La protection des données à caractère personnel est une des facettes du droit au respect de la vie privée. Ce droit est garantit et protégé par des textes à valeur constitutionnelle. De surcroît, ces textes sont supra nationaux :
la Convention européenne de sauvegarde des droits de l'Homme. Son article 8 dit que "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance".
la Charte européenne des droits fondamentaux. Son article 7 indique que "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications". Surtout, son article 8, Protection des données à caractère personnel, dit que :
"toute personne a droit à la protection des données à caractère personnel la concernant" ;
"Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification";
"Le respect de ces règles est soumis au contrôle d'une autorité indépendante".
C'est également en 1978 qu'est créée la CNIL, la Commission nationale de l'informatique et des libertés, qui est l'autorité chargée de veiller au respect de cette législation.
La protection des données à caractère personnel a progressivement pris une dimension toute particulière avec l'avénement de l'ère du numérique. :o Les illustrations abondent :
Les wikileaks, l'affaire Snowden, les vols de données personnels contenus dans les fichiers d'Uber, l'affaire Facebook-Cambridge Analytica...
Le marketing qui développe des outils de profiling grâce aux multiples données que les utilisateurs laissent lors de l'utilisation des services.
Les utilisations possibles désormais du big data, le traitement de données en masse.
Il y a donc un besoin de mieux encadrer et d'assurer la protection des données personnelles. Les règles qui s'appliquent sont issus du paquet européen de protection des données, adopté par le Parlement européen le 27 avril 2016.
Le règlement (UE) 2016/679 dit règlement général sur la protection des données (RGPD) ;
La directive (UE) 2016/680 relative aux traitements de données personnelles mis en œuvre à des fins de prévention et de détection des infractions pénales.
Instrument | entrée en vigueur | abroge et remplace |
Règlement (UE) 2016/679 | 25 mai 2018 | directive 95/46/CE |
Directive (UE) 2016/680 | 6 mai 2018 | décision-cadre 2008/977/JAI |
Synthèse du RGPD
Les sources du régime juridique applicable en France sont :
le règlement (UE) 2016/679 ;
la loi Informatique et libertés de 1978 (modifiée par la loi de 2018). Cette loi est augmentée d'un nouveau chapitre rassemblant l'ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale (issues de la directive 2016/680).
Le nouveau dispositif cherche à concilier la protection des droits fondamentaux des individus, sans entraver la libre circulation des données, considérée comme un levier de croissance.
Cet objectif est atteint par un changement de paradigme, abandonnant le régime gradué d'autorisation a priori, pour y substituer un contrôle a posteriori avec une obligation de documenter la conformité du traitement des données aux principes protecteurs inscrits dans le règlement.
Quant aux droits substantiels, le règlement maintient et conforte les droits des personnes physiques sur leurs données à caractère personnel, tels que le droit d'information. Il en créé de nouveaux tel que le droit à l'effacement des données ("droit à l'oubli") ou le droit à la portabilité des données.
Le champ d'application du RGPD
Le champ territorial
Comme il s'agit d'un règlement européen, tous les États membres appliquent le même texte.
Il restera néanmoins des différences entre les législations des États membres car le règlement prévoit certaines marge d'aménagement.
Par exemple, le règlement dispose que l'âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l'information est fixé à 16 ans, mais il offre la possibilité aux États membres d'abaisser cet âge jusqu'à 13 ans.
La protection des données personnelles bénéficie donc de règles harmonisées au sein de l’Union européenne lesquelles sont :
applicables à tous les acteurs sur le territoire de l’Union européenne,
et applicables aux opérateurs installés hors de l'Union européenne dès lors qu'ils offrent des biens et des services aux citoyens européens.
S'ajoutent des règles imposant une coopération plus étroite entre les autorités nationales des États membres pour appliquer ce jeu de règles unique.
Par exemple, les entreprises présentes dans plusieurs marchés (européens) ne doivent plus faire face à des décisions potentiellement contradictoires des autorités nationales.
Le champ matériel
Chaque terme est important et explique que le champ d'application du régime de protection est extrêmement large.
Traitement : toute opération (procédé automatisé ou non) telle que la collecte, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion, toute mise à disposition, le rapprochement et l'interconnexion, la limitation, l'effacement ou la destruction.
