« La société de l’information, dans sa globalité et son approche planétaire des phénomènes, porte en effet les mêmes dangers que les autres activités humaines, dont toutefois elle peut décupler les effets »
Elisabeth Guigou, Colloque « internet et le droit » septembre 2000
Aujourd’hui plus que jamais, nous vivons dans un monde connecté. Effectuer des achats ou ventes en ligne, interagir sur les réseaux sociaux, se divertir ou s’instruire via des applications… le digital est partout présent. Ce type d’action en ligne nécessite bien souvent de créer un compte personnel regroupant un certain nombre d’informations que nous sommes contraints de partager. De ce fait, une quantité infinie de données sont transmises chaque jour sur internet. Ces informations, à caractère sensible ou personnel, méritentmanifestement d’être protégées.
Le 27 avril 2016 (PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016) fut marqué par l’adoption du Règlement européen de protection des données, autrement connu par le sigle« RGPD ».
Ce règlement est applicable en France depuis le 25 mai 2018et contient un ensemble de règles encadrant le traitement des données personnelles.
En France, le sujet de la protection des données est intervenu avant le texte de 2016, avec l’adoption de la Loi « informatique et liberté » de 1978. Dans la même mesure, la CNIL, autorité administrative indépendante, a été créée avecpour but d’encadrer et contrôler l’application de cette loi.
Eu égard à l’importance grandissante de la révolution digitale, la création d’un cadre juridique pour traiter les données personnelles est devenu nécessaire.
Le règlement européen de 2016 fut adopté à la suite d’un longtravail de 4 années par les instances européennes. L’objectif premier étant de consolider la protection des données personnelles, en créant une uniformité législative pour tous les Etats membres de l’Union européenne. C’est ainsi qu’est né la protection des données personnelles des personnes.
Pour comprendre au mieux ce règlement, il convient de définirdeux notions fondamentales : les « données personnelles » et le « traitement des données personnelles ». I. Définition et champ d’application
Les données personnelles se définissent comme « toutesinformations qui se rapportent à une personne physique identifiée ou identifiable ».
Ces informations peuvent être directes (nom et prénom) ou indirectes (numéro de téléphone, numéro de sécurité sociale, identifiant). Pour identifier une personne, il existe plusieurs procédés : soit par une seule donnée, soit par un croisement des données. A titre d’exemple, il pourra être pris en compte l’adresse, l’âge et le secteur du travail exercé.
Il existe des données personnelles très sensibles qui méritent davantage de protection comme la santé mentale, physique ou encore les données génétiques.
Le traitement des données personnelles se définit comme étant« une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé comme par exemple la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission diffusion ou toute autre forme de mise à disposition, de rapprochement ».
Il faut impérativement souligner que le traitement des données doit avoir un but spécifique. Il peut s’agir de la gestion d’uneclientèle, des membres d’un réseau ou de la conclusion d’un contrat. A contrario, le traitement des données opéré sans un but spécifique sera contraire à la loi. • Le champ matériel (article 2, paragraphe 1 du RGPD)
La protection des données personnelles s’applique seulement aux personnes physiques. Ce qui signifie que les personnes morales sont exclues du champ d’application de la protection.
Quant aux personnes concernées par les obligations, la RGPD s’applique à tout organisme qu’il soit privé (entreprises, associations etc…) ou public, dès lors qu’il traite des données personnelles directement ou indirectement (par exemple, les sous-traitants traitant des données personnelles pour le compte d’un tiers). • Le champ territorial (article 3, paragraphe 1 du RGPD)
L’organisme qui traite des données personnelles est soumis à la RGPD dès lors qu’il est établi dans un Etat membre de l’Union européenne ou que l’activité de l’organisme cible les résidents d’un des Etats membres de l’Union européenne. II. Les droits et obligations établis par la RGPD • Les droits octroyés aux personnes concernées par le traitement des données
Le règlement établit une liste des droits dont dispose unepersonne faisant l’objet d’un traitement de ses données personnelles : – Information et communication- Droits à l’information, d’accès, de copie et d’opposition de la personne concernée- Droit à l’effacement- Droit à la portabilité des données- Droit de ne pas faire l’objet d’un traitement automatisé
Néanmoins, l’article 23 dudit règlement énonce une liste des cas dans lesquels les droits de la personne peuvent être réduits, notamment dans le cas de la sécurité nationale, de la défense nationale ou encore de la protection de l’indépendance, de la justice et des procédures judiciaires. Le règlement permet la limitation des droits sous condition néanmoins du respect du principe de nécessité et de proportionnalité. • Les obligations incombant aux organismes traitant directement ou indirectement les données personnelles
Le RGPD établi « le principe de responsabilité du responsable du traitement ».
Ainsi le responsable doit traiter les données conformément au règlement. Par conséquent, c’est à lui de démontrer que les techniques et procédés utilisés ont été effectué conformément au règlement. En cas de pluralité de responsables de traitement des données personnelles, ces derniers seront conjointement responsables (article 26 du RGPD).
Dans le cas où le responsable de traitement de données fait appel à des sous-traitants, il lui incombe l’obligation de s’assurer que le sous-traitant a la capacité de s’assurer de la conformité de traitement de données avec le règlement. En outre, un contrat ou un acte formel doit être conclu entre le responsable et le sous-traitant (la durée et l’objectif doiventêtre inscrits dans l’acte). Si un dommage a été causé par le non-respect du RGPD, le responsable de traitement ayantparticipé au traitement devra voir sa responsabilité engagée.
Lorsque le traitement des données est réalisé pour le compte d’un tiers, le sous-traitant n’a pas le droit d’engager un autre sous-traitant pour le traitement des données. Le sous-traitantest tenu de respecter les obligations établies par le RGPD concernant les sous-traitants. Dans le cas contraire, il pourravoir sa responsabilité engagée. Ainsi, sa responsabilité peut aussi être engagée lorsque le dommage résulte du non-respectdes directives données par le responsable de traitement.
En outre, il existe d’autres obligations concernant les organismes de traitement de données : – Protection des données dès la conception « privacy by design » et par défaut « privacy by default » ;– Analyse d’impact ;- Communication à la personne concernée d’une violation de données à caractère personnel ;- Notification à l’autorité nationale de contrôle des violations de données personnelles ;- Obligations de sécurité ;- Registre des activités de traitement.III. Les sanctions applicables en cas de de violation duRGPD
C’est la CNIL, autorité administrative indépendante, qui contrôle la conformité et le respect des règles établies par le RGPD. Elle dispose d’un pouvoir de sanction et ainsi elle peut faire un rappel à l’ordre, ordonner de satisfaire aux demandes d’exercice des droits des personnes ou enjoindre de mettre en conformité le traitement de données, sous astreinte. De même la CNIL peut suspendre les flux de données.
La CNIL peut également prononcer des amendes administratives qui peuvent s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
Litos VAZ
Sources :
« Droit européen des données personnelles : le règlement général de protection des données personnelles (RGPD) » par Céline Castets-Renard.