Règlement général sur la protection des données : de quoi s’agit-il ?

Le RGPD est directement applicable au 25 mai 2018 dans tous les pays de l’Union européenne (UE). Ces derniers disposent toutefois de marges de manœuvre sur plus d’une cinquantaine de points (majorité numérique, etc.).

Le RGPD remplace une directive du 24 octobre 1995, qui était jusqu'alors le socle européen en matière de protection et de circulation des données personnelles. La directive de 1995 a permis une harmonisation des législations des pays de l’UE sur le sujet mais cette harmonisation était imparfaite et partielle et créait une "insécurité juridique".

Le règlement d’avril 2016 entend donner une vision commune et homogène de la protection des données personnelles dans l’UE. Il renforce le droit des individus sur leurs données. Dans son premier considérant, celui-ci rappelle d’ailleurs que la protection des données personnelles est un droit fondamental. Ce droit est consacré à la fois par l'article 8 de la Charte des droits fondamentaux de l’UE et par l’article 16 du Traité sur le fonctionnement de l’UE (TFUE) qui disposent que "toute personne a droit à la protection des données à caractère personnel la concernant". Ce droit n’est cependant pas absolu et doit être concilié avec d’autres droits, comme la liberté d’entreprise.

Le règlement s’applique à tous les traitements de données à caractère personnel, sauf exceptions (par exemple les fichiers de sécurité qui restent régis par les États membres ou encore les traitements en matière pénale qui relèvent d’une directive également du 27 avril 2016).

Il concerne les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication, etc.) établis dans l’UE et quel que soit le lieu de traitement des données. Il s'étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler (profilage notamment pour prédire leurs préférences ou comportements, etc.). L’enjeu est de rehausser les standards de protection au-delà des frontières européennes.

En pratique, le règlement s’applique donc à chaque fois qu’un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés (comme les appareils domotiques, les objets mesurant l’activité physique, etc.).

Le RGPD reprend de nombreux grands principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL

Les données personnelles doivent être "traitées de manière licite, loyale et transparente" et "collectées pour des finalités déterminées, explicites et légitimes". Elles doivent être "adéquates, pertinentes et limitées" aux finalités du traitement, être "exactes et, si nécessaire, tenues à jour". Elles doivent être conservées de façon réduite dans le temps et dans des conditions de "sécurité appropriée".

Comme précédemment, les personnes disposent du droit d’accéder à leurs données ou de demander à les rectifier ou de s’y opposer. Elles ont aussi un droit à l’oubli c’est-à-dire un droit à l’effacement de leurs données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms). Ces droits sont complétés et consacrés.

Le RGPD renforce les droits des personnes

Il élargit les informations qui doivent être fournies par les responsables de traitement et leur impose de mettre à disposition des personnes concernées une information claire, simple et facilement accessible. Les personnes doivent, sauf exceptions, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon "éclairée et univoque" (interdiction notamment des cases pré-cochées).

Le consentement des enfants est pour la première fois encadré. Le RGDP fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles pour utiliser un service sur internet, typiquement les réseaux sociaux. On parle de majorité numérique. En deçà de 16 ans, l’autorisation des parents est nécessaire. Les États membres peuvent toutefois abaisser ce seuil jusqu'à 13 ans (la France l’a fixé à 15 ans).

En outre, la liste de catégories spéciales de données personnelles dites sensibles et qui bénéficient d’une protection particulière est complétée. Il s’agit désormais des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques ou biométriques, à la santé, à la vie sexuelle ou à l’orientation sexuelle des personnes. Le traitement de ces données est interdit, sauf dans des cas limitatifs et sous conditions. Les États membres peuvent prévoir des conditions supplémentaires, y compris des limitations, pour les données génétiques, biométriques ou de santé.

Le RGPD accorde également une plus grande protection face au profilage. Il maintient le droit pour toute personne de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé, y compris le profilage (par exemple recrutement en ligne sans aucune intervention humaine). À titre exceptionnel, les décisions individuelles automatisées sont toutefois autorisées mais les personnes disposent de garanties supplémentaires.

Le RGPD crée de nouveaux droits 

• Droit à la portabilité de ses données : toute personne doit pouvoir récupérer les données qu’elle a fournies à une plateforme et les transférer gratuitement à une autre (réseau social, etc.) ;
• Droit à notification en cas de piratage de ses données personnelles : la personne concernée doit être rapidement avertie par le responsable du traitement, sauf dans certaines situations (par exemple données déjà chiffrées) ;
• Action de groupe : toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour introduire une réclamation ou un recours et obtenir réparation en cas de violation de ses données ;
• Droit à réparation du dommage matériel ou moral : toute personne qui a subi un tel dommage du fait de la violation du RGPD peut obtenir du responsable du traitement ou du sous-traitant la réparation de son préjudice.

