Données personnelles – Nouveau règlement communautaire du 27 avril 2016

Le 25 janvier 2012, la Commission de l’Union Européenne a proposé une réforme globale des règles en matière de protection des données personnelles, dans le but d’accroître la maîtrise que les utilisateurs ont sur leurs données et de réduire les coûts pesant sur les entreprises.

Suite à cette initiative, plusieurs consultations publiques ont été lancées et le G29 a rendu deux avis, en mars et octobre 2012. Prenant en considération les différentes observations faites, la Commission a déposé une première proposition de règlement.

Le choix du règlement a été privilégié par la Commission dans la mesure où cet instrument juridique ne nécessite pas de transposition ultérieure par les États membres, ce qui écarte le risque de fragmentation juridique et favorise le marché commun.

Après plusieurs navettes entre la Commission et le Parlement européen et après de nombreuses discussions pour parvenir à un texte de compromis, le règlement définitif n°2016/679 a été adopté le 27 avril 2016 et publié le 4 mai 2016. Il est prévu que ce règlement entre en vigueur deux ans et vingt jours après sa publication, soit le 25 mai 2018, date à laquelle la directive de 1995 régissant la collecte et le traitement des données personnelles sera abrogée. Les entreprises auront alors une période de deux ans pour se mettre en conformité avec ces nouvelles dispositions.

Si plusieurs questions devront être précisées lors de la mise en application de ce nouveau règlement, sa lecture permet d’ores et déjà d’avoir une idée des grandes lignes qu’il instaure.

Compte tenu des profonds changements engendrés par le nouveau texte, il apparaît opportun de mettre à profit les deux années qui nous séparent de l’entrée en vigueur du règlement pour faire un point sur la question des traitements de données personnelles dans chaque entreprise.

DEFINITIONS ET CHAMP D’APPLICATION TERRITORIALE

Le règlement définit la notion de donnée personnelle comme « Toute information se rapportant à une personne physique identifiée ou identifiable, et précise que l’on entend par personne physique identifiable toute personne physique pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant (nom, n°identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale) ».

Le traitement de données personnelles est quant à lui défini comme « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou ensemble de données à caractère personnel ».

En outre, le responsable de traitement est défini comme toute personne physique ou morale qui décide de la création d’un traitement, de sa finalité et de ses moyens de mise en œuvre.

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Par ailleurs, alors que sous l’empire de la directive de 1995, les dispositions sur la protection des données personnelles s’appliquent quand le responsable de traitement est situé sur le territoire français ou lorsqu’il est situé en dehors du territoire de l’Union mais qu’il recourt à des moyens de traitement situés sur le territoire français ; les dispositions du nouveau règlement prévoient que les dispositions s’appliqueront :

• lorsque l’établissement d’un responsable de traitement ou de son sous-traitant est situé sur le territoire de l’Union, peu importe que le traitement de données ait lieu au sein de l’Union ou en dehors ;
• lorsque le responsable de traitement est situé hors de l’Union mais que ses activités de traitement seront liées à l’offre de biens ou de services à des personnes situées dans l’Union, ou liées à l’observation de leur comportement. Dans ce cas particulier, le responsable de traitement situé hors de l’Union aura l’obligation de désigner un représentant, qui lui, sera établi au sein de l’Union.

Ces nouvelles dispositions ont pour effet d’étendre le champ d’application des règles de façon importante, notamment aux entreprises situées en dehors de l’Union Européenne mais ayant une activité dans l’Union Européenne, ou traitant des données de personnes résidants dans l’Union.

NOUVEAUX ACTEURS

Deux nouveaux acteurs sont créés par le règlement :

1. Le comité européen de la protection des données vient remplacer l’actuel G29, et voit ses pouvoirs renforcés.

Le comité sera un organe indépendant de l’Union Européenne, ayant la personnalité juridique et qui sera représenté par son Président. Il sera composé du chef de l’autorité de contrôle en matière de données personnelles de chaque État membre, ainsi que du contrôleur européen de la protection des données.

Le comité aura plusieurs missions, dont notamment celles de :

• publier des lignes directrices, des recommandations et des bonnes pratiques concernant les circonstances dans lesquelles une violation de données est susceptible d’engager un risque ;
• examiner, de sa propre initiative ou sur demande, toute question portant sur l’application du règlement ;
• tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme du contrôle de la cohérence.

