Le RGPD : vers un traitement des données mieux encadré ?
Nous avons demandé à notre service juridique de nous éclairer sur les tenants et les aboutissants de ce nouvel arsenal réglementaire et sur ses conséquences directes dans la vie quotidienne.
Une gestation de près de vingt ans
Le Règlement Général sur la Protection des Données dit RGPD est un règlement européen qui s’inscrit dans la lignée de la directive européenne 95/46/CE du 24 octobre 1995. Cette directive avait pour objectif de créer un cadre juridique commun pour tous les États membres de l’Union européenne. Elle a permis la mise en place de règles nationales encadrant la protection des personnes physiques à l’égard des traitements des données européennes et garantissant le libre flux des données entre les États membres.
Malgré toutes les bonnes intentions du législateur, cela n’a pas été une franche réussite et le but escompté n’a pas été atteint. En effet, les Etats membres étant dotés de leur propre droit national, ils ont surtout accordé aux différents ressortissants de l’UE des degrés de protection aussi variables qu’inégaux.
Prenons l’exemple de la France qui s’était dotée, une vingtaine d’années plus tôt, d’une loi relative à la protection des personnes vis à vis du traitement des données personnelles, appelée la « loi informatique et libertés » du 6 janvier 1978. Cette loi a, dans un premier temps, créé une instance de contrôle, la Commission Nationale de l’informatique et des libertés dit CNIL, puis a eu pour objectif d’instaurer un cadre protecteur pour pallier les dangers potentiels de l’informatique pour les libertés publiques ; elle a également cherché à définir des règles déontologiques permettant d’en maîtriser les utilisations.
La France n’a cependant transposé la directive européenne 95/46/CE qu’en août 2004 dans une loi du 6 août venant modifier et adapter celle de janvier 1978. C’est dire si cette transposition, plus que tardive, démontre l’échec de la directive de 1995 !
Partant de ce constat, la Commission européenne décide en 2012 de proposer une réforme globale en matière de protection des données ; mais ce n’est finalement que 4 ans plus tard que le Conseil de l’Union européenne, le Parlement européen et le Comité européen approuvent la version finale du texte. Le RGPD est finalement adopté le 27 avril 2016 et publié au Journal Officiel le 4 mai de la même année. Il entre en vigueur à compter du 25 mai 2016 avec pour conséquence d’abroger la directive 95/46/CE.
Le texte prévoit néanmoins que l’ensemble des dispositions obligatoires ne seront directement applicables à l’ensemble des États membres de l’UE qu’à compter du 25 mai 2018.
Il s’appliquera en revanche directement et en totalité sans besoin de transposition par les États en application du traité sur le fonctionnement de l’Union européenne. Son entrée en vigueur n’a toutefois pas pour conséquence d’abroger la « loi informatique et libertés » française de 1978… et pour cause : le règlement européen renvoie régulièrement aux droits des Etats membres, afin que ceux-ci puissent maintenir ou introduire des spécificités nationales. La France est donc venue adapter la loi du 6 janvier 1978 au droit de l’Union européenne par un texte de loi adopté en lecture définitive par l’Assemblée nationale le 14 mai 2018. Cette loi est venue simplifier les procédures, renforcer les pouvoirs et les missions de la CNIL et permet, en cas de divergence entre le droit européen et le droit national, de trancher en application de la législation française pour les personnes résidant en France.
Pour un renforcement des droits individuels
L’esprit du RGPD est le renforcement des droits des personnes concernées par les traitements des données personnelles en leur attribuant de nouveaux droits, en harmonisant les règles de protection des données personnelles au niveau européen et en responsabilisant davantage les acteurs afin de renforcer la libre circulation des données.
Le règlement s’applique à toutes les données qui permettent d’identifier, directement ou indirectement, des individus présents sur le territoire de l’Union européenne dès lors que leur traitement est automatisé en tout ou partie. Il s’applique également aux traitements non automatisés contenus ou appelés à figurer dans un fichier. La loi informatique et libertés de 1978 prévoyait déjà des droits pour les personnes concernées. Le RGPD est venu renforcer ces droits et en introduire de nouveaux.
Des implications directes au quotidien
Le RGPD vient certes renforcer les droits existants mais de quels droits parle-t-on et quelles sont les évolutions attendues ?
Le consentement
L’un des principes fondamentaux du RGPD est le consentement des personnes concernées leur permettant ainsi d’avoir un regard sur les données personnelles fournies et d’en contrôler le devenir.
Le droit à l’information :
Les personnes concernées par la collecte des données doivent être tenues informées. Cette information se matérialise par la diffusion de mentions obligatoires directes dont le contenu est encadré. Le RGPD reprend le cadre légal existant et y ajoute des nouvelles informations à fournir comme notamment des informations sur les différents acteurs traitant les données, des informations sur le traitement lui-même, sur les droits de la personne concernée, etc.
Les droits d’accès :
La « loi informatique et libertés » prévoyait déjà un droit de regard sur l’utilisation des données collectées. Avec le RGPD désormais, toute personne pourra demander au responsable de traitement l’accès aux données personnelles qui sont traitées ainsi que l’accès à un certain nombre d’informations comme la finalité du traitement ou la catégorie de données concernées.
