RGPD - La protection des données personnelles renforcée !

Ecrit par : Marine GIRAUDON, Juriste
Paru le 4 sept. 2020


Que ce soit pour effectuer des achats, consulter ses comptes en banque ou lire un article de presse, internet est, sans aucun doute, devenu le moyen privilégié pour y parvenir. Pour l’utilisation de ces services, il est désormais systématiquement demandé aux internautes de transmettre des informations relatives à leurs données personnelles. Mais sont-elles réellement protégées?

Afin d’éviter les risques d’utilisation à des fins illicites de ces données, un cadre juridique précis a été élaboré essentiellement à destination des responsables des traitements de fichiers.

La France s’est d’abord inscrite parmi les pays précurseurs en adoptant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel. Celle-ci conditionne l'utilisation des nouvelles technologies au respect des droits et libertés fondamentaux des individus (article 1er de la loi du 6 janvier 1978.)

En 2012, la Commission propose une refonte du cadre européen applicable pour faire face aux nouvelles pratiques d’exploitation des données personnelles. Cette démarche aboutit à l’adoption du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et la libre circulation de ces données, dit “Règlement général sur la protection des données” (RGPD), dont l’entrée en application a été fixée au 25 mai 2018.

L’objectif est de parvenir à un équilibre entre, d’une part, la protection des droits et libertés fondamentaux, telle que la protection des données à caractère personnel (article 16 du traité sur le fonctionnement de l’Union européenne; article 8 de la Charte des droits fondamentaux) et, d’autre part, la libre circulation des données.

L’intervention de ce texte permet d’unifier les règles dans l’ensemble du territoire européen, tout en laissant une marge de manœuvre aux états membres. En France, une loi d’adaptation a été adoptée le 20 juin 2018 (loi n°2018-493), accompagnée de deux décrets d’applications (D. n°2018-687, 1er août 2018 et D. n°2019-536, 29 mai 2019) ainsi qu’une ordonnance du 12 décembre 2018 (Ord. n°2018-1125).

Il est nécessaire de revenir sur les conditions du RGPD (I); ses principes (II); les droits conférés aux internautes (III) et le contrôle élaboré par la CNIL (IV).

Les conditions matérielles de la protection des données personnelles

Le RGPD s’applique à toute entité, publique ou privée, qui traite des données à caractère personnel. De ce fait, l’application du règlement suppose l’existence d’une donnée personnelle (1) et d’un traitement de celle-ci par le responsable des traitements (2).

La notion de données personnelles

La notion de données personnelles doit être comprise très largement. Celle-ci est définie comme “toute information se rapportant à une personne physique identifiée ou identifiable” (article 4 du RGPD.)

Il ressort de cette définition, plusieurs conditions. D'abord, il faut une information, c’est-à-dire une chose incorporelle, formalisée et porteuse d’un sens. Il peut s’agir de données d’identités, de données biométriques, de données de géolocalisation, d’un numéro d’identification etc. Cette dernière peut se trouver sur tout type de support tel qu’une clé USB, un disque dur, un espace de stockage ou un film.

Ensuite, l’information doit concerner une personne physique, c’est-à-dire une personne vivante et viable. Par exception, il peut s’agir d’une personne décédée si celle-ci a défini, de son vivant, des directives relatives à la conservation, à l’effacement ou à la communication des données personnelles la concernant. De même, les héritiers peuvent faire procéder à la clôture des comptes d’utilisateurs du défunt ou s’opposer à la poursuite des traitements des données personnelles le concernant.

En outre, la personne doit pouvoir être identifiée ou identifiable. Est identifiée la personne dont on connaît l’identité. Est identifiable celle que l’on peut individualiser, quand bien même son nom resterait inconnu (Exemples: un identifiant de compte ou un numéro de téléphone.) Sont donc exclues de cette qualification les données anonymes ou anonymisées.

L’existence d’un traitement

Le traitement se définit comme “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel(article 4 du RGPD.)

Ainsi, un traitement sous format papier fait partie du champ d’application de la réglementation.