2. Concernant le délégué à la protection des données (DPD ou DPO (Data Protection Officier) en anglais), il viendra remplacer l’actuel correspondant informatique et libertés (CIL).

Comme le CIL, le DPD devra avoir une connaissance étendue de la législation en matière de protection des données personnelles.

Sa désignation sera obligatoire dans certains cas :

• si le traitement est effectué par une autorité ou un organisme public (exception faite des tribunaux dans l’exercice de leur fonction juridictionnelle) ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités exigeraient un suivi régulier et systématique à grande échelle de personnes ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent un traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
• lorsque la loi nationale d’un État membre l’impose.

Il pourra être soit un employé du responsable de traitement ou du sous-traitant, soit un prestataire externe. Dans les deux cas, il devra agir en toute indépendance et ne pas recevoir d’instructions quant à l’exercice de ses fonctions.

Son rôle sera notamment de conseiller l’entreprise sur ses obligations de conformité et servir de point de contact avec les autorités de contrôle.

NOUVEAUTES DE FOND

Un certain nombre de nouveautés de fond sont introduites par le règlement.

1. L’exigence du consentement de la personne dont les données sont collectées est renforcée, puisque celle-ci devra en principe exprimer son consentement, avant tout traitement de ses données personnelles, par un système d’opt-in. Le consentement est ainsi défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

2. Le règlement introduit les notions de « privacy by design » (conformité dès la conception) et de « privacy by default » (conformité par défaut).

La première vise à ce que chaque nouvelle technologie traitant de données personnelles garantisse, dès sa conception et lors de son utilisation, le plus haut niveau possible de protection des données personnelles.

La « conformité par défaut » se traduit quant à elle par l’obligation pour toute entreprise traitant des données personnelles de permettre aux personnes dont les données sont traitées d’obtenir rapidement et facilement le plus haut niveau de protection possible, en garantissant par défaut un tel niveau.

3. Les obligations en matière de documentation diffèreront selon que le traitement est fait par un responsable de traitement ou par l’un de ses sous-traitants. Toutefois, dans les deux cas, le règlement a souhaité opérer une véritable responsabilisation des acteurs qui sont amenés à traiter des données personnelles.

Ainsi, tout responsable de traitement devra tenir un registre de ses activités de traitements, précisant notamment les finalités du traitement et les catégories de destinataires auxquelles les données ont été ou seront communiquées.

Le sous-traitant devra quant à lui tenir à jour une documentation sur l’ensemble des traitements qu’il effectue, comprenant notamment le nom et les coordonnées de chaque responsable de traitement pour le compte duquel il agit ou encore les différentes catégories de traitements effectués.

La tenue de ces registres par les responsables de traitement et les sous-traitants sera amenée à remplacer les formalités actuelles de déclaration auprès de la CNIL. Ces registres devront pouvoir être mis à la disposition de cette dernière sur simple demande.

Par ailleurs, tout responsable de traitement devra effectuer une analyse d’impact relative à la protection des données lorsqu’existera un risque élevé pour les droits et libertés des personnes physiques. Le règlement prévoit à ce sujet que les différentes autorités de contrôle nationales établiront et publieront des listes de types d’opérations pour lesquelles une telle analyse sera obligatoire.

Dans le cas où l’analyse révèlerait l’existence d’un risque, le responsable de traitement aura l’obligation de consulter préalablement au traitement envisagé l’autorité nationale de contrôle compétente, en France la CNIL, afin que celle-ci puisse le cas échéant lui formuler des recommandations.

Cette nouvelle politique de responsabilisation, traduite par la notion anglaise de « accountability », vise à remplacer l’ancien système reposant sur des obligations de déclarations et de formalités.

4. La simplification des formalités se traduit également par la création d’un guichet unique permettant à une entreprise, disposant de plusieurs établissements dans différents Etats membres de l’Union, de ne se référer qu’à une seule autorité de contrôle pour l’ensemble de ses traitements de données personnelles au sein de l’Union Européenne. Cette dernière sera l’« autorité chef de file » de l’entreprise, déterminée en fonction de la localisation de l’établissement principal de l’entreprise, c’est-à-dire le lieu où se déroulera l’essentiel de ses activités de traitement.

