Etudes thématiques
Revue succincte du R.G.P.D.
Par
Sala-Martin Avocat - Octobre 2021
Le règlement (UE) 2016/679 du parlement européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (27 avril 2016) - dénommé « RGPD » (ou « GDPR » en anglais pour « General Data Protection Regulation ») – a abrogé la directive 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et est entré en vigueur le 25 mai 2018. Il est d’application directe, contrairement à une directive qui doit être transposée en droit français.
Le RGPD ne constitue pas simplement une mise à jour de la directive de 1995 rendue nécessaire au regard de l’évolution de la technologie et de l’économie numérique (essor des moteurs de recherche, du smartphone et des transactions sur Internet, arrivée de l’internet des objets (IoT) …) sur les vingt dernières années.
L’utilisation corrélative et fortement accrue des données personnelles (profilage, géolocalisation…) qui sont devenues une incontestable valeur économique et concurrentielle sur le marché mondial, requérait un renforcement de leur protection, tout en conciliant cette protection qui n’est pas absolue avec des impératifs comme la liberté d’expression ou des motifs d’ordre public.
Contrairement à la directive, le règlement ne nécessite pas une loi de transposition dans la législation de chaque pays de l’UE. Il est directement applicable depuis le 25 mai 2018, sachant cependant que divers états membres ont d’ores et déjà pris les dispositions nécessaires pour intégrer ce texte dans leur arsenal législatif. En France, la loi Informatique, fichiers et libertés n°78-17 du 6 janvier 1978 a été révisée pour se conformer au RGPD, via l’ordonnance n°2018-1125 du 12 décembre 2018 entrée en vigueur le 1er juin 2019.
L’objectif premier de ce règlement est d’harmoniser le droit applicable en matière de protection des personnes physiques à l’égard des traitements de données personnelles au sein de l’UE, mais les états membres conserveront une marge de manœuvre pour traiter certaines questions, telles que les conditions de l’illicéité du traitement (article 6) ou le régime applicable aux données sensibles (article 9) ou aux mineurs (article 8, § 1).
Avant d’aborder les nouveautés du RGPD, il convient de rappeler certaines définitions :
Données à caractère personnel désignent « toute information se rapportant à une personne physique identifiée ou identifiable (1) (ci-après dénommé « personne concernée ») ; est réputé être une « personne physique identifiable » personne physique qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel canon, un nom d’identification, des deux délocalisations, un identifiant en ligne, ou à un plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4 du RGPD) ;
Traitement désigne « toutes opérations ensemble d’opérations effectuées ou non à l’aide de procédés automatisés est appliqué à des données ou des ensembles de données à caractère personne, tels que la collecte l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, d’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, les limitations, l’effacement ou la destruction. ».
Le RGPD n’apporte rien de vraiment nouveau en ce qui concerne la collecte de données à caractère personnel, si n’est que
la définition du consentement de la personne concernée est légèrement modifiée comme suit : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte ou par une déclaration par un acte positif clair, que des données à caractère personnel la concernant fassent objet d’un traitement » (article 4 § 11 du RGPD), et que
la preuve du consentement est à la charge responsable du traitement (article 7.1 du RGPD), étant précisé que la personne concernée a la faculté de « retirer son consentement à tout moment » (article 7.3).
A cet égard, il sera observé que le consentement de la personne dont les données sont traitées, n’est cependant pas systématiquement requis, le préambule du RGPD indiquant clairement que « pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi » (considérant n°40).
L’article 6 du RGPD dresse justement la liste des bases légales du traitement – dont le consentement précité - qui sera licite dès lors qu’il est « nécessaire » :
« à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci » ;
« au respect d'une obligation légale à laquelle le responsable du traitement est soumis » ;
« à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique » ;
« à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement » ;
« aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée ».
De même, si les « finalités du traitement auquel sont destinées les données à caractère personnel » doivent être communiquées à la personne concernée « au moment ou les données sont obtenues » (article 13 du RGPD), ces données pourront être traitées à une autre fin, sous réserve qu’elle soit compatible avec la finalité initiale, compatibilité qui sera appréciée par le responsable de traitement en tenant compte, selon l’article 6.4 du RGPD:
a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9 [les données dites « sensibles »],ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.
Les véritables nouveautés du RGPD sont les suivantes :
son champ d’application : ce règlement s’applique à tout responsable de traitement ou sous-traitant établi au sein de l’UE, quelque soit le lieu du traitement, mais également à tout traitement visant des « personnes concernées qui se trouvent sur le territoire de l’union », lié à « l’offre de biens ou de services à ces personnes dans l’Union, qu’un paiement soit exigé ou non desdites personnes » ou « au suivi du comportement de ces personnes… au sein de l’Union » (article 5.2 du RGPD), effectué par un responsable de traitement ou un sous-traitant ayant le siège de son établissement hors de l’UE.
Le principe de « minimisation » des données : si les données à caractère personnel peuvent toujours être collectées au regard de la finalité du traitement considéré, le RGPD requiert désormais que ces données soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles sont traitées » (article 5.1 du RGPD). En pratique, ce principe de minimisation s’inscrit peu ou prou dans le principe existant de proportionnalité.