Concrètement : les informations utilisées par la fonction RH, la géolocalisation d'un véhicule employé par un salarié, un fichier client, la tenue des comptes clients, le partage d'une base de contacts...
Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement. Ce peut être un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, un élément d'identité physique, physiologique, génétique, psychique, économique, culturel ou social.
Concrètement : la couleur des yeux, de la peau ou des cheveux, une infirmité, la taille, le poids, les croyances religieuses, l'appartenance politique, le niveau de vie, la fonction professionnelle, les pratiques sexuelles, les goûts alimentaires, le passe-temps...
Fichier : tout ensemble structuré (de données personnelles) accessible selon des critères déterminés, centralisé, décentralisé, ou réparti de manière fonctionnelle ou géographique.
L'action (traitement de données à caractère personnel) est mise en œuvre par une personne, qui est qualifiée de responsable du traitement. Là encore, la notion est très large : une personne physique (un individu) ou morale (société, association, fondation... ), une autorité publique, un service ou un organisme qui, seul ou conjointement avec une ou plusieurs autres personnes, détermine les finalités et les moyens du traitement.
Les principes du RGPD
Principes directeurs
1° Licéité, loyauté et transparence
Les données doivent être traitées de manière licite, loyale et transparente.
Par conséquent, vous devez informer la personne concernée du traitement des données, obtenir son consentement, exclure la pratique de l'opt-out.
2° Limitation des finalités
Les données sont collectées pour des finalités déterminées, explicites et légitimes.
Nuance : le traitement ultérieur à des fins d'archivage dans l'intérêt public, de recherche scientifique, historique ou statistique est considéré comme compatible avec les finalités initiales.
3° Minimisation des données
Les données à caractère personnel qui font l'objet du traitement doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du traitement.
C'est une exigence de proportionnalité, qui vous oblige, en tant que responsable du traitement, à ne viser que le "strict minimum" selon la finalité de votre traitement des données.
4° Exactitude
Les données doivent être exactes et, le cas échéant, tenues à jour.
Cette obligation de mise à jour vous oblige à prendre toutes les mesures raisonnables pour que les données à caractère personnel qui sont inexactes soient effacées ou rectifiées.
5° Limitation de la conservation
Les données sont nécessairement conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Si, à des fins d'archivage, une durée plus longue de conservation est possible, c'est à la condition que vous mettiez "en œuvre les mesures techniques et organisationnelles appropriées (respect du principe de minimisation, pseudonymisation) afin de garantir les droits et libertés de la personne concernée".
6° Intégrité et confidentialité des données
Le traitement est effectué de manière à garantir une sécurité appropriée des données.
Ce principe vous oblige à prendre les mesures, notamment techniques et organisationnelles, qui garantissent contre un accès ou une utilisation non autorisés ainsi que contre la perte et la destruction accidentelle.
7° Responsabilité
Enfin, il est prévu que vous, en tant que responsable du traitement, devez être en mesure de démontrer le respect de ces principes directeurs.
C'est bien en cela qu'il y a une obligation de documenter la conformité de votre traitement au regard des principes généraux.
Licéité du traitement
Il ne suffit pas de mettre en œuvre un traitement qui satisfasse aux principes directeurs que l'on vient de voir ; encore faut-il que le traitement soit licite.
Il sera licite dès lors qu'il répond à l'une au moins des conditions suivantes :
la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Mettez en œuvre le RGPD
C'est une logique de contrôle a posteriori qui s'applique, et le respect des droits des personnes repose principalement sur une logique de responsabilisation des entreprises.
Respectez le règlement
Vous devez tout d'abord respecter le règlement, c'est-à-dire que vous devez respecter les droits des personnes protégées (concernées par les données).
Cela signifie que vous devez alors :
fournir une information extensive sur le traitement des données aux personnes concernées ;
organiser un droit d'accès à ces informations ;
organiser un droit de rectification et d'effacement (droit à l'oubli) ;
tenir compte du droit à la limitation du traitement ;
organiser la portabilité des données.
Ces données ne peuvent être traités qu'à certaines conditions énoncées à l'article 9 du RGDP.
Documentez la mise en œuvre du traitement
Ensuite, vous devez documenter la mise en œuvre de votre traitement afin de garantir et démontrer que vous vous conformez aux principes directeurs.