Selon le texte, il peut s’agir de la collecte, l’enregistrement, l’organisation, la structuration, la conversation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données.

A titre d’exemple, on retrouve l’opération consistant à faire référence sur une page internet à diverses personnes et à les identifier notamment par leur nom.

Les conditions territoriales de la protection des données personnelles

La mise en place du RGPD a été l’occasion d'instaurer de nouveaux critères d’application territoriale de la règle protectrice.

Le règlement s’applique :

  • Au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union(article 3 du RGPD.)

  • Au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union. Deux cas peuvent être recensés : lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

  • Au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Dès lors, le règlement bénéficie d’une application extraterritoriale dans la mesure où il est susceptible de s’appliquer en dehors des frontières de l’Union européenne.

Autrement dit, des entreprises qui n’étaient initialement pas concernées par le droit européen des données personnelles y sont soumises depuis la mise en place du RGPD. Ces dernières peuvent donc se conformer au RGPD pour une partie seulement de ces traitements de données.

À ce titre, la loi n°2018-493 du 20 juin 2018 a introduit dans la loi Informatique et libertés, un article 5-1 (désormais article 3, II) afin de préciser que les règles nationales prises sur le fondement du RGPD s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable du traitement n’est pas établi en France.

Les principes du RGPD

Lors de l’élaboration du règlement, divers grands principes ont été pensés, dont le respect est obligatoire par les responsables des traitements des données personnelles ou des sous-traitants.

Le principe de finalité

Le principe de finalité est essentiel dans le dispositif de traitement et de protection des données personnelles. Celui-ci signifie que les données personnelles sont collectées “pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités” (article 4, 2° de la loi n°78-17 du 6 janvier 1978, article 5 du RGPD.)

Le G29, désormais le contrôleur européen de la protection des données (CEPD), est venu préciser le texte en définissant la finalité comme “la raison spécifique pour laquelle les données sont traitées” (Avis du G29, n°06/2014 (WP217), 9 avril 2014, p26).

Par exemple, une finalité envisageable peut être la gestion du personnel, de la clientèle ou des prospects.

Le principe de minimisation de la collecte

Le responsable de traitement est tenu de collecter des données “adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire(article 4, 3° de la loi n°78-17, 6 janvier 1978, article 5 du RGPD.)

Autrement dit, le responsable du traitement ne peut collecter que les données qui sont nécessaires pour atteindre la finalité attendue. Ce principe vient donc réduire considérablement la latitude du responsable dans le recueil des données personnelles.

Le principe de conservation des données limitée dans le temps

Les données sont “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.”

Par exception, ces mêmes données peuvent être conservées au-delà de cette durée dans la mesure où elles sont traitées “exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques”(article 4, 5° de la loi n°78-17, 6 janvier 1978; article 5 du RGPD.)

À titre d’exemple, s’agissant de la prospection commerciale, la CNIL préconise la suppression des coordonnées d’un prospect qui ne répond à aucune sollicitation au bout de trois ans (Délibération CNIL n°2016-264, 21 juillet 2016.)

Le principe de sécurité et de confidentialité des données

Le responsable des traitements doit garantir la sécurité et la confidentialité des informations qu’il détient (article 32 du RGPD).

Il doit veiller à ce que seules les personnes autorisées aient accès aux données qui leur appartiennent. Autrement dit, la protection s’étend aux traitements non autorisés ou illicites, aux pertes ou destructions d’origine accidentelle(article 4, 6° de la loi n°78-17, 6 janvier 1978.)

Le concept de Privacy by Design a pour objectif de garantir la protection de la vie privée par le biais notamment de mesure de purge automatique des données, la mise en place d’une case à cocher permettant à l’internaute de donner son consentement ou d’un mécanisme donnant la possibilité de restreindre le nombre de données collectées au minimum nécessaire pour atteindre la finalité escomptée.

À cet égard, l’article 25 du RGPD impose au responsable du traitement de mettre en œuvre “les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.”

Les droits issus du RGPD

Le RGPD entend renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régularisation de ces dernières.