Le principe de limitation du traitement des données (article 18 du RGPD) : toute personne peut demander la limitation du traitement de certaines données qui seront rendues inaccessibles, dans les cas suivants : l’exactitude des données est contestée par la personne concernée ; le traitement est illicite, mais la personne concernée s’oppose à leur effacement ; les données sont désormais inutiles pour le responsable du traitement, mais la personne concernée les juge nécessaires pour la constatation, l’exercice ou la défense de droits en justice. Les données concernées ne pourront alors être traitées qu’avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice, la protection des droits d’une autre personne physique ou morale ou pour des motifs importants d’intérêt public de l’Union ou d’un Etat membre.
Traitement automatisé et effet juridique : toute personne a « le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé » qui aurait des effets juridiques (article 22.1 du RGPD).
Ceci vise notamment les établissements de crédit et les sociétés d’assurances qui pourraient qui pourraient soumettre leurs clients à tarifications spécifiques en fonction de leur profil.
Il est cependant possible de déroger à cette règle dans l’éventualité d’un consentement de la personne ou si la décision nécessaire à la conclusion l’exécution d’un contrat (article 22.2 du RGPD).
Le principe de responsabilité (ou d’« Accountability ») : désormais, un traitement automatisé n’est plus soumis à autorisation (2) ou déclaration préalable, à charge pour le responsable de traitement ou le sous-traitant d’être en mesure de démontrer à tout moment que les principes de collecte et de traitements ont été respectés (article 5.2 du RGPD).
A ce titre, le responsable du traitement doit mettre en œuvre des « mesures techniques et organisationnelles appropriées » (article 24.1 du RGPD), au stade de la conception de ces mesures (« privacy by design »).
Le responsable de traitement dispose ainsi de la technique de « pseudonymisation » des données qui fait obstacle à l’identification de la personne concernée, sans le recours à des données complémentaires ou une table de correspondance (tandis que « l’anonymisation » est un procédé irréversible qui empêche toute identification future de la personne concernée).
Pour les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes », le responsable de traitement sera tenu de réaliser une « analyse d’impact » sur la protection des données à caractère personnel (article 35.1 du RGPD), à l’exemple des « profilages » (notation, analyse prédictive…), des traitements de données dites « sensibles » ou de données à grande échelle.
Le sous-traitant : le RGPD fait expressément référence au « sous-traitant » qui est lié par contrat avec le responsable de traitement, contrat qui prévoit un certain nombre d’obligations spécifiques (article 28 du RGPD) et la répartition des responsabilités). Le régime de responsabilité sous-traitant est calqué sur celui du responsable de traitement.
Le délégué à la protection des données (« DPD » ou « DPO » pour « Data Protection Officer ») : Cet intervenant devra être nommé principalement (i) dans tout autorité ou organisme publics, responsable d’un traitement automatisé (à l’exception des juridictions), et (ii) au sein de tout responsable du traitement dont « les activités de base […] exigent un suivi régulier systématique d’échelle des personnes concernées » ou « le traitement à grande échelle de données à caractère personnel relatives à des condamnations pénales et aux infractions » (article 37 du RGPD). Le DPD a pour rôle d’informer et de conseiller le responsable de traitement où le sous-traitant, sur le respect de la réglementation et sert d’interface avec l’autorité de contrôle (la CNIL en France). Il peut être nommé en interne ou recruté à l’extérieur, sachant qu’il doit disposer des moyens nécessaires à sa mission et demeurer indépendant (articles 37 et 38 du RGPD).
Le droit à l’effacement des données à caractère personnel ou « droit à l’oubli » (article 17 du RGPD) : en application de ce droit, toute personne peut demander au responsable du traitement d’effacer, les meilleurs délais, certaines données, pour un ensemble défini de motifs :
les données ne sont plus nécessaires à la finalité du traitement ;
la personne a retiré son consentement (et il n’existe pas d’autre fondement juridique à ce traitement) ou s’oppose au traitement, en l’absence de motif impérieux ;
dans ces deux cas, le droit à l’oubli ne pourra s’appliquer si le traitement est nécessaire (a) à l’exercice de la liberté d’expression ou du droit d’information, (b) au respect d’une obligation légale ou d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, (c) pour des motifs d’intérêt public dans le « domaine de la santé publique », (d) à « des fins archivistiques dans l’intérêt public, de recherche scientifique, historique ou à des fins statistiques » (e) à la constatation, l’exercice ou la défense des droits en justice ;
les données ont fait l’objet d’un traitement illicite ;
l’effacement résulte d’une obligation légale ;
les données d’un enfant de moins de 16 ans ont été collectées dans le cadre de l’offre de service de la société de l’information, en l’absence d’une autorisation parentale.