Pour faciliter cette identification (et donner une plus grande sécurité juridique aux acteurs du secteur) vous pouvez vous appuyer sur diverses sources et outils :
La Commission européenne publie des questions/réponses et des analyses.
Le CPDP, Comité de la protection des données personnelles, publie des lignes directrices.
La CNIL, au niveau national, développe des analyses et offre des outils de conformité.
Par exemple, le logiciel PIA (privacy impact assessment) est un logiciel libre d'utilisation (open source) que la CNIL met à disposition des responsables de traitement, afin de faciliter votre conduite d'une analyse d'impact qui est une des modalités exigée par le régime RGDP.
Dès lors que vous mettez en place un traitement de données à caractère personnel, il vous faut identifier l'outil de conformité à mettre en place. Ils sont au nombre de trois.
(1) Le registre des activités de traitement (art. 30 du RGPD)
Cet outil doit être mis en place dès que l'on met en œuvre un traitement et le RGDP indique les éléments qui doivent y figurer.
(2) Le délégué à la protection des données (art. 37 du RGDP)
Dès lors que vous êtes dans l'un des trois cas ci-dessous, vous devez désigner un DPD (DPO en anglais, pour Data Protection Officer, qui est l'acronyme que tout le monde utilise) :
Le traitement est effectué par une autorité publique (sauf les juridictions) ;
Les activités de base du traitement consistent en des opérations qui exigent un suivi régulier et systématique à grande échelle des données personnelles ;
Les activités de base du traitement consistent en un traitement à grande échelle de catégories particulières de données (celles de l'article 9 du RGPD).
Il doit accomplir les missions suivantes :
informer et conseiller le responsable du traitement sur ses obligations ;
contrôler le respect du RGPD ;
dispenser des conseils concernent l'analyse d'impact qui doit éventuellement être réalisée ;
coopérer avec l'autorité de contrôle ;
faire office de point de contact pour l'autorité de contrôle.
(3) L'analyse d'impact (art. 35 du RGPD)
Dès lors que le traitement que vous envisagez est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, il est exigé d'effectuer, avant la mise en place du traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Ce risque s'identifie notamment à raison du recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
L'évaluation doit porter sur l'origine, la nature, la particularité et la gravité du risque que le traitement fait naître. La loi européenne précise le contenu de cette analyse en indiquant que l'on doit y retrouver a minima les éléments suivants :
une description systématique du traitement et de ses finalités, ainsi que la précision de l'intérêt légitime poursuivi ;
l'évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités poursuivies ;
une évaluation des risques pour les droits et libertés (des personnes physiques concernées) ;
les mesure envisagées à cet égard, afin de protéger les données à caractère personnel.
Assurez votre conformité au RGPD
Aspects pratiques : la check-list de conformité (ou les 6 étapes de la RGPD)
Étape | Action | Ressources |
1. | Désigner un pilote (un DPO) | Guide CNIL : Devenir DPO |
2. | Établir un registre des activités (cartographie des traitements de données personnelles) | |
3. | Prioriser les actions à entreprendre |
|
4. | Gérer les risques | |
5. | Organiser les processus internes | Téléservice de notification de violation (site CNIL) |
6. | Documenter la conformité |
|
Si vous êtes concerné, vous devez impérativement envisager 4 actions principales :
Constituer un registre de vos traitement de données (étape 2 ci-dessus, en vous aidant du modèle de registre), ce qui suppose de formaliser l'objectif poursuivi, les différentes catégories de données utilisées, d'identifier qui a accès aux données et de préciser la durée de conservation.
Faire le tri dans vos données, en déterminant quelles sont les données réellement nécessaires et si, parmi celles-ci, il y en a qui relèvent de la catégorie des données dites sensibles.
Respecter les droits des individus en mettant en œuvre une politique de transparence (au moyen de mention ou de renvoi à un document de politique de confidentialité) et en permettant aux personnes d'exercer leurs droits (accès, rectification, opposition, effacement, portabilité).
Sécuriser vos données en adoptant les mesures raisonnables et nécessaires afin de garantir la sécurité des données. En l'absence de risque zéro, ce seront les process mis en place, la surveillance constante et l'efficacité des mesures qui permettent de contenir votre risque juridique.
Vous êtes désormais prêt à respecter la nouvelle législation concernant le traitement des données personnelles !
