Le 25 mai 2018, est entré en vigueur le Règlement général sur la protection des données, plus communément appelé RGPD. Comme l’indique son nom, ce règlement intervient en matière de protection des données à caractère personnel.
Qu’est-ce le RGPD ? A quoi sert-il ? Mon Devis d’Assurance vous fait un point sur ce sujet en perpétuelle évolution.
La mise en place du RGPD
Le contexte dans lequel s’inscrit le RGPD
Le règlement (UE) 2016/679 du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été promulgué le 27 avril 2016. Il est ensuite entré en vigueur le 25 mai 2018.
Ce règlement traite d’un sujet sensible : les données personnelles des personnes physiques, qui peuvent être utilisées à mauvais escient par ceux qui les collectent. A travers ce nouveau texte, le cadre juridique a été renforcé pour mieux les protéger, ce qui apparaît aujourd’hui comme un enjeu essentiel dans un contexte d’évolutions technologiques permanentes.
De même, le RGPD abroge la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Le RGPD a donc été mis en place afin d’adapter les règles européennes existantes aux évolutions d’aujourd’hui et d’harmoniser le cadre juridique relative aux données personnelles dans chaque État-membre de l’Union Européenne.
Quelle est la différence entre un règlement européen et une directive européenne ? Bien que tous deux correspondent à des actes juridiques, le règlement s’applique directement dans les États-membres de l’Union Européenne. En effet, les dispositions du règlement doivent être mises en œuvre dans les États-membres, telles qu’ont été déterminées dans ledit règlement. Au contraire, la directive définit un objectif de l’Union européenne qui doit être atteint par les États-membres. Néanmoins, ils disposent d’une liberté de choix pour adopter les moyens nécessaires pour atteindre cet objectif. |
Les États-membres de l’Union Européenne doivent donc appliquer les dispositions du RGPD, telles qu’elles ont été énoncées. Toutefois, le RGPD donne la possibilité aux États-membres d’édicter des règles pour préciser certaines spécificités. Il s’agit par exemple, du traitement des données de santé.
En France
Dans le cadre national, il existe également des règles relatives à la protection des données. En outre, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (plus connue sous le nom de « loi Informatique et Libertés ») réglementait ce sujet. Puis, pour que le droit français soit en conformité avec le droit européen, la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles est intervenue pour modifier la loi Informatique et Libertés.
Le champ d’application du RGPD
L’article 2 du RGPD précise que le « règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Au niveau géographique, ce texte s’applique à l’ensemble des pays de l’Union européenne mais également à toute entreprise située hors du territoire qui traite de données personnelles de personnes se trouvant dans l’Union Européenne (article 3 du RGPD). Ainsi, toute personne morale ou physique, qu’elle soit située dans ou hors de l’Union européenne, traitant et/ou collectant des données à caractère personnel de résident(e)s européen(ne)s, est concernée et doit impérativement se mettre en conformité avec le règlement européen.
Par ailleurs, l’article 4 du règlement définit le responsable du traitement, comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». De même, le règlement s’applique aux sous-traitants, c’est-à-dire « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
L’objectif principal : la protection des données à caractère personnel.
L’élaboration du RGPD résulte de la volonté de répondre à plusieurs objectifs, notamment la protection des libertés et droits fondamentaux des personnes physiques, en particulier la protection de leurs données personnelles ainsi que la responsabilisation des entreprises qui traitent et collectent ces données.
A titre informatif, l’article 4 du RGPD définit plusieurs notions, comme par exemple :
- les données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ».
- le traitement de données : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
- La violation des données à caractère personnel : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
En outre, l’article 5 du RGPD énonce les principes concernant le traitement des données à caractère personnel. De ce fait, ces données doivent notamment être traitées licitement, loyalement et de manière transparente par rapport à la personne dont les données sont traitées. La collecte de ces données doivent correspondre à des finalités déterminées, explicites et légitimes. Elles ne peuvent donc pas être utilisées pour une autre finalité qui n’a pas été déterminée et qui n’a pas été consentie par la personne physique. Il faut, par ailleurs, que la sécurité et la protection de ces données soient assurées, afin d’éviter tout traitement illicite ou non autorisé. Les données personnelles doivent également être garanties contre la perte, la destruction ou des dégâts d’origine accidentelle.
L’article 6 du règlement européen précise les conditions dans lesquelles un traitement de données à caractère personnel est licite. Par exemple, tel est le cas lorsque la personne qui est concernée a donné son consentement, mais aussi lorsque cela est nécessaire pour la sauvegarde des intérêts vitaux d’une personne ou encore si cela est essentiel pour exécuter une mission d’intérêt public dont est investi le responsable du traitement.
Le rôle essentiel du consentement
Le consentement de la personne physique quant au traitement et à la collecte de ses données personnelles occupe une place centrale dans le RGPD.
