Le Parlement et le Conseil européens ont adopté le 27 avril 2016 un nouveau régime juridique de protection des données personnelles en la forme du Règlement général sur la protection des données (RGPD). Particulièrement novatrice, la réglementation en question deviendra applicable le 25 mai 2018. Sa transposition en droit français provoque une refonte majeure des garanties liées aux renseignements à caractère individuel que chacun de nous est amené à fournir en vue de l’exécution de tel ou tel service. Cela parait d’autant plus nécessaire et urgent que l’essor de l’économie numérique, via le foisonnement des services proposés sur internet, ne cesse d’augmenter les risques d’atteintes à la vie privée des usagers, c’est-à-dire la nôtre. Mais de quoi parle-t-on au juste ?
Présentation générale
Le nouvel instrument s’applique aux « responsables du traitement » (article 4.7), c’est-à-dire aux personnes qui en définissent les modalités et les finalités, ainsi qu’à leurs « sous-traitants » (article 4.8), dès lors qu’ils sont chacun établis dans l’Union européenne (ci-après UE) et/ou qu’ils traitent chacun des données appartenant à des individus qui se trouvent sur le territoire de l’UE dans le cadre de leurs activités (article 3).
La notion de « traitement » renvoie quant à elle aux opérations touchant à « la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » des indications personnelles (article 4.2).
Les bénéficiaires du RGDP sont toutes les personnes physiques dont l’identité peut être établie de manière directe ou indirecte à partir des informations individuelles qu’elles ont remises à un opérateur de traitement (responsable ou sous-traitant). Des renseignements tels qu’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne […] ou [des] éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » figurent parmi les éléments couverts (article 4.1).
Le droit européen entend améliorer la défense des « données à caractère personnel » par deux approches complémentaires :
l’abandon du système formel de la déclaration préalable ;
et la création d’un dispositif matériel de suivi continu.
Inspirée du droit anglo-saxon, la réforme mise sur la « responsabilisation » permanente des opérateurs plutôt que sur la réitération d’engagements ponctuels à même de s’affaiblir avec le temps. L’idée de base consiste à obliger les personnes responsables d’établir des mécanismes permanents de garantie, lesquels doivent être non seulement effectifs mais efficaces dans la durée. La conception par défaut (article 25) des méthodes de protection attachées aux opérations de traitement répond aux principes dits de « privacy by design » ou de « privacy by default » formulés au milieu des années 1990 par une chercheuse canadienne dans le but de mieux prévenir les atteintes à la vie privée.
Droits des personnes concernées
Le consentement des individus constitue la pierre angulaire du dispositif dans la mesure où l’essentiel de la protection juridique dépend de près ou de loin des modalités particulières de son octroi. Dès lors, il n’est pas étonnant que le RGDP oblige les personnes responsables à garantir (article 7) que la volonté des personnes concernées soit manifestée d’une façon « libre, spécifique, éclairée et univoque » au moyen d’une déclaration ou d’un acte positif clairement déterminé (articles 4.11).
Quant aux éléments destinés à éclairer le fait d’accepter de remettre à autrui des renseignements à caractère personnel, le règlement européen impose à la personne responsable d’informer la personne visée sur un certain nombre de points qui comprennent notamment :
« l’identité et les coordonnées du responsable du traitement » ;
« la durée de conservation des données » ;
« les finalités du traitement » ;
« les destinataires ou les catégories de destinataires des données » ;
ainsi que l’ensemble des droits individuels attachés à la protection et leurs conditions d’exercice pendant toute la durée du traitement (article 13).
Les garanties individuelles offertes par le RGPD consistent, pour une majeure partie, en six droits spécifiques :
le « droit d’accès » aux données et à l’informations sur leur traitement (article 15);
le « droit à l’effacement » des données ou « droit à l’oubli » en des cas précis (article 17) ;
le « droit à la limitation » du traitement (article 18) ;
le « droit d’opposition » au traitement (article 21);
le « droit à la portabilité » des données pour les récupérer ou les transmettre (article 20);
et le « droit de rectification » des données (article 16).
Les responsables et sous-traitants doivent répondre aux demandes qui leur sont adressées dans l’exercice desdits droits individuels conformément à un délai de un mois à compter de leur réception, délai qui pourra au besoin être prolongé de deux mois supplémentaires « compte tenu de la complexité et du nombre des demandes » (article 12.3).