L’information de la personne concernée

Lorsque des données personnelles relatives à une personne concernée sont collectées, les articles 13 et 14 du RGPD récapitulent les informations dont le responsable du traitement est tenu de fournir à la personne concernée : l’identité et les coordonnées du responsable du traitement, les finalités du traitement, les destinataires des données personnelles, la durée de conservation, le droit de s’opposer au traitement ou de demander l’effacement des données etc.

Le droit d’accès aux données et communication

Aux termes de l’article 15 du RGPD, la personne concernée doit pouvoir accéder facilement à un certain nombre de données relatives au traitement.

Cette dernière doit pouvoir obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont, ou ne sont pas traitées. Dans la première hypothèse, la personne concernée doit pouvoir obtenir l’accès auxdites données ainsi que les informations portant sur les caractéristiques essentielles du traitement.

S’agissant du droit de communication, la personne concernée obtient la faculté d’obtenir une copie des données personnelles qui font l’objet du traitement.

Le droit d’opposition de la personne concernée

La personne concernée peut s’opposer à tout moment, pour des raisons particulières, au traitement de ses données personnelles.

Dans ce cas, le responsable du traitement n’est plus autorisé à traiter ces données, à moins de démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les droits et libertés de la personne concernée (article 21 du RGPD).

Par exemple, dans le cadre d’une prospection, la personne concernée a le droit de s’opposer à tout moment au traitement de ses données personnelles.

Le droit de rectification

Le responsable du traitement est tenu de rectifier, dans un délai raisonnable, les données qui s’avèrent inexactes et de compléter les données partielles.

À la demande de l’intéressé, le responsable du traitement doit pouvoir justifier qu’il a procédé à cette rectification (article 16 du RGPD.)

Le droit à l’effacement (“ Droit à l’oubli”)

La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de ses données personnelles (article 17 du RGPD.)

Cependant, ce droit n’est pas absolu dans la mesure où il ne s’applique que pour certains motifs.

La personne concernée peut se prévaloir d’un droit à l’oubli :

  • Si les données ont fait l’objet d’un **traitement illicite ou ne sont plus nécessaires **au regard des finalités pour lesquelles elles ont été collectées ou traitées;
  • Si elle retire le consentement sur lequel le traitement est fondé et qu’il n’existe pas d’autre fondement juridique au traitement;
  • Si elle s’oppose au traitement et qu’il n’existe pas de motif légitime impérieux pour traiter les données;
  • Si les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou par le droit de l’Etat membre auquel le responsable du traitement est soumis ou si les données ont été collectées auprès des mineurs dans le cadre de l’offre de service de la société de l’information.

En tout état de cause, le droit à l’effacement ne peut jouer si le traitement est nécessaire pour exercer le droit à la liberté d’expression et d’information, pour respecter une obligation légale ou exercer une mission d’intérêt public ou relevant de l’autorité publique.

Le droit à la portabilité des données

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format ouvert et lisible informatiquement.

Ces dernières peuvent ensuite librement transmettre ces données à un autre responsable du traitement, sans que le précédent y fasse obstacle (article 20 du RGPD.)

Le droit de limitation du traitement

La personne concernée peut demander à ce que le traitement de ses données personnelles soit limité dans certains cas limitativement énumérés par l’article 18 du RGPD.

Par exemple, lorsque l’exactitude des données est contestée par la personne concernée, son traitement peut être limité pendant une durée qui permet au responsable du traitement de vérifier l’exactitude de ces données.

Le droit à la notification de la violation des données

L’obligation de notifier une violation des données personnelles à la personne concernée est mise à la charge du responsable du traitement, quel que soit son secteur d'activité (article 34 du RGPD.)

Plus précisément, une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (article 4. 12° du RGPD.)

Il faut que l’incident ait permis à un tiers non autorisé de porter atteinte à la confidentialité, la disponibilité ou l’intégrité des données personnelles.

Dès le constat de cette violation, le responsable du traitement doit immédiatement informer le titulaire des données à caractère personnel.