Le droit d’opposition au traitement pour motif légitime :
Les personnes concernées peuvent à tout moment s’opposer à un traitement des données à caractère personnel les concernant. Cependant, afin de pouvoir exercer ce droit, il faut pour cela avoir un motif légitime. Une fois ce droit invoqué, et s’il est motivé par un motif légitime, alors le responsable de traitement ne pourra plus traiter ces données sauf s’il démontre qu’il existe des motifs « légitimes et impérieux » pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la personne concernée.
Le droit de la rectification :
Les personnes concernées ont le droit d’obtenir du responsable de traitement la rectification des données personnelles les concernant qui sont inexactes. Compte tenu des finalités du traitement, les personnes concernées ont le droit d’obtenir que des données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
Introduction de nouveaux droits
Le RGPD prévoit aussi de nouveaux droits tels que le droit à la limitation du traitement, le droit de s’opposer au profilage, le droit à la portabilité des données ou le droit à l’effacement. Revenons sur chacun entre d’eux.
Le droit à la limitation du traitement
Ce droit permet aux personnes concernées d’obtenir du responsable de traitement qu’il limite l’utilisation des données personnelles. Cette demande ne peut être faite que dans certaines hypothèses, notamment quand l’exactitude des données personnelles est contestée par les personnes concernées ou quand celles-ci se sont opposées au traitement de données.
Le droit de s’opposer au profilage
Le profilage est une technique permettant de collecter des données à caractère personnel au gré des visites sur différents sites internet afin de dresser un profil correspondant à une catégorie. Sur ce point, le RGPD encadre ce profilage en prévoyant des garanties pour les personnes concernées. Le règlement prévoit le droit pour les personnes concernées d’être informées de l’existence d’un profilage. Les informations doivent porter sur la logique ainsi que sur l’importance et les conséquences prévues de ce traitement pour la personne concernée. Le RGPD prévoit également le droit de ne pas faire l’objet de décision basée uniquement sur un traitement de données automatisé qui produit des effets juridiques ; par exemple l’estimation de solvabilité ou de la santé du demandeur lorsqu’il s’agit d’une demande de crédit ou d’assurance.
Ce principe peut faire l’objet d’exceptions lorsque le profilage est prévu par la loi, lorsqu’il est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou encore lorsque la personne concernée a donné son consentement.
Dans ces trois cas, le responsable de traitement doit alors prendre les mesures nécessaires pour protéger les droits de la personne.
Le droit à la portabilité des données
Ce droit permet aux personnes concernées de récupérer les données qu’elles ont fournies sous une forme réutilisable et, le cas échéant, de les transférer ensuite à un tiers.
Le droit à l’effacement
Ce droit est également appelé le « droit à l’oubli » ; il peut être invoqué dans plusieurs hypothèses : lorsque les données ne sont plus nécessaires au regard des finalités du traitement de données, lorsque la personne a retiré son consentement ou lorsqu’il n’existe aucun autre fondement juridique au traitement ou encore, lorsque la personne exerce son droit d’opposition, etc.
Il convient de préciser que le droit à l’effacement souffre de quelques exceptions comme notamment le respect d’une obligation légale pour l’exécution d’une mission d’intérêt légitime, des motifs de santé publique, des motifs d’archivage à des fins scientifiques, statistiques et historiques si le droit à l’effacement y porte sérieusement atteinte, etc.
« Le responsable du traitement est la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement des données. »
Quand invoquer le RGPD et dans quel contexte ?
Le RGPD s’applique au responsable de traitement :
- se situant dans un état membre de l’Union européenne, peu importe que l’activité ait lieu ou non sur le territoire, ou
- se situant hors de l’Union européenne avec vocation à récolter des données appartenant à des personnes résidantes dans un état membre de l’Union européenne, ou encore
- se situant hors de l’Union européenne mais dans un pays où la loi d’un pays membre s’applique.
Quel contrôle en cas de non-respect du RGPD ?
Voilà une question bien légitime…
En France, le pouvoir de contrôle est entre les mains de la CNIL c’est à dire une autorité administrative qui ne reçoit pas d’instruction des pouvoirs publics. Elle a pour mission d’informer et de protéger les personnes concernées en répondant à leurs demandes ou en diffusant des outils pratiques ou des conseils. Elle accompagne, en outre, les responsables du traitement pour les aider dans leur mise en conformité. La CNIL contrôle et sanctionne les manquements à la réglementation. A noter que ces sanctions sont essentiellement d’ordre pécuniaire même s’il existe aussi des sanctions pénales. Enfin, la CNIL anticipe les risques techniques et éthiques des nouvelles technologies et des nouveaux usages de la vie privée.
On le voit bien, le RGPD, malgré ses bonnes intentions, n’en demeure pas moins un outil complexe à gérer et nous manquons sans doute encore de recul pour savoir s’il atteindra l’objectif voulu par son législateur ou s’il faudra que l’UE planche à nouveau, dans quelques années, sur un nouveau texte…