Le nouveau texte, Règlement Général sur la Protection des Données N° 2016/679, entré en application le 25 mai 2018, qui remplace désormais la directive 95/46/CE, opère une actualisation des règles européennes en matière de protection des données à caractère personnel selon une approche "technologiquement neutre" : il s'agit en effet d'assurer l'efficacité des règles nouvelles sans entraver l'essor de l'économie numérique (le marché intérieur dans son volet économie numérique).
Il constitue une remarquable avancée
en matière de garantie du droit à la protection des données à caractère
personnel, droit fondamental inscrit à l'article 8 de la Charte des droits fondamentaux de l'Union européenne. En effet, ce sont des
droits renforcés (pour les personnes) et des obligations étendues (pour les
responsables de traitement de données) qui sont inscrits dans ce texte.
Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus
performants, grâce notamment aux importants pouvoirs de sanction dont sont dotées les diverses autorités de protection des données.
1. Des droits renforcés
Tout d'abord, les principes de base qui figuraient dans la directive 95/46 sont évidemment maintenus mais précisés.
Ainsi, le traitement des données à caractère personnel
obéit toujours aux principes de licéité et de loyauté, auxquels le nouveau
règlement ajoute le principe de transparence, décliné ultérieurement en des
articles spécifiques inédits.
Est rappelé également l’important principe de
limitation des finalités, selon lequel des données ne peuvent être collectées
que pour des finalités déterminées et ne peuvent être traitées ultérieurement
d’une manière incompatible avec ces finalités.
Le principe du consentement de la personne
intéressée au traitement de ses données est réaffirmé, mais sa
portée change dans la mesure où il appartient désormais au responsable de
traitement d’apporter la preuve du consentement, et où il est précisé que la
personne peut « à tout moment » retirer son consentement.
Le traitement de données à caractère personnel dites
« sensibles » (celles qui révèlent l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou
l’appartenance syndicale, les données concernant la santé ou la vie sexuelle,
ou l’orientation sexuelle d’une personne)
demeure interdit sauf exceptions précisées par le texte.
Il est à noter que le législateur a ajouté à la liste des données sensibles les
données génétiques et les données biométriques.
A signaler ensuite l'apparition dans le règlement de nouveaux principes.
Le nouveau règlement s'attache notamment à éviter les dangers que représentent la publicité et les réseaux
sociaux pour les mineurs, qui divulguent facilement nombre de données
personnelles les concernant ou concernant leurs parents. Ainsi, s’agissant de
« l’offre directe de services de la société de l’information aux
enfants » (article 8 § 1),
une autorisation parentale est désormais nécessaire pour les mineurs de moins
de 16 ans afin de collecter et traiter leurs données personnelles. Les Etats
membres peuvent prévoir un âge inférieur par la loi, pour autant qu’il ne soit
pas en-dessous de 13 ans.
Le règlement insiste ensuite sur le nouveau principe de transparence, qui doit permettre à tout usager de l’internet
d’être informé « d’une façon concise, transparente, compréhensible et
aisément accessible [et] en des termes clairs et simples »,
s’agissant des politiques des sites relatives à la vie privée.
Le règlement formule par ailleurs les droits d’accès et de rectification de la
personne concernée sont formulés de façon très détaillée, créant de nouvelles exigences s’agissant des
informations à fournir par le responsable de traitement, comme la durée de
conservation des données envisagée ou l’existence d’un profilage.
Les articles 21 et 22 précisent que la personne concernée dispose
d’un droit d’opposition au traitement de ses données, y compris un profilage, « pour
des raisons tenant à sa situation particulière ».
Le règlement institue en outre un principe inédit, qui est celui du droit à la portabilité des données. Il permet à toute personne de retirer
ses données d’une application ou d’un service, de sorte que les données qui
avaient été fournies « dans un format structuré, couramment utilisé et
lisible par machine »,
puissent être transférées vers une autre application ou un autre service. Ces
données peuvent être transmises directement d’un responsable de traitement à
l’autre lorsque cela est techniquement possible.