Ce droit à l’effacement ne vise pas expressément le déréférencement(), mais celui-ci reste néanmoins un droit reconnu par la jurisprudence avec cependant certaines limites posées par un arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 24 septembre 2019 (Google LLC contre CNIL - C-507/17), arrêt aux termes duquel la Cour indique que :
« Lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement(3) en application de ces dispositions [articles 12b) et 14a) de la directive 95/46/CE du 24 octobre 1995 et article 17§1 du règlement (UE) 2016/679 (RGPD)] , il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des Etats membres et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des Etats membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande »
A cet égard, la CJUE n’a pas suivi la CNIL qui souhaitait que le déréférencement soit mondial et qu’il s’impose sur toutes les extensions de nom de domaine du moteur de recherche Google et pas uniquement celles correspondant aux Etats membres.
Le Conseil d’Etat dans sa décision du 27 mars 2020 (CE, chambres réunies, n°399922 - Légifrance) a confirmé la position de la CJUE considérant
« qu’il ne résulte, en l’état du droit applicable, d’aucune disposition législative qu’un tel déréférencement pourrait excéder le champ couvert par le droit de l’Union européenne pour s’appliquer hors du territoire des Etats membres de l’Union européenne ».
et que pour exercer une telle faculté, la CNIL aurait dû mettre en balance le « droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant » et « le droit à la liberté de l’information »
Le droit à la portabilité des données à caractère personnel (article 20 du RGPD) : ce nouveau droit est essentiel, parce qu’il permet une personne physique de changer facilement de responsable de traitement, celui-ci étant tenu d’une obligation de transmettre à la personne ou au nouveau responsable de traitement les données à caractère personnel originellement fournies « dans un format structuré, couramment utilisé est lisible par machine ».
Le droit d’accès (article 15 du RGPD) : La personne a le droit d’obtenir du responsable l’accès aux données traitées, ainsi que les informations relatives aux (a) « finalités du traitement », (b) « les catégories données concernées », (c) les « destinataires ou catégories de destinataires » de ces données, (d) la « durée de conservation » ou, si ce n’est pas possible « les critères utilisés pour déterminer cette durée », (e) l’existence des droits de rectification ou d’effacement, de limitation du traitement ou d’opposition à celui-ci, (f) le droit d’introduire une réclamation auprès d’une autorité de contrôle, (g) le droit d’obtenir toue information sur la source des données lorsque celles-ci ne sont pas collectées auprès de la personne concernée et (h) toute information sur « la logique sous-jacente, ainsi que l’importance et les conséquences du traitement », en cas de « prise de décision automatisée, y compris un profilage ». Le responsable doit fournir une copie des données traitées (éventuellement « sous une forme électronique d’usage courant » en cas de demande électronique) et peut exiger « le paiement de frais raisonnables » pour toute copie supplémentaire.
Le droit de rectification (article 16 du RGPD) : La personne peut demander la rectification des informations inexactes ou que des informations existantes soient complétées au moyen d’une déclaration complémentaire.
Le droit d’opposition (article 21 du RGPD) : La personne concernée « a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l'article 6, paragraphe 1, point e) [traitement nécessaire à l’exécution d’une mission de service publique ou relevant de l’exercice de l’autorité publique dont le responsable est investi] ou f) [traitement nécessaire aux fins des intérêts légitimes du responsable ou d’un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des intérêts personnels, notamment lorsque la personne est un enfant] , y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. ». La personne peut plus particulièrement s’opposer « à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection », droit qui dans ce cas précis est inconditionnel, le droit d’opposition devant être « explicitement porté à l'attention de la personne concernée et est présenté clairement et séparément de toute autre information », lors de « la première communication avec la personne concernée ». Elle peut aussi s’opposer au traitement de ses données « à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l'article 89, paragraphe 1 », sauf si ce traitement est nécessaire « à l'exécution d'une mission d'intérêt public ».
Notes de bas de page :
1 - Les cookies (témoin de connexion) et les adresses IP permettent d'identifier une personne (cf. arrêt de la cour de justice de l'union européenne du 19 octobre 2016, affaire 582/14).
2 - La France maintient cependant le principe d'autorisation préalable dans trois cas : le numéro national d'identification (NIR soit le numéro de sécurité sociale), ainsi que les données génétiques et les données biométriques si celles-ci sont utilisées à des fins d'identification de contrôler l'identité.
3 - Le référencement consiste pour une page web à être répertoriée dans les résultats d’un moteur de recherche, via l’utilisation de mots clés. Le déréférencement absolu vise d’empêcher tout accès aux données personnelles visées au moyen de moteurs de recherche et le déréférencement relatif ne supprime pas les données visées, mais celles-ci n’apparaîtront que dans des rangs lointains qui ne seront généralement pas consultés
Toutefois, cette portabilité ne s’applique pas aux traitements relevant de l’exécution de missions d’intérêt public ou relevant de l’exercice de l’autorité publique outre qu’il ne saurait porter « atteinte aux droits et libertés des tiers ».
Sinon, le RGPD reprend les droits dont disposait déjà toute personne physique pour le contrôle de ses données personnelles, en vertu de la loi du 6 janvier 1978 Informatique, Fichiers et Libertés, à savoir :