La compétence de la CNIL en matière de protection des données personnelles

Le pouvoir de contrôle de la CNIL

La loi n°2014-344 du 17 mars 2014 relative à la consommation, dite “loi Hamon” a permis d’élargir les pouvoirs conférés à la CNIL en matière de contrôle de conformité à la loi Informatique et Libertés.

Désormais, la CNIL est autorisée à exercer des investigations en ligne, notamment sur un site internet s’agissant des données accessibles y compris par négligence ou fait d’un tiers.

Plus encore, la loi du 20 juin 2018 permet aux agents de la CNIL d’effectuer des contrôles non seulement dans les locaux à usage professionnel mais aussi dans les parties communes dans lesquelles peuvent se trouver des éléments de stockage de certaines données. Les membres de la CNIL peuvent également se faire communiquer tous les documents nécessaires à l’accomplissement de leur mission, quel que soit le support (article 5 de la loi n°2018-493 du 20 juin 2018.)

Les recours devant la CNIL

Après une première demande restée sans suite faite auprès de l’organisme fautif, la personne concernée, qui considère être victime d’une violation de ses données personnelles, a le droit d’introduire une réclamation, une pétition ou une plainte auprès de la CNIL (article 77 du RGPD.)

Cette dernière informe l’auteur de la réclamation de l’état d’avancement et de l’issue de celle-ci, y compris de la possibilité d’un recours juridictionnel (article 79 du RGPD.) En sus, il est tout à fait possible d’intenter une action de groupe en cas de violation des données personnelles par l’intermédiaire d’une association ou organisation syndicale (article 80 du RGPD. La CNIL doit être tenue informée de ladite procédure.

Lorsque la CNIL estime que la réclamation est fondée, elle demande au Conseil d’Etat d’ordonner la suspension d’un transfert de données. Pour l’année 2018, la CNIL enregistre une hausse de 32,5% de plaintes, par rapport à l’année précédente.

Les sanctions prononcées par la CNIL doivent être effectives, proportionnées et dissuasives (article 83 du RGPD.)

Le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme. Cette dernière varie en fonction de la nature de l’infraction commise, la gravité, la répétition, la durée de la violation, le nombre de personnes concernées, le niveau du dommage, le degré de participation à la violation etc.

Dès lors, la CNIL peut sanctionner à hauteur de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’organisme fautif ou fixer l’amende à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. La plus haute des deux est retenue comme amende maximum pouvant être prononcée.

À titre d’exemple, la CNIL a condamné la société Google LLC à une amende de 50 millions d’euros pour manque de transparence et information satisfaisante (Délibération n°SAN-2019-001 du 21 janvier 2019.)

Plus récemment, la CNIL a condamné la société SPARTOO à une amende de 250 000 euros en raison de manquements concernant les données des clients, prospects et salariés (Délibération n°SAN-2020-003 du 28 juillet 2020.)

En tout état de cause, toute personne ayant subi un dommage matériel ou moral du fait de la violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (article 82 du RGPD.)

La sévérité de ces sanctions dissuade nécessairement les auteurs qui ne seraient pas à jour de la réglementation ! Mais comment s’assurer d’être en conformité avec le RGPD?

Il est fortement conseillé d’établir un registre des traitements des données personnelles afin d’optimiser leur gestion (un registre du responsable des traitements, un registre du sous-traitant, un registre des incidents de sécurité.)

Ainsi, il sera nettement plus facile de vérifier si les données traitées sont nécessaires à l’activité de l’entreprise, que la durée ne dépasse pas la limite nécessaire, qu’aucune donnée sensible n’a été collectée et que seules les personnes habilitées à traiter les informations y ont accès.

De même, il faut veiller à être transparent avec le public, notamment par le biais d’un affichage des mentions légales lors de la collecte des données.

Enfin, il convient de s’assurer régulièrement de la sécurité et de la confidentialité des données personnelles.

L'instauration du RGPD permet donc incontestablement d’accroître la protection des données personnelles des personnes concernées. Ces dernières peuvent être rassurées, surtout à l’heure où l’utilisation de l’informatique est généralisée !

Source: Dalloz- Droit des affaires, Protection des données personnelles, mise à jour en septembre 2020.