Le RGPD modifie les obligations qui s’imposent aux acteurs traitant des données personnelles. Les formalités préalables auprès des autorités de protection des données auxquelles étaient soumis ces acteurs sont remplacées par des mécanismes de conformité et de responsabilité.

La première obligation pesant sur les responsables de traitement est de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Cette protection doit se faire dès la conception du produit ou du service (principe de minimisation des données) et par défaut. Cette obligation s’applique également aux sous-traitants qui doivent présenter des garanties suffisantes en vue d’assurer la protection des données personnelles.

Les responsables de traitement et leurs sous-traitants doivent garantir un niveau de sécurité et de confidentialité approprié et pouvoir démontrer à tout moment que le traitement est effectué conformément au règlement européen.

Hormis les cas où le droit des États membres peut maintenir des autorisations pour certaines catégories de données ou de traitements (par exemple en matière de santé), la plupart des obligations déclaratives et des autorisations préalables sont supprimées.

Pour les responsables de traitement présentant un risque élevé pour les droits et libertés des personnes, elles sont remplacées par l’obligation de mener une étude d’impact sur la vie privée (EIVP ou PIA). Concrètement sont visés les traitements de données sensibles (ceux touchant aux opinions politiques, religieuses, aux données génétiques ou biométriques, etc.) et les traitements reposant sur l’évaluation des personnes, notamment sur le profilage. En cas de risque élevé, le responsable du traitement doit consulter son autorité de protection, qui peut s’opposer au traitement.

L’allègement des formalités des acteurs traitant des données se traduit notamment par :

• la désignation d’un délégué à la protection des données (obligatoire pour les autorités et organismes publics ainsi que pour les responsables et sous-traitants qui suivent à grande échelle et de façon systématique des personnes ou traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions) ;
• l’obligation de tenir une documentation, en particulier un registre des activités des traitements pour toutes les entreprises de plus de 250 salariés et, dans des cas particuliers, pour les plus petites structures ;
• la participation à des mécanismes de certification des traitements ;
• l’adhésion à des codes de bonne conduite élaborés par des associations ou organismes représentant des catégories de responsables de traitement ou sous-traitants (ces codes sont soumis à l’avis des autorités de protection qui les publient) ;
• l’obligation de notifier dans les 72 heures à leur autorité de protection les fuites de données personnelles.

Des outils supplémentaires sont prévus pour encadrer les transferts de données vers des pays hors UE. Ces derniers sont par défaut interdits, sauf s’ils respectent plusieurs conditions. C’est le cas par exemple si la Commission européenne décide que le pays tiers "assure un niveau de protection adéquat". C’est sur ce mécanisme que repose le "Privacy shield", l’accord conclu en 2016 entre l’UE et les États-Unis sur le transfert transatlantique de données.

Le RGPD redéfinit le rôle des autorités de protection des données (APD) des pays membres. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui assure cette mission.

Ces dernières passent d’une activité de contrôle a priori à une activité de contrôle a posteriori (notamment sur les études d’impact de la vie privée et les registres des activités de traitements). Elles ont un nouveau rôle d’accompagnement des entreprises, notamment des petites et moyennes entreprises, des organismes publics ainsi que des délégués à la protection des données (DPD).

Le RGPD instaure, par ailleurs, un mécanisme de guichet unique afin d’améliorer la coopération entre les autorités de protection des données en cas de traitements transnationaux. Dans ces cas, l’entreprise ne rend compte qu’à une seule autorité de protection, celle du pays où se situe son établissement principal. Cette autorité, désignée comme autorité "chef de file", coopère avec les autres autorités de protection concernées (assistance mutuelle, enquêtes communes, etc.) pour s’assurer de la conformité des traitements mis en œuvre. Les décisions sont adoptées conjointement par l’ensemble de ces autorités, notamment en termes de sanctions. En cas de désaccord entre l’autorité chef de file et les autres autorités de protection quant aux mesures proposées, l’affaire est portée devant le Comité européen de la protection des données (CEPD). Ce dernier, qui remplace le G29, est chargé de veiller à l’application uniforme du RGPD dans l’UE.

Enfin, le RGPD permet aux autorités de protection de prononcer des amendes administratives plus importantes. En cas de violation du règlement, ces amendes peuvent désormais atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les États membres peuvent prévoir ou non dans leur législation de telles amendes pour leurs autorités et organismes publics.