Donnez, données, l’Europe vous protégera !

Le 27 juin 2016

Le nouveau Règlement Européen sur les Données Personnelles ou General Data Protection Regulation, plus communément appelé GDPR, a été publié le 4 mai 2016 au JOUE (Journal Officiel de l’Union Européenne) et sera applicable à compter du 25 mai 2018.

Le GDPR place les obligations relatives à la protection des données personnelles au centre de la vie économique en les imposant de façon très stricte aux entreprises, lesquelles, faute de respecter les termes du règlement et d’être en conformité au printemps 2018, peuvent se voir infliger une amende pouvant égaler 4% du chiffre d’affaires annuel mondial du groupe concerné ou a maxima, 20 millions d’euros.

En France, la CNIL qui, jusque-là, n’arrivait pas à imposer ses normes aux grandes sociétés va donc voir son amende maximum de 150 000 euros disparaître, au profit d’une sanction bien plus significative et dissuasive.

En bref…

-  Quel est le champ d’application du GDPR ?

Le GDPR s’applique à tout traitement de données à caractère personnel, sauf cas exceptionnels prévus par le Règlement.

Le GDPR s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant établi sur le territoire de l'Union Européenne, que le traitement ait lieu ou non dans l'Union.

-  Quels sont les grands apports du GDPR ?

  • De nouvelles définitions (données personnelles, traitement de données, profilage etc.) ;
  • Des sanctions plus lourdes ;
  • Des obligations plus strictes pour les responsables de traitement, lesquels sont désormais responsables solidairement avec leurs sous-traitants ;
  • Des droits renforcés pour les personnes dont les données sont collectées ;
  • Une meilleure coopération européenne entre les autorités compétentes.

Qu’est-ce qu’une donnée personnelle ?

Cette notion, extrêmement large, est définie par le GDPR (mais aussi par les textes précédents) comme : « toute information se rapportant à une personne physique identifiée ou identifiable ».

En pratique, une donnée personnelle, peut être à la fois une donnée « directe », comme le nom de famille, ou une donnée « indirecte », telle que l’adresse de courrier électronique, l’adresse IP de l’ordinateur d’un individu, ou tout autre numéro d’identification commercial et/ou technique.

Le GDPR, en affirmant d’ailleurs qu’un « identifiant en ligne » est une donnée personnelle, vient clore le débat français sur la qualité de l’adresse IP, la CNIL considérant qu’il s’agit d’une donnée personnelle et la Cour de cassation s’y étant opposée jusqu’à présent.

Qu’est-ce qu’un traitement ?

Cette notion, également extrêmement large, est définie par le GDPR comme : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

A quelles conditions doit répondre un traitement ?

-      Il doit être loyal.

Toute personne dont les données personnelles sont collectées doit être informée, lors de la collecte, de l’identité du responsable du traitement, de la finalité du traitement et des destinataires des données. Le GDPR précise que l’information doit être concise, transparente, intelligible et facile d’accès.

Certains traitements de données (par exemple, les données dites sensibles concernant l’origine, la sexualité, les opinions politiques, etc.) sont strictement encadrés et ne peuvent être réalisés qu’après obtention du consentement exprès de la personne concernée.

La personne concernée doit être informée de son droit de s’opposer au traitement, d’accéder aux données collectées, de les modifier et le cas échéant, d’en demander la suppression pour des motifs légitimes.

Le GDPR précise, au surplus, qu’il doit être aussi simple de retirer son consentement que de le donner.

Le GDPR encadre également la manière dont le destinataire de données, qui n’est pas à l’origine de la collecte, doit en tenir informé la personne dont les données sont traitées.

-      Il doit être licite.

Un traitement de données ne peut être effectué que pour un traitement déterminé, explicite et légitime, dans l’une des conditions suivantes, sans jamais avoir une finalité générale :

  • Consentement exprès de la personne concernée ;
  • Nécessaire en vue de l’exécution d’un contrat ;
  • Nécessaire en vue du respect d’une obligation légale ou pour l’intérêt vital de la personne concernée ou encore, en vue de l’exécution d’une mission d’intérêt public.

