogations. Ce peut être le consentement explicite de la personne concernée, sachant qu’elle devra être informée « des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ».
Ce peut encore être lorsque ce transfert est nécessaire à l’exécution d’un contrat dans lequel est partie la personne concernée ou bien parce que ce contrat a été conclu dans son intérêt.
Quatre derniers cas sont programmés : les transferts jugés nécessaires pour « des motifs importants d’intérêt public » ou ceux exigés pour « la constatation, à l’exercice ou à la défense de droits en justice ». En outre, s’ajoutent les transferts imposés en cas de nécessités liées à la sauvegarde d’intérêts vitaux, alors que les principaux concernés sont dans l’incapacité d’émettre le moindre consentement.
Enfin, dernière voie, les transferts intervenus « au départ d’un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime ». Dans cette hypothèse, « ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre » prévient le texte européen.
Même en dehors de ces cas, le document admet des transferts hors UE si, et seulement s’ils ne sont pas répétitifs, ne touchent qu’un nombre limité de personnes, sont nécessaires aux fins des intérêts légitimes impérieux, et sont accompagnés de garanties appropriées. La CNIL, ou son équivalent étranger, doit en outre être informée.
L’article 50 organise une collaboration entre la Commission et les autorités de contrôle pour porter les bonnes paroles du RGPD auprès des pays tiers et des organisations internationales (coopération, assistance, etc.)
Chapitre VI les autorités de contrôle indépendantes
Section 1. STATUT D’INDEPENDANCE
Statut d’indépendance des autorités de contrôle (article 51)
Cet article consacre la désignation dans chaque État membre d’une autorité de contrôle indépendante chargée de surveiller l’application du RGPD. En France, ce sera évidemment la CNIL.
Le texte oblige les autorités à coopérer entre elles et avec la Commission européenne. Un point qui revient plusieurs fois dans le document.
Autorité de contrôle (article 52)
L’indépendance de ces autorités est consacrée dans ce texte supralégislatif. Ainsi, « le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque ». Ces membres n’exercent « aucune activité professionnelle incompatible, rémunérée ou non ».
La CNIL, comme ses homologues, devra disposer de « ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires » pour l’exercice de ses missions.
Une disposition intéressante alors qu’Isabelle Falque-Pierottin s’était inquiétée dans nos colonnes des moyens dévolus à l’autorité qu’elle préside. Autant dire que la France devra mettre le budget de l’autorité au juste niveau pour assurer ses nouvelles missions.
Indépendance (article 53)
Les membres de l’autorité doivent être choisis selon leurs qualifications, expériences et compétences nécessaires. Aucun ne peut être démis de ses fonctions, sauf en cas de faute grave « ou s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ».
Règles relatives à l’établissement de l’autorité de contrôle (article 54)
Dans les législations nationales, ces autorités doivent être créées uniquement par la loi, laquelle doit également établir ses règles et procédures. « La durée du mandat du ou des membres (…) ne peut être inférieure à quatre ans ».
Tous les membres sont soumis au secret professionnel, en particulier le signalement par des personnes physiques des violations du règlement.
Section 2. COMPETENCE, MISSIONS ET POUVOIRS
Compétence (article 55) et compétence du chef de file (article 56)
L’article 55 dispose qu’en principe les autorités ont une compétence territoriale dans leur État membre. Lorsqu’un traitement est effectué par un responsable ou un sous-traitant établi hors de l’Union, elles conservent cette compétence dès lors que « ce traitement vise des personnes concernées résidant sur le territoire de l’État membre dont elle relève ».
La CNIL française sera aussi compétente si un responsable dispose en France d’un « établissement principal ». Elle devient en ce cas une autorité de contrôle « chef de file », explique l’article 56, s’agissant des traitements transfrontaliers.
Un homologue étranger pourra néanmoins « traiter une réclamation » introduite entre ses mains ou en cas de violation du règlement si cela affecte un autre établissement dans son ressort ou « affecte sensiblement des personnes concernées dans cet État membre uniquement ».
Dans une logique de coopération, l’autorité chef de file est alors informée. Dans un délai de trois semaines, celle-ci peut décider de traiter ce cas, la procédure décrite à l’article 60 prenant alors la suite.