5. Le règlement vient préciser le régime de la responsabilité des opérateurs. Il instaure ainsi une responsabilité conjointe :

• entre différents responsables de traitement : elle trouvera application dès lors que les responsables auront déterminé ensemble les finalités et les moyens du traitement. Cela signifie, en pratique, que la personne souhaitant exercer ses droits pourra agir contre l’un ou l’autre des responsables.
• entre un responsable de traitement et un sous-traitant : le règlement prévoit un renforcement des obligations pesant sur le sous-traitant. Alors que dans la règlementation actuelle il est presque totalement ignoré, il aura désormais une responsabilité directe à l’égard des autorités de contrôle et des tiers. Il devra par exemple présenter des garanties suffisantes de mise en œuvre de mesures techniques et organisationnelles, supportera une obligation de sécurité au même titre que le responsable de traitement, et sera soumis à des obligations contractuelles plus importantes, avec notamment l’exigence d’un cahier des charges détaillé ou la nécessité d’obtenir l’autorisation écrite préalable du responsable de traitement s’il veut lui-même sous-traiter.

En raison de la multiplication des obligations à la charge du sous-traitant, une action sera désormais possible directement contre lui, s’il ne respecte pas les dispositions du règlement le concernant ou s’il agit sans respecter les instructions légales de son responsable de traitement.

6. De nouveaux droits sont octroyés par le règlement aux personnes dont les données personnelles sont traitées parmi lesquels:

– le droit à l’oubli et à l’effacement, qui devient le principe pour :

• toutes les données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
• lorsque les personnes ayant initialement donné leur consentement le retirent ;
• lorsque des personnes s’opposent au traitement de leurs données ;
• pour les données ayant fait l’objet d’un traitement illicite ;
• pour les données collectées lorsque la personne était enfant, entre 13 et 16 ans selon le choix de chaque État membre ;
• lorsque la suppression des données devient nécessaire en vertu d’une obligation légale pesant sur le responsable de traitement.

Il existe toutefois des exceptions au droit à l’oubli qui sont expressément prévues par le règlement, telles que l’utilisation de données pour l’exercice de la liberté d’expression ou bien l’utilisation de données pour la constatation, l’exercice ou la défense de droits en justice.

le droit à la portabilité des données, qui permet aux particuliers de transférer leurs données à caractère personnel d’un responsable de traitement à un autre, dès lors que le traitement sera fondé sur le consentement ou un contrat, et qu’il sera effectué à l’aide de procédés automatisés.

7. La déclaration obligatoire en cas de violation des données se généralise à tous les responsables de traitement, alors qu’elle n’était obligatoire que pour les opérateurs de télécoms et les fournisseurs d’accès internet en application de la règlementation antérieure. Les violations de données devront être déclarées à l’autorité de contrôle compétente dans un délai de 72h après leur découverte, tout retard devant être justifié. Dans certaines hypothèses, la violation devra également être notifiée aux personnes concernées, si elle est susceptible d’engendrer un risque élevé pour les droits et libertés, et ce dans les meilleurs délais.

NOUVELLES SANCTIONS

Le nouveau règlement vient renforcer les sanctions pouvant être prononcées en cas de non respect des dispositions relatives au traitement et à la protection des données personnelles. Il prévoit des amendes administratives, qui pourront être prononcées seules ou en tant que sanction complémentaire, par exemple en plus d’une limitation temporaire d’un traitement.

Afin d’encadrer la détermination du montant des amendes, le règlement énonce plusieurs critères qui devront être pris en considération, à savoir par exemple la nature, la gravité et la durée de la violation ou encore son caractère délibéré ou non.

Le règlement fixe des plafonds maximums d’amendes, en prévoyant pour chaque violation le montant maximal encouru:

• des amendes administratives pouvant aller jusqu’à 10.000.000 d’euros, ou pour une entreprise jusqu’à 2% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé des deux étant retenu), par exemple pour non respect de l’obligation de notification d’une violation de données ;
• des amendes administratives pouvant s’élever jusqu’à 20.000.000 d’euros, ou pour une entreprise jusqu’à 4% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé étant retenu), par exemple pour non respect du droit d’opposition d’une personne sur ses données.