Le droit à l'oubli trouve également une place de choix dans le nouveau texte, après avoir été consacré par le juge européen dans l'arrêt Google Spain du 13 mai 2014. Il donne à toute personne concernée le droit
d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais,
de données à caractère personnel la concernant, lorsque les données ne sont
plus nécessaires au regard des finalités pour lesquelles elles ont été
collectées ou traitées, lorsque la personne retire son consentement, lorsque les
données ont fait l’objet d’un traitement illicite, ou lorsque la personne
exerce son droit d’opposition. Toutefois, il est possible de faire
échec à une telle demande d’effacement pour des raisons tenant à l’exercice du
droit à la liberté d’expression et d’information ou au respect d’une obligation
légale (ce qu'avait déjà précisé la Cour de justice dans l'arrêt Google Spain précité).
2. De nouvelles obligations pour les responsables de traitement des données
Un nouveau principe général figure dans le règlement qui est celui d' "accountability". Il s'agit, pour les responsables de traitement, de mettre en oeuvre "des mesures techniques et organisationnelles
appropriées pour s’assurer et être en mesure de démontrer que le traitement est
effectué conformément au (…) règlement » (article 24).
Les nouveaux principes de "privacy by design" et "by default" ont également été inscrits dans le règlement. Dès lors, selon le premier principe, la protection de la vie privée doit être « prise en compte tout au long du cycle de
vie des technologies, depuis le stade de leur conception jusqu’à leur
déploiement, utilisation et élimination définitive », comme l'a expliqué la Commission européenne. Pour répondre au second, il va s'agir par exemple d'effectuer « un paramétrage par défaut favorable au
respect de la vie privée et [de créer] des outils indispensables aux utilisateurs pour
mieux protéger leurs données (par exemple les contrôles d’accès ou le
cryptage), selon les termes du Groupe de l'article 29.
Le responsable du traitement doit par ailleurs répondre à une obligation de sécurité, selon laquelle il doit garantir la confidentialité, l’intégrité et la
disponibilité des données, et éviter la perte, la destruction,
l’altération ou la divulgation non autorisée de données à caractère personnel transmises. Figure à cet égard dans le règlement un droit inédit d'être informé en cas de piratage de données, et ce "dans les meilleurs délais".
A noter que le responsable du traitement doit tenir un registre des activités de traitement
effectuées sous sa responsabilité. Cette obligation ne concerne que
les entreprises ou organisations de plus de 250 employés. Le responsable du traitement doit aussi réaliser une
analyse d’impact dès lors que le traitement envisagé « est susceptible
d’engendrer un risque élevé pour les droits et libertés des personnes
physiques »(par exemple en cas de profilage)(article 35). Et si cette analyse d’impact s’avère
défavorable, le responsable du traitement doit alors consulter au préalable
l’autorité de contrôle,qui sera au demeurant
informée dans ce cas par le délégué à la protection des données, qui doit être
désigné par tout responsable du traitement.
3. Des contrôles renforcés et plus efficaces
A noter tout d'abord que le règlement a envisagé l'hypothèse selon laquelle le traitement des données personnelles a lieu
dans le cadre des activités d’un responsable du traitement dans l’Union, mais
que ce dernier est établi dans plusieurs États membres. Il s’agit ici de
pouvoir désigner l’autorité de contrôle compétente. Le règlement a prévu
l’existence d’un « guichet unique » : sera compétente l’autorité
de contrôle de l’État membre où se situe l’établissement principal ou
l’établissement unique du responsable du traitement, en tant qu’
« autorité de contrôle chef de file ». La procédure organise cependant une coopération
étroite entre l’autorité de contrôle chef de file et les autres autorités de
contrôle concernées. Toutefois, une autorité nationale de contrôle pourra être
compétente dès lors qu’il existe un établissement du responsable du traitement
sur son territoire, ou que des citoyens sont affectés dans cet État membre.
