vendredi 25 mai 2018

Le nouveau RGPD

            Le nouveau texte, Règlement Général sur la Protection des Données N° 2016/679,  entré en application le 25 mai 2018, qui remplace désormais la directive 95/46/CE, opère une actualisation des règles européennes en matière de protection des données à caractère personnel selon une approche "technologiquement neutre" : il s'agit en effet d'assurer l'efficacité des règles nouvelles sans entraver l'essor de l'économie numérique (le marché intérieur dans son volet économie numérique).

Il constitue une remarquable avancée en matière de garantie du droit à la protection des données à caractère personnel, droit fondamental inscrit à l'article 8 de la Charte des droits fondamentaux de l'Union européenne. En effet, ce sont des droits renforcés (pour les personnes) et des obligations étendues (pour les responsables de traitement de données) qui sont inscrits dans ce texte. Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus performants, grâce notamment aux importants pouvoirs de sanction dont sont dotées les diverses autorités de protection des données.  



1. Des droits renforcés

 Tout d'abord, les principes de base qui figuraient dans la directive 95/46 sont évidemment maintenus mais précisés.
Ainsi, le traitement des données à caractère personnel obéit toujours aux principes de licéité et de loyauté, auxquels le nouveau règlement ajoute le principe de transparence, décliné ultérieurement en des articles spécifiques inédits.