Missions (article 57)
L’article 57 dresse la liste des principales compétences de chaque « CNIL » : contrôle, sensibilisation, conseil, information… Mais aussi traitement des réclamations, coopération avec les autres autorités, enquêtes, adoption de clauses contractuelles types, tenue du registre des analyses d’impact, encouragement à l’élaboration des codes de conduites, examen des certifications, délivrance d’agréments…
Sur les réclamations, le RGPD demande à ce qu’elles puissent être facilitées, notamment par la fourniture d’un formulaire en ligne. Attention aux procéduriers compulsifs : les demandes infondées ou excessives qui seraient trop répétitives pourront donner lieu à un paiement de frais.
Pouvoirs (article 58) et rapports d’activités (article 59)
C’est un point important qui définit ce que vont pouvoir faire les autorités de contrôle dans chaque État. Elles disposeront d’abord d’un pouvoir de communication de toute information jugée utile auprès de n’importe quel responsable ou sous-traitant. Elles pourront mener à bien des audits sur la protection des données, examiner les certifications, adresser des notifications de violation…
Dans leurs activités, ces autorités bénéficieront d’un droit d’accès à tous les locaux concernés.
En cas de problème, elles pourront avertir une société d’un possible problème dans un traitement, voire adresser un rappel à l’ordre et bien entendu lui ordonner une mise en conformité ou une interdiction, un effacement, etc. Au final, la CNIL disposera d’un pouvoir de sanction administrative et de suspension des flux adressés à un acteur situé hors UE.
La CNIL, qui a parfois été oubliée dans le cadre des projets de loi, pourra émettre des avis à l’attention du Parlement ou du gouvernement « sur toute question relative à la protection des données à caractère personnel ».
Bien entendu, elle aura le pouvoir d’agir en justice.
Ses différentes activités seront résumées dans un rapport d’activité annuel (article 59)
Chapitre VII. Coopération et cohérence
Section 1. COOPERATION
Coopération entre l’autorité chef de file et les autres autorités de contrôle concernées (article 60)
Dans les rapports entre autorités de contrôle exposées à un traitement transfrontalier, l’article 60 organise la coopération entre les uns et les autres. Assistance mutuelle, enquêtes conjointes, communication d’informations…
Si l’idéal est d’arriver à un consensus, une autorité d’un État membre pourra formuler une objection auprès du chef de file. Un contrôle de cohérence sera alors organisé. Il est prévu à l’article 63. L’incident sera traité d’abord par un tour de table des autres autorités pour aboutir éventuellement à un projet de décision révisé.
De son côté, le responsable du traitement doit appliquer cette décision et communiquer, auprès du chef de file, les mesures prises.
Assistance mutuelle (article 61)
On retrouve ici la logique de coopération entre les CNIL nationales, doublée d’une obligation d’assistance mutuelle dans la mise en œuvre du RGPD. Dès lors, « chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à une demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d’informations utiles sur la conduite d’une enquête ».
Par défaut, une autorité doit répondre à l’une de ses homologues, sauf dans certains cas particuliers, si elle décline sa compétence ou considère la demande contraire au règlement.
Opérations conjointes des autorités de contrôle (article 62)
Cette coopération va jusqu’à la possibilité de mener à bien des enquêtes ou des sanctions conjointes, en particulier lorsqu’une faille touche un traitement qui concerne des personnes disséminées dans plusieurs États membres. Fait intéressant : une autorité de contrôle d’un pays A pourra conférer des pouvoirs d’enquête à l’autorité d’un pays B où l’enquête a été initiée, histoire d’aiguiser le relevé des éléments.
Section 2. COHERENCE
Mécanisme de contrôle de la cohérence (article 63)
L’article introduit un mécanisme de contrôle de la cohérence entre les autorités, et avec l’intervention éventuelle de la Commission européenne. L’enjeu ? « Garantir l’application cohérente du présent règlement dans l’ensemble de l’Union », en particulier lorsqu’une CNIL prendra une décision ciblant des opérations de traitement « qui affectent sensiblement un nombre important de personnes concernées dans plusieurs États membres ».
Avis du comité (article 64)
Le Comité, qui vient remplacer le G29, assurera ce rôle de chef d’orchestre. Il émettra en conséquence des avis sur la « liste d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données doit être effectuée », sur les codes de conduites, les critères de délivrance des agréments, les clauses types ou contractuelles, ainsi que les règles d’entreprise contraignantes.