Contrôles, sanctions et voies de recours
En France, le contrôle de la mise en œuvre du RGPD est effectué par la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL). Pour l’exercice de ses missions d’intérêt général, la CNIL dispose de pouvoirs spéciaux dérivés de la puissance publique. En qualité d’Autorité administrative indépendante, elle peut :
« ordonner au responsable du traitement et au sous-traitant […] de lui communiquer toute information dont elle a besoin » ;
« mener des enquêtes sous la forme d’audits » ;
« notifier […] une violation » du règlement ;
« obtenir […] l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires » ;
ou encore « obtenir l’accès à tous les locaux […], notamment à toute installation et à tout moyen de traitement » (article 58.1).
Les manquements importants au règlement donnent lieu au paiement d’amendes administratives, dont le plafond s’élève :
à 20 millions d’euros ou, « dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les violations les plus graves, celles qui affectent les principes fondamentaux du traitement ou les droits individuels des personnes identifiées ;
ou à 10 millions d’euros ou, « jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les infractions liées à des obligations particulières des responsables et de leurs sous-traitants.
Outre son plafonnement, l’évaluation de l’amende doit respecter une liste étendue de onze critères, le principal étant « la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi » (article 83.2.a).
Concernant les atteintes moins importantes à la protection des données personnelles, celles qui ne donnent pas lieu à des amendes administratives, le RGPD laisse aux autorités nationales de contrôle la liberté de recourir à d’autres sanctions, pour autant qu’elles demeurent « effectives, proportionnées et dissuasives » (article 84). La CNIL est habilitée dans ce cadre à délivrer des avertissements, à ordonner des injonctions de cesser le traitement illicite ou à infliger des sanctions pécuniaires dans la limite de 150.000 euros, une somme portée à 300.000 euros en cas de récidive.
Les manquements au RGPD ouvrent trois voies de recours différentes. La première voie s’adresse aux personnes victimes et consiste à introduire une réclamation auprès de l’autorité de contrôle du lieu de leur résidence habituelle, du lieu de leur travail ou du lieu de la violation alléguée (article 77). La deuxième voie s’adresse aux personnes concernées par les décisions juridiquement contraignantes des autorités de contrôle et consiste à introduire des recours juridictionnels contre celles-ci (article 78). En France, les responsables mis en cause par la CNIL ont un délai de deux mois pour saisir les juges administratifs du Conseil d’Etat de leur recours en annulation, en réformation ou en remplacement. La troisième voie s’adresse enfin aux personnes victimes et consiste à introduire un recours juridictionnel contre un responsable du traitement ou un sous-traitant (article 79). Le tribunal compétent sera soit celui du lieu de l’établissement du responsable ou du sous-traitant, soit celui de la résidence habituelle de la personne victime.
Le principe réglementaire de la « responsabilité conjointe » permet à la personne victime d’obtenir réparation de la totalité de son préjudice auprès de l’un des responsables, lorsque ces derniers ont déterminé à plusieurs « les finalités et les moyens du traitement » illicite (article 26.1).
Modalités du traitement
Le règlement organise la prévention des atteintes aux données personnelles via trois dispositifs novateurs qu’il importe de mentionner brièvement.
Les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques » eu égard à leur nature, à leur portée, à leur contexte et à leurs finalités, doivent faire l’objet d’une « analyse d’impact relative à la protection des données » (article 35). Préalable à des traitements sensibles, l’étude en question porte sur des éléments précis visant à détailler les opérations envisagées et leurs finalités, à mettre en évidence leur nécessité et leur proportionnalité, à mesurer les risques qu’elles font peser sur les droits individuels des personnes visées et à exposer les réponses apportées à ces risques.
Lorsque le traitement est effectué par un organisme public, lorsqu’il exige « un suivi régulier et systématique à grand échelle des personnes concernées » ou lorsqu’il porte « à grande échelle » sur des catégories très sensibles de données (casier judiciaire, fiches de santé…), le règlement impose la désignation d’un délégué à la protection des données. Indépendante, cette personne est chargée de veiller en permanence à la conformité avec le RGPD des actions entreprises sous l’autorité du responsable du traitement ou d’un sous-traitant (article 37).
Pour finir, tous les traitements possibles et imaginables, qu’ils portent ou non sur des données confidentielles, doivent être répertoriés d’une certaine façon et actualisés dans un « registre des activités de traitement » propre à démontrer en continu le respect des obligations imposées par le RGPD (article 30).