L’apport majeur du GDPR : Le responsable de traitement doit être en mesure de prouver que le consentement a été donné. Par ailleurs, les données collectées ne peuvent être ultérieurement traitées de manière incompatible à la finalité initiale, sauf à s’exposer aux nouvelles sanctions pécuniaires instaurées par le GDPR (cf. supra).

-      Il doit être proportionnel.

C’est l’un des autres apports majeurs du GDPR : les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement » alors que jusque-là, la Directive Communautaire (95/46/CE) et le droit français imposaient uniquement un traitement de données « non excessif ».

Il s’agit ici de renforcer le caractère adéquat et pertinent du traitement au regard de la finalité énoncée.

-      Il doit être sécurisé.

Autre innovation majeure du GDPR : les entreprises doivent, dès la création d’un projet aboutissant à un traitement de données, faire en sorte de prendre les mesures organisationnelles et techniques appropriées (privacy by design).

Par ailleurs, chaque entreprise est désormais obligée de proposer aux personnes avec qui elle est en contact, le plus haut niveau possible de protection des données (privacy by default).

Jusque-là, une obligation de sécurité générique reposait sur le responsable de traitement qui devait la faire appliquer au sous-traitant par contractualisation. Désormais, le responsable de traitement qui fait appel à un sous-traitant, doit s’assurer que ce dernier répond aux exigences de sécurité et de protection des données de la personne concernée.

Le GDPR préconise aussi un audit préalable lors de l’utilisation de nouvelles technologies.

-      Il doit être contrôlé.

Un traitement de données doit être contrôlé, y compris par le responsable de traitement à l’égard de son sous-traitant.

Pour cela, le GDPR impose aux sociétés d’être en mesure, à tout moment, de justifier du respect des règles de protection des données personnelles.

Ce contrôle s’accompagne d’un certain nombre de déclarations à réaliser auprès de l’autorité nationale du siège de l’établissement principal de la société, pour l’ensemble des traitements réalisés en Europe (par exemple, la CNIL, pour une société dont le siège social est situé en France).

A ce titre, il doit être tout particulièrement rappelé que tout transfert de données personnelles vers un pays hors-UE (y compris les Etats-Unis depuis l’arrêt de la Grande Chambre de la CJUE en date du 6 octobre 2015 dans une affaire « Schrems c/ Digital Rights ») doit être strictement encadré et le GDPR impose que le traitement ainsi que le transfert des données soient soumis, même en dehors de l’UE, aux règles européennes.

Par ailleurs, les sociétés doivent désormais notifier aux autorités de contrôle ainsi qu’aux personnes concernées, dans l’hypothèse où elles seraient victimes de failles de sécurité compromettant la sécurité des données.

En outre, le GDPR prévoit que toute entreprise de plus de 250 salariés doit établir un registre de l’ensemble des traitements qu’elle réalise, comme toute entreprise qui traite à grande échelle des données sensibles, ou pratique un suivi régulier et systématique de personnes.

Enfin, le responsable du traitement et le sous-traitant doivent désormais désigner un délégué à la protection des données dans l’hypothèse où :

  • les activités du responsable de traitement ou du sous-traitant, ou les finalités du traitement exigent un suivi régulier et systématique à grande échelle ;
  • le traitement concerne des données dites « sensibles » ;

dans les autres cas où la législation nationale l’exige.

Autres nouveautés du GDPR

On pourra aussi citer d’autres nouveautés marquantes telles que :

  • La formalisation du droit à l’oubli ;
  • La création d’un droit à la limitation du traitement ;
  • La création d’un droit à la portabilité des données ;
  • L’encadrement de la pratique dite du profilage ;
  • Le renforcement des mesures de coopération et de cohérence intra-communautaire ;
  • Le renforcement des obligations relatives à la sous-traitance de données ;
  • Le renforcement des mesures de sanctions.

A venir…

Le Projet de loi pour une République Numérique, en cours d’examen actuellement au Parlement français, intègre de nombreuses dispositions issues du Règlement Européen mais en prévoit aussi de nouvelles (sous réserve du texte final) et devrait être adopté avant 2018.

 Il apparaît donc préférable pour une entreprise française de se mettre en conformité dans un délai raisonnable afin de ne pas être désorganisée, du fait de l’urgence, lorsque ces textes seront entièrement applicables.

Jérôme Sujkowski - Jean-Christophe Chevallier