Il pourra aussi s’autosaisir pour émettre un avis sur toute question d’application générale ou produisant des effets dans plusieurs États membres.
Règlement des litiges par le comité (article 65)
Le Comité pourra dépasser le cadre du simple avis au profit d’une décision cette fois contraignante lorsqu’une objection d’une CNIL aura été rejetée par une autorité chef de file, ou encore qu’une autorité ne suit pas son avis.
Cette décision est adoptée à la majorité des deux tiers dans le délai d’un mois en principe, au-delà par un vote à la majorité simple.
Procédure d’urgence (article 66)
Exceptionnellement, une autorité de contrôle national pourra éviter cette procédure en cas d’urgence pour protéger les droits et libertés des personnes physiques. Par dérogation, plutôt qu’un contrôle de cohérence et un passage devant le Comité, elle adoptera des mesures provisoires sur son seul territoire et pour une durée de trois mois.
Il lui sera possible de solliciter un avis d’urgence du comité, rendu dans un délai de deux semaines.
Échange d’informations (article 67)
Sur ce socle, la Commission européenne pourra adopter des actes de portée générale « afin de définir les modalités de l’échange d’informations par voie électronique » entre autorités de contrôle, mais également avec le comité.
Section 3. COMITE EUROPEEN DE LA PROTECTION DES DONNEES (ex-G29)
Comité européen de la protection des données (articles 68-76)
Déjà évoqué ci-dessus, le Comité, représenté par son président, est composé du chef de l’autorité nationale présente dans chaque État membre et du Contrôleur européen de la protection des données. La Commission européenne « a le droit de participer aux activités et réunions », mais alors sans droit de vote.
Il est indépendant (article 69). Ses missions sont très vastes (article 70) : assurer la cohérence dans l’application du règlement, conseiller la Commission européenne, publier des lignes directrices et autres bonnes pratiques notamment à destination des autorités nationales…
Il pourra aussi procéder aux agréments des organismes de certification, rendre un avis sur l’évaluation par la Commission européenne « du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale ». Il devra aussi promouvoir les échanges entre les autorités nationales, et tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions « sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence ».
Ses décisions sont prises à la majorité simple, sauf stipulations contraires (article 72). Son président, désigné pour cinq ans (article 73), a des missions classiques (article 74) comme l’établissement de l’ordre du jour, la notification des décisions, etc. Il est épaulé par un secrétariat (article 75). Enfin, les travaux du comité peuvent être confidentiels, si nécessaire (article 76).
Chapitre VIII. Voies de recours, responsabilité et sanction
Droit d’introduire une réclamation auprès d’une autorité de contrôle (article 77)
Toute personne dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle. L’autorité concernée peut être celle du pays où se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise. Elle est informée des suites données.
Droit à un recours juridictionnel effectif (article 78)
Chacun a le droit d’exercer en outre un recours juridictionnel effectif contre une décision contraignante prise par une autorité de contrôle qui la concerne, même s’agissant d‘un défaut dans le suivi de sa procédure. C’est bien entendu les juridictions du pays de l’autorité de contrôle qui seront compétentes.
Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant (article 79)
Ce droit au recours peut être exercé contre le responsable d’un traitement, accusé d’une violation du RGPD. La compétence est établie là où il dispose d’un établissement. Sauf lorsque ce responsable est une autorité publique, la plainte peut aussi être déposée là où la personne physique a sa résidence habituelle. Une mesure pratique qui ravira Maximilien Schrems.
Représentation des personnes concernées (article 80)
L’article 80 organise une class action sur le terrain de la violation des données personnelles. Quiconque pourra donner mandat à un organisme ou une association dont les objectifs sont d’intérêt public et actif dans le domaine de la protection. Une action sera ensuite exercée en son nom afin d’obtenir réparation, si du moins le droit de l’État membre le prévoit.
Le droit national peut également autoriser le mandataire à introduire une réclamation auprès de la CNIL. C’est typiquement le genre d’options qui exige une loi d’adaptation dans chaque pays.
En France, après quelques hésitations, le projet de loi d’adaptation du RGPD programme une telle action collective devant la justice pour obtenir réparation du préjudice matériel ou moral.