L’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le consentement doit donc être fait sans contrainte, spécifique à une finalité, éclairé (la personne doit avoir à sa disposition toutes les informations nécessaires) et donné par le biais d’un acte positif clair ou une déclaration.
De surcroît, le considérant n°32 du RGPD donne des exemples d’un acte positif clair. Il peut s’agir d’une déclaration écrite, une déclaration orale ou encore en cochant une case sur un site internet. Ainsi, le silence de la personne physique, un consentement influencé/contraint ou encore des cases cochées par défaut ou en raison d’une inactivité ne peuvent être considérés comme un consentement. Par ailleurs, il faut que la personne physique puisse donner son consentement de manière simple.
Dans l’hypothèse dans laquelle le traitement de données à caractère personnel vise plusieurs finalités, le responsable du traitement doit s’assurer que la personne physique a donné son consentement pour chacune des finalités.
L’article 7 du règlement indique que la personne qui a donné son consentement pour le traitement de ses données personnelles, dispose du droit de le retirer et ce, à tout moment. Par conséquent, la personne concernée doit disposer d’un moyen simple pour retirer son consentement.
Par ailleurs, le responsable du traitement doit impérativement pouvoir apporter la preuve que la personne concernée a donné son consentement par un moyen simple et légal. En effet, le responsable doit pouvoir démontrer qu’il a respecté les différentes règles énoncées par le RGPD, pour recueillir le consentement d’une personne physique.
De plus, l’article 8 du RGPD met en place des dispositions spécifiques concernant le consentement des mineurs, afin de leur assurer une protection supplémentaire. En matière de données personnelles relatives à une offre directe de services de la société de l’information, il est possible de recueillir le consentement d’un enfant âgé d’au moins 16 ans, sous réserve que ledit consentement soit libre, claire, spécifique, éclairé et univoque. En-dessous de 16 ans, le consentement doit être accordé par le titulaire de la responsabilité parentale. Aussi, le RGPD permet aux États-membres de prévoir un âge inférieur à 16 ans, s’ils le souhaitent. Cependant, ils ne peuvent prévoir un âge inférieur à 13 ans.
L’obligation de se mettre en conformité au RGPD
Comme indiqué précédemment, toute personne morale ou physique qui collecte et/ou traite de données à caractère personnel, doit se conformer au RGPD.
De même, l’article 37 du RGPD liste les différentes hypothèses dans lesquelles le responsable d’un traitement ou un sous-traitant doit obligatoirement désigner un « Data Protection Officer ». Il s’agit d’un nouvel acteur : le délégué à la protection des données (aussi appelé DPO). Celui-ci analyse et traite toutes les problématiques concernant la protection des données à caractère personnel dans l’entreprise qui l’a désigné. L’article 39 du règlement européen détaille les missions du DPO. A titre d’exemple, il doit conseiller l’entreprise sur ses obligations en matière de protection des données personnelles. Il doit aussi vérifier que ladite entreprise est en conformité avec le RGPD. Le DPO peut ou non être un salarié de l’entreprise. Il faut simplement que cette dernière s’assure que le DPO est bien indépendant pour exercer ses missions.
Le DPO et le RSSI : Avant la création du DPO, il existait déjà le RSSI, le Responsable de la Sécurité du Système d’Information. Le RSSI est celui qui est en charge des questions de sécurité du système d’information. A titre informatif, un système d’information correspond aux ressources véhiculant, collectant et traitant les informations que possède une entreprise. Le RSSI doit donc veiller à ce que le système d’information soit protégé et ne soit pas utilisé à mauvais escient. De ce fait, le DPO et le RSSI n’ont pas exactement les mêmes missions mais doivent protéger les données à caractère personnel que détient une entreprise. Ces deux acteurs doivent donc impérativement s’accorder. Il n’est pas interdit de nommer le RSSI d’une entreprise comme DPO. Pour autant, afin d’éviter un conflit d’intérêt, il est préférable de séparer les deux fonctions et de s’assurer que le DPO soit bien un acteur indépendant. En effet, la CNIL déconseille de nommer comme DPO, une personne qui est déjà responsable de traitement dans l’entreprise. Par ailleurs, le DPO doit coopérer avec la CNIL (la Commission nationale de l’Informatique et des Libertés) alors que le RSSI doit coopérer avec l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information). |
Le responsable du traitement doit, à tout moment, pouvoir prouver qu’il respecte bien les principes du RGPD (article 5 du règlement par exemple). Les dispositions relatives à la responsabilité du responsable du traitement se trouvent au Chapitre IV du RGPD nommé « Responsable du traitement et sous-traitant ». En effet, comme l’indique l’article 24 du règlement, « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ».
De surcroît, la personne physique concernée dispose de plusieurs voies de recours. Le Chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions » les détaille. Par exemple, elle dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle (article 77 du RGPD) ou encore du droit à un recours juridictionnel contre un responsable du traitement ou un sous-traitant (article 79 du RGPD).