Un point majeur du nouveau règlement figure ensuite dans son application extraterritoriale. Ainsi, le nouveau texte s’applique au traitement de
données à caractère personnel appartenant à des personnes ayant leur résidence
sur le territoire de l’UE, par un responsable du traitement
qui n’est pas établi dans l’UE, dès lors que les activités de traitement sont
liées à « l’offre de biens ou de services » aux personnes concernées
ou « au suivi du comportement de ces personnes » (profilage). Désormais, un fournisseur de services non basé dans l’UE est donc soumis à la législation de
l’Union en matière de protection des données, dès lors qu’il offre des biens ou
des services à des personnes résidant à l’intérieur de l’Union.
Le règlement a le mérite par ailleurs non seulement renforcer les autorités de contrôle, en précisant leur statut (axé sur l'indépendance), mais aussi d'accroître leur rôle par le biais des nouveaux pouvoirs dont elles sont dotées.
L'indépendance du nouveau Comité Européen de Protection des Données, qui remplace le Groupe de l’Article 29 (composé du chef d’une autorité de contrôle de
chaque État membre ainsi que du Contrôleur Européen de la Protection des Données), est ainsi garantie par le règlement.
Quant au rôle des autorités de protection des données (les autorités nationales mais aussi l'autorité européenne), il est défini de façon très détaillée dans le règlement.
IL s’agit pour elles en premier lieu de veiller à
l’application et au respect du règlement de manière générale, ce pour quoi elles sont dotées
de toute une gamme de prérogatives : conseil (pour le
parlement et le gouvernement de l’État membre en matière de législation
relative à la protection des données), sensibilisation (des responsables du
traitement quant à leurs obligations), informations (sur les droits conférés
par le règlement), traitement des réclamations, enquêtes (sur l’application du
règlement), encouragement à l’élaboration de codes de conduite ou mécanismes de
certification, autorisation de clauses contractuelles, approbation de règles
d’entreprise contraignantes (Binding
Corporate Rules) etc. A noter que les autorités de
contrôle nationales disposent de pouvoirs d’enquête à l’égard
des responsables du traitement, et doivent être dotées par la loi du pouvoir de
porter toute violation du règlement à l’attention des autorités judiciaires et,
le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de
faire appliquer les dispositions du règlement.
Le règlement met en place divers mécanismes afin d'assurer la coopération et l'assistance mutuelle entre les diverses autorités de contrôle. L'autorité européenne assure quant à elle un rôle général de coordination et dispose de compétences semblables à celles des autorités nationales : pouvoirs de conseil (à l’égard de la
Commission), publication de lignes directrices, de recommandations ou de
bonnes pratiques sur des questions diverses (profilage, délai de notification
de la rupture de sécurité, mise en place de régimes de certification etc.), prise de décisions en cas de conflit entre autorité de contrôle « chef
de file » et autres autorités de contrôle etc.
Mais ce sont surtout d'importants moyens de sanction dont sont dotés les autorités de contrôle, sachant que toute personne dispose du droit d’introduire une
réclamation auprès d’une autorité de contrôle dès lors qu’elle excipe d’une
violation du règlement s’agissant d’un traitement de données à caractère
personnel la concernant.
Les autorités de contrôle peuvent ordonner des mesures correctrices,
passant de l’avertissement au rappel à l’ordre, pour aller jusqu’à ordonner des
mises en conformité, imposer des limitations voire une interdiction, du
traitement de données, ordonner la rectification ou l’effacement de données
etc. Mais surtout, elles peuvent imposer des sanctions administratives, dont le montant peut s’élever jusqu’à 20 000 000 d’euros ou
4 % du chiffre d’affaires annuel mondial de l’entreprise ayant violé les règles
européennes de protection des données (le montant le plus élevé étant retenu).
Les personnes en tout état de cause peuvent à tout moment exercer un recours juridictionnel contre un responsable du traitement, en
cas de violation de leurs droits garantis par le règlement. La juridiction
compétente est celle de l’État membre dans lequel le responsable du traitement
dispose d’un établissement, ou bien celle de l’État membre dans lequel la
personne réside habituellement.
C'est donc au total un régime substantiel et très protecteur pour les données à caractère personnel.