Suspension d’une action (article 81)
Cet article gère l’hypothèse pas forcément rare de deux actions (ayant le même objet et le même responsable) intentée dans deux pays. Lorsqu’elle est informée de cette situation, la juridiction du pays B peut suspendre son action, sursoir à statuer et même se dessaisir au profit de celle du pays A. Mais ce n’est pas une obligation.
Droit à réparation et responsabilité (article 82)
La disposition consacre le droit à réparation du dommage matériel ou moral du fait de la violation du RGPD. Qui assume cette charge ? « Tout responsable du traitement ayant participé au traitement ».
Le sous-traitant est également impliqué « s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».
Le système est très rugueux pour ceux qui seraient mis en cause puisque, pour échapper à leur responsabilité, ils devront démontrer « que le fait qui a provoqué le dommage ne [leur] est nullement imputable ». Ils ont donc la lourde charge de la preuve.
Si plusieurs personnes sont mises à l’index, le point 4 de l’article impose une responsabilité collective afin de garantir à la victime une réparation effective. Celui qui aurait à assumer la totalité de cette réparation pourra heureusement se retourner contre les autres impliqués dans le traitement en cause. Chacun assumera alors « sa part », mais la victime sera déchargée de ces contrariétés.
Conditions générales pour imposer des amendes administratives (article 83)
C’est l’une des dispositions les plus connues du RGPD, celle ayant trait aux amendes. L’idée générale est que ces sanctions administratives doivent toujours être « effectives, proportionnées et dissuasives ».
Ces sanctions peuvent être décidées en complément ou à la place des mesures envisagées à l’article 58 (avertissement, cessation, mesure de publicité, interdiction…).
Le principe d’une amende et son montant devront dépendre de plusieurs critères : la nature, la gravité et la durée de la violation, le nombre de personnes affectées, le niveau de dommage, la violation volontaire ou par négligence, les mesures prises par le responsable pour atténuer le dommage, ou le prévenir, outre l’historique de la société en cause. Un responsable coopératif pourra espérer une sanction moins forte que celui qui ne l’est pas.
Dans la jauge des autorités de contrôle, devront également être prises en compte les catégories de données, et la façon dont la CNIL a eu connaissance de la brèche (notification du responsable ?). L’application volontaire d’un code de conduite ou d’une certification pourra tout autant peser sur la balance, tout comme « les avantages financiers obtenus ou les pertes évitées (…) du fait de la violation ».
En principe, celui qui est désigné responsable d’une violation encourt jusqu’à 10 millions d’euros d’amende et, dans le cas d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
Ces montants seront doublés (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel (consentement, etc.), à la licéité, aux données sensibles, aux droits tels que la rectification, l’effacement, la limitation, l’information, aux transferts hors UE, ou encore en cas de non-respect d’une injonction.
Il revient aux États membres de décider individuellement si ces sanctions peuvent également frapper des autorités publiques.
La procédure doit naturellement respecter les droits de la défense, et ouvrir un droit au recours.
Sanctions (article 84)
Les États membres ont l’obligation de prévoir des sanctions en cas de violations du présent règlement pour les cas non prévus par les amendes administratives (et donc des amendes pénales, par exemple). Là encore, ces mesures devront être « effectives, proportionnées et dissuasives ».
Chapitre IX. Dispositions relatives à des situations particulières de traitement
Traitement et liberté d’expression et d’information (article 85)
Le droit à la protection des données à caractère personnel n’est pas absolu. Il doit trouver sa place auprès des autres concepts fondamentaux tels que le droit à la liberté d’expression et d’information, « y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire ».
Il revient aux États membres de concilier ces blocs. En France, dans le projet de loi en discussion, il a été ainsi décidé que les journalistes pourront opposer aux enquêteurs de la CNIL le secret des sources. De même, le droit applicable sera celui où se trouve l’éditeur, lorsque celui-ci est situé en Europe.
Traitement et accès du public aux documents officiels (article 86)
Il s’agit ici de concilier le RGPD avec le droit d’accès aux documents publics qui peuvent contenir des données personnelles. Malgré le règlement, ces pièces peuvent être communiquées dans le respect du droit de l’UE ou de l’État membre. Libre à chaque pays d’adapter sa législation pour mettre le curseur au bon endroit.