Est rappelé également l’important principe de limitation des finalités, selon lequel des données ne peuvent être collectées que pour des finalités déterminées et ne peuvent être traitées ultérieurement d’une manière incompatible avec ces finalités.
Le principe du consentement de la personne intéressée au traitement de ses données est réaffirmé, mais sa portée change dans la mesure où il appartient désormais au responsable de traitement d’apporter la preuve du consentement, et où il est précisé que la personne peut « à tout moment » retirer son consentement.
Le traitement de données à caractère personnel dites « sensibles » (celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données concernant la santé ou la vie sexuelle, ou l’orientation sexuelle d’une personne) demeure interdit sauf exceptions précisées par le texte. Il est à noter que le législateur a ajouté à la liste des données sensibles les données génétiques et les données biométriques.
A signaler ensuite l'apparition dans le règlement de nouveaux principes.
Le nouveau règlement s'attache notamment à éviter les dangers que représentent la publicité et les réseaux sociaux pour les mineurs, qui divulguent facilement nombre de données personnelles les concernant ou concernant leurs parents. Ainsi, s’agissant de « l’offre directe de services de la société de l’information aux enfants » (article 8 § 1), une autorisation parentale est désormais nécessaire pour les mineurs de moins de 16 ans afin de collecter et traiter leurs données personnelles. Les Etats membres peuvent prévoir un âge inférieur par la loi, pour autant qu’il ne soit pas en-dessous de 13 ans.
 Le règlement insiste ensuite sur le nouveau principe de transparence, qui doit permettre à tout usager de l’internet d’être informé « d’une façon concise, transparente, compréhensible et aisément accessible [et] en des termes clairs et simples », s’agissant des politiques des sites relatives à la vie privée.
Le règlement formule par ailleurs les droits d’accès et de rectification de la personne concernée sont  formulés de façon très détaillée, créant de nouvelles exigences s’agissant des informations à fournir par le responsable de traitement, comme la durée de conservation des données envisagée ou l’existence d’un profilage. Les articles 21 et 22 précisent que la personne concernée dispose d’un droit d’opposition au traitement de ses données, y compris un profilage, « pour des raisons tenant à sa situation particulière ».
Le règlement institue en outre un principe inédit, qui est celui du droit à la portabilité des données. Il permet à toute personne de retirer ses données d’une application ou d’un service, de sorte que les données qui avaient été fournies « dans un format structuré, couramment utilisé et lisible par machine », puissent être transférées vers une autre application ou un autre service. Ces données peuvent être transmises directement d’un responsable de traitement à l’autre lorsque cela est techniquement possible. 
Le droit à l'oubli trouve également une place de choix dans le nouveau texte, après avoir été consacré par le juge européen dans l'arrêt Google Spain du 13 mai 2014. Il donne à toute personne concernée le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsque la personne retire son consentement, lorsque les données ont fait l’objet d’un traitement illicite, ou lorsque la personne exerce son droit d’opposition. Toutefois, il est possible de faire échec à une telle demande d’effacement pour des raisons tenant à l’exercice du droit à la liberté d’expression et d’information ou au respect d’une obligation légale (ce qu'avait déjà précisé la Cour de justice dans l'arrêt Google Spain précité).
2. De nouvelles obligations pour les responsables de traitement des données 
Un nouveau  principe général figure dans le règlement qui est celui d' "accountability". Il s'agit, pour les responsables de traitement, de mettre en oeuvre "des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au (…) règlement » (article 24).
Les nouveaux principes de "privacy by design" et "by default" ont également été inscrits dans le règlement. Dès lors, selon le premier principe, la protection de la vie privée doit être « prise en compte tout au long du cycle de vie des technologies, depuis le stade de leur conception jusqu’à leur déploiement, utilisation et élimination définitive », comme l'a expliqué la Commission européenne. Pour répondre au second, il va s'agir par exemple d'effectuer « un paramétrage par défaut favorable au respect de la vie privée et [de créer] des outils indispensables aux utilisateurs pour mieux protéger leurs données (par exemple les contrôles d’accès ou le cryptage), selon les termes du Groupe de l'article 29. 
Le responsable du traitement doit par ailleurs répondre à une obligation de sécurité, selon laquelle il doit garantir la confidentialité, l’intégrité et la disponibilité des données, et éviter la perte, la destruction, l’altération ou la divulgation non autorisée de données à caractère personnel transmises. Figure à cet égard dans le règlement un droit inédit d'être informé en cas de piratage de données, et ce "dans les meilleurs délais".
  A noter que le responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité. Cette obligation ne concerne que les entreprises ou organisations de plus de 250 employés. Le responsable du traitement doit aussi réaliser une analyse d’impact dès lors que le traitement envisagé « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »(par exemple en cas de profilage)(article 35). Et si cette analyse d’impact s’avère défavorable, le responsable du traitement doit alors consulter au préalable l’autorité de contrôle,qui sera au demeurant informée dans ce cas par le délégué à la protection des données, qui doit être désigné par tout responsable du traitement.
3. Des contrôles renforcés et plus efficaces
 A noter tout d'abord que le règlement a envisagé l'hypothèse selon laquelle le traitement des données personnelles a lieu dans le cadre des activités d’un responsable du traitement dans l’Union, mais que ce dernier est établi dans plusieurs États membres. Il s’agit ici de pouvoir désigner l’autorité de contrôle compétente. Le règlement a prévu l’existence d’un « guichet unique » : sera compétente l’autorité de contrôle de l’État membre où se situe l’établissement principal ou l’établissement unique du responsable du traitement, en tant qu’ « autorité de contrôle chef de file ». La procédure organise cependant une coopération étroite entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées. Toutefois, une autorité nationale de contrôle pourra être compétente dès lors qu’il existe un établissement du responsable du traitement sur son territoire, ou que des citoyens sont affectés dans cet État membre.
Un point majeur du nouveau règlement figure ensuite dans son application extraterritoriale. Ainsi, le nouveau texte s’applique au traitement de données à caractère personnel appartenant à des personnes ayant leur résidence sur le territoire de l’UE, par un responsable du traitement qui n’est pas établi dans l’UE, dès lors que les activités de traitement sont liées à « l’offre de biens ou de services » aux personnes concernées ou « au suivi du comportement de ces personnes » (profilage). Désormais, un fournisseur de services non basé dans l’UE est donc soumis à la législation de l’Union en matière de protection des données, dès lors qu’il offre des biens ou des services à des personnes résidant à l’intérieur de l’Union. 
Le règlement a le mérite par ailleurs non seulement renforcer les autorités de contrôle, en précisant leur statut (axé sur l'indépendance), mais aussi d'accroître leur rôle par le biais des nouveaux pouvoirs dont elles sont dotées.
 L'indépendance du nouveau Comité Européen de Protection des Données, qui remplace le Groupe de l’Article 29 (composé du chef d’une autorité de contrôle de chaque État membre ainsi que du Contrôleur Européen de la Protection des Données), est ainsi garantie par le règlement.
Quant au rôle des autorités de protection des données (les autorités nationales mais aussi l'autorité européenne), il est défini de façon très détaillée dans le règlement. 
IL s’agit pour elles en premier lieu de veiller à l’application et au respect du règlement de manière générale, ce pour quoi elles sont dotées de toute une gamme de prérogatives : conseil (pour le parlement et le gouvernement de l’État membre en matière de législation relative à la protection des données), sensibilisation (des responsables du traitement quant à leurs obligations), informations (sur les droits conférés par le règlement), traitement des réclamations, enquêtes (sur l’application du règlement), encouragement à l’élaboration de codes de conduite ou mécanismes de certification, autorisation de clauses contractuelles, approbation de règles d’entreprise contraignantes (Binding Corporate Rules) etc. A noter que les autorités de contrôle nationales disposent de pouvoirs d’enquête à l’égard des responsables du traitement, et doivent être dotées par la loi du pouvoir de porter toute violation du règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du règlement. 
Le règlement met en place divers mécanismes afin d'assurer la coopération et l'assistance mutuelle entre les diverses autorités de contrôle. L'autorité européenne assure quant à elle un rôle général de coordination et dispose de compétences semblables à celles des autorités nationales : pouvoirs de conseil (à l’égard de la Commission), publication de lignes directrices, de recommandations ou de bonnes pratiques sur des questions diverses (profilage, délai de notification de la rupture de sécurité, mise en place de régimes de certification etc.), prise de décisions en cas de conflit entre autorité de contrôle « chef de file » et autres autorités de contrôle etc.
Mais ce sont surtout d'importants moyens de sanction dont sont dotés les autorités de contrôle, sachant que  toute personne dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle dès lors qu’elle excipe d’une violation du règlement s’agissant d’un traitement de données à caractère personnel la concernant.
Les autorités de contrôle peuvent ordonner des mesures correctrices, passant de l’avertissement au rappel à l’ordre, pour aller jusqu’à ordonner des mises en conformité, imposer des limitations voire une interdiction, du traitement de données, ordonner la rectification ou l’effacement de données etc. Mais surtout, elles peuvent imposer des sanctions administratives, dont le montant  peut s’élever jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise ayant violé les règles européennes de protection des données (le montant le plus élevé étant retenu). 
Les personnes en tout état de cause peuvent à tout moment exercer un recours juridictionnel contre un responsable du traitement, en cas de violation de leurs droits garantis par le règlement. La juridiction compétente est celle de l’État membre dans lequel le responsable du traitement dispose d’un établissement, ou bien celle de l’État membre dans lequel la personne réside habituellement. 

C'est donc au total un régime substantiel et très protecteur pour les données à caractère personnel.



 



Aucun commentaire:

Enregistrer un commentaire