Consolider les droits des personnes physiques
Le RGPD énumère dans son Chapitre III, les droits dont dispose une personne physique qui consent au traitement de ses données à caractère personnel. Le site du service public répertorie également ces différents droits.
- Transparence des informations et des communications(article 12 du RGPD) : toute personne physique doit avoir à sa disposition, toute information et communication relative au traitement de ses données à caractère personnel. Cela doit se faire de manière « concise, transparente, compréhensible, aisément accessible et en des termes clairs et simples ».
- Droit d’accès de la personne concernée (article 15 du RGPD) :une personne doit pouvoir avoir accès aux données personnelles la concernant, lorsqu’elles sont traitées par un responsable du traitement. Elle dispose aussi d’un droit de connaître plusieurs autres informations de la part du responsable du traitement, notamment les finalités du traitement ou bien les destinataires auxquels ses données ont été ou seront communiquées.
- Droit de rectification (article 16 du RGPD) :la personne dont les données à caractère personnel ont été utilisées, peut demander au responsable du traitement, la rectification des données qui sont inexactes ou incomplètes. De même, le responsable du traitement doit agir dans les meilleurs délais.
- Droit à l’effacement ou droit à l’oubli (article 17 du RGPD) :une personne peut demander l’effacement de ses données à caractère personnel. Le responsable du traitement devra alors respecter sa demande et ce, dans les meilleurs délais. L’article 17 du règlement liste les situations dans lesquelles ce droit s’applique.
- Droit à la limitation du traitement (article 18 du RGPD) :ce droit donne la possibilité à la personne ayant donné son consentement pour le traitement de ses données personnelles, de demander la limitation de ce traitement. L’article 18 du règlement énumère les hypothèses dans lesquelles ce droit peut s’appliquer.
- Droit à la portabilité des données (article 20 du RGPD) :toute personne concernée dispose du droit de récupérer ses données personnelles fournies à un responsable du traitement et de les transmettre à un autre responsable. Par suite, le responsable du traitement ayant obtenu en premier les données personnelles, ne peut pas s’y opposer.
- Droit d’opposition (article 21 du RGPD) :toute personne peut s’opposer au traitement de ses données à caractère personnel, et ce, à tout moment. Par application de ce droit, le responsable du traitement ne pourra alors plus traiter les données concernées, « à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice ».
Il faut par ailleurs, rappeler que toute personne ayant consenti à la collecte et au traitement de ses données personnelles, peut à tout moment, retirer son consentement (article 7 du RGPD).
Il existe également un droit au déréférencement consacré d’abord par la Cour de Justice de l’Union européenne puis dans le RGPD. Il s’agit de la possibilité pour une personne concernée de demander la suppression de résultats émis par des moteurs de recherche, qui portent atteinte à sa vie privée. Ce droit porte sur les résultats obtenus suite au renseignement des nom(s) et prénom(s) de la personne sur un moteur de recherche.
La Commission Nationale de l’Informatique et des Libertés (la CNIL)
En vertu de l’article 51 du RGPD, « chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union ». Il s’agit des autorités de contrôle. Le chapitre VI du règlement, intitulé « Autorités de contrôle indépendantes » détaille leurs missions et pouvoirs.
Aujourd’hui, les données d’une personne peuvent être traitées, collectées et échangées au niveau européen voire international. Les autorités de contrôle de chaque État-membre doivent donc coopérer. En effet, cette coopération permettra d’assurer une meilleure protection des données à caractère personnel.
En France, la CNIL est en charge de faire respecter le RGPD. La loi Informatique et Libertés est à l’origine de cette autorité administrative indépendante. La CNIL a pour mission principale de réguler les données personnelles. Ainsi, elle s’assure que les droits et libertés fondamentaux des personnes physiques soient bien respectés. Suite à la mise en vigueur du RGPD, la CNIL veille à ce que les responsables du traitement et les sous-traitants se soient mis en conformité avec ledit règlement. De ce fait, l’autorité procède à des contrôles et peut également imposer des sanctions.
Il existe différentes sanctions, notamment des mesures correctrices (article 58 du RGPD) et des amendes administratives (article 83 du RGPD). De plus, l’article 84 du RGPD donne la possibilité aux États-membres de déterminer d’autres sanctions, en cas de non-respect du règlement. Par conséquent, le droit français a prévu une sanction pénale, à l’article 226-16 du Code pénal.
Pour plus de détails sur la CNIL : https://www.cnil.fr/.
De même, la CNIL propose des recommandations et des conseils sur son site. Par exemple, elle a effectué une liste des bons réflexes à adopter pour les responsables de traitement et les sous-traitants, en matière de données à caractère personnel : https://www.cnil.fr/fr/protection-des-donnees-les-bons-reflexes.
En outre, les articles 77 et 78 du règlement prévoient respectivement le droit d’introduire une réclamation et le droit à un recours juridictionnel à l’encontre d’une autorité de contrôle.