Traitement du numéro d’identification national (article 87)
Autre option ouverte aux États : préciser les conditions encadrant les traitements relatifs à un numéro d’identification national (ou tout autre identifiant d’application générale) comme le numéro de sécurité sociale. Même dans ce cas, les garanties appropriées pour les droits et libertés de la personne doivent être appliquées en conformité avec le règlement.
Traitement de données dans le cadre des relations de travail (article 88)
Dans l’univers du droit du travail, les États membres peuvent prévoir « des règles plus spécifiques pour assurer la protection des droits et libertés » s’agissant des traitements de données des employés.
S’ils disposent donc d’une marge de manœuvre, ils doivent toujours prévoir « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux », avec une attention particulière sur la transparence, les transferts de données et les contrôles sur le lieu de travail.
Ces éléments inscrits en dur dans le RGPD traduisent d’une certaine manière l’attention du législateur européen en cas de défaillance des États membres.
Archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (article 89)
Ces traitements demandent des garanties appropriées pour les personnes physiques, expose l’article 89 du RGPD, avec à la clef des « mesures techniques et organisationnelles » reposant sur un principe de minimisation des données, voire si possible sur une pseudonymisation.
Les États membres peuvent néanmoins introduire certaines dérogations s’agissant du droit d’accès, du droit de rectification ou à la limitation du traitement et du droit d’opposition.
Obligations de secret (article 90)
Cet article envisage une autre faculté, celle de programmer des obligations spécifiques pour les pouvoirs de la CNIL et ses équivalents étrangers lorsqu’ils ont à se confronter à des professions elles-mêmes soumises au secret professionnel. Les principes de nécessité et de proportionnalité doivent toujours être respectés.
Règles existantes des églises et associations religieuses en matière de protection des données (article 91)
Le règlement sanctuarise le statut dont bénéficient les églises et les associations ou communautés religieuses dans les États membres, ce en vertu du droit constitutionnel. Néanmoins, elles doivent respecter le RGPD et peuvent, au choix de chaque pays, faire l’objet d’un contrôle par une autorité spécifique.
Chapitre X. Actes délégués et actes d’exécution
Exercice de la délégation (article 92)
Par délégation, la Commission européenne est autorisée à prendre les actes qui encadrent la présentation sous forme d’icônes et la certification. Cette délégation est à durée indéterminée, mais elle peut être révoquée à tout moment par le Parlement et le Conseil.
Comité (article 93)
Cet article prévient que le Comité assiste la Commission européenne, tout en encadrant cette procédure.
Chapitre XI. Dispositions finales
Abrogation de la directive 95/46/CE (article 94)
La Directive 95/46/CE sur la protection des données personnelles est abrogée. Elle est remplacée par le RGPD. Toutes les références pointant sur l’ancien texte portent désormais sur le texte en vigueur le 25 mai.
Relation avec la directive 2002/58/CE (article 95)
Le RGPD s’applique dès lors que des règles spécifiques ne sont pas prévues dans des domaines sectoriels. Néanmoins, la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques devra être modifiée pour assurer une cohérence avec le texte du 25 mai. C’est l’objectif du règlement ePrivacy, actuellement en négociation.
Relation avec les accords conclus antérieurement (article 96)
Tous les accords relatifs au transfert de données personnelles conclus par les États membres avant le 24 mai 2016 restent en vigueur jusqu’à modification, remplacement ou révocation. Cela ne concerne donc pas le Privacy Shield.
Rapports de la Commission (article 97)
D’ici le 25 mai 2020 puis tous les quatre ans, la Commission doit présenter au Parlement et au Conseil un rapport d’évaluation et de réexamen du RGPD. La Commission devra en particulier s’intéresser aux accords passés avec les pays tiers (comme le Privacy Shield). Elle devra proposer des pistes d’évolution « notamment en tenant compte de l’évolution des technologies de l’information et à la lumière de l’état d’avancement de la société de l’information. »
Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données (article 98)
L’institution bruxelloise dispose du même pouvoir de proposition législative pour mettre à jour d’autres textes, suite à l’entrée en vigueur du RGPD.
Entrée en vigueur et application (article 99)
Cet article final fixe la date d’application du RGPD au 25 mai 2018.