LE REGLEMENT DES DONNEES PERSONELLES
L'Union Européenne s'est emparée du droit de la protection des données dès 1995 avec l'adoption d'une célèbre directive 95/46/CE. Celle-ci laissait néanmoins une certaine marge de manoeuvre aux Etats dans son application. Aujourd'hui, un règlement européen GDPR sur les données personnelles vient uniformiser le droit européen sur le sujet.
Le Règlement général sur les données personnelles (GDPR), adopté définitivement par le Parlement européen le 14 avril 2016 et entrant en vigueur à partir du 24 mai 2018, est la nouvelle législation européenne concernant la protection des données personnelles . Il remplace, en l'abrogeant, la directive 95/46/CE qui était jusqu'ici le droit applicable dans cette matière.
Les données correspondent à tout type d'informations relatives à une personne physique ou morale identifiée ou pouvant être identifiée. Elles comprennent donc autant le nom et le prénom d'une personne, que son numéro de compte en banque ou de sécurité sociale, ainsi que ses empreintes digitales, etc …
Ces données nécessitent évidemment une protection particulière et étendue, car elles permettent l'identification et le traçage d'une personne, et sont souvent des informations cruciales pour chaque individu.
Besoin de l'aide d'un avocat pour un problème de contrefaçon ?
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
Le droit français a encadré l'utilisation et l'exploitation des données personnelles très tôt.
En effet, dès 1978, l'Assemblée Nationale adopte la fameuse " Loi relative à l'informatique, aux fichiers et aux libertés ". Celle-ci pose les bases de la protection des données. Notamment, elle crée la Commission Nationale de l'informatique et des libertés (CNIL), qui a un rôle de contrôle du traitement des données notamment par la délivrance d'autorisations d'exploitation de ces données.
Cette loi institue aussi les principes fondamentaux de la protection des données. Ainsi, elle donne à tout individu un droit d'information, qui est le droit de savoir si on est fiché, le droit d'opposition , s'opposer à ce qu'on figure dans un fichier, le droit d'accès, pour vérifier si les informations sont exactes, et enfin le droit de rectification, pouvoir modifier les données qui seraient inexactes.
Cette loi de 1978 est modifiée par décret en 1991, puis par une loi du 6 août 2004 qui transpose la directive européenne 95/46/CE. Ainsi, le droit de la protection des données s'harmonise en Europe, mais reste néanmoins disparate, car les directives fixent seulement des objectifs à atteindre, mais la façon d'atteindre ces objectifs est laissée au choix de chaque État.
Cette évolution se poursuit aujourd'hui par l'adoption du règlement GDPR de 2016 par le parlement européen. Le règlement est un acte législatif européen qui s'applique directement, sans transposition au contraire de la directive. Il permet d'uniformiser le droit dans toute l'Union Européenne.
Ce règlement a été bien accueilli par les organismes français de protection des données, dans la mesure où il élargit la protection des données. Dès lors, il fait évoluer le droit de la protection des données des différents sujets de droit comme les citoyens et les entreprises, mais il étend les pouvoirs des différents organismes de contrôle comme la CNIL.
I. L'impact du GDPR sur les sujets de droit
A. L'impact sur les citoyens
Le règlement GDPR a vocation à s'appliquer tant aux entreprises qu'aux citoyens. Son objectif principal est d'ailleurs de renforcer les droits des citoyens européens en leur donnant un contrôle plus large sur leurs données personnelles. Ce contrôle est pluriel.
Tout d'abord, le GDPR institue un encadrement des données personnelles des enfants de moins de 16 ans. En effet, les enfants de moins de 16 ans devront obtenir l'autorisation de leurs parents afin de pouvoir ouvrir un compte sur les différents réseaux sociaux existants, comme Facebook ou Instagram. Cela permet aux enfants d'attendre d'être mieux conscients de l'importance de leurs données personnelles avant d'en avoir la maitrise.
Sur ce point, le règlement est flexible : les États pourront pousser cette limite d'âge jusqu'à 13 ans, et ne pourrait être supérieure à 16 ans. En effet, certains États membres de l'Union Européenne avaient déjà instauré telle limite d'âge, il s'agit donc de leur laisser la liberté de conserver cette limite.
Aussi, ce règlement vise à renforcer les droits déjà existants du citoyen. Le GDPR impose ainsi un " consentement explicite et positif ". Cela veut dire que pour chaque traitement de données d'un consommateur devra s'accompagner du consentement clair de celui-ci. Le consentement ne saurait donc jamais être tacite en la matière, il ne peut être déduit du comportement du consommateur.
Ce consentement explicite et positif s'accompagne de la consécration d'un droit à l'oubli. Celui-ci permet à un individu de demander le retrait, l'effacement d'une information ou d'une donnée qui porte atteinte à sa vie privée. Le règlement instaure ainsi ce droit, qui ne connait comme seule limite le " motif légitime ". Ce dernier rejoint souvent la définition de l'intérêt général.
Le GDPR oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L'utilisateur pourra donc prendre les mesures nécessaires pour se protéger.
Enfin, il ouvre la voie à la " class-action ", à l'action collective en cas de violations de données personnelles. Comme pour les consommateurs, ce seront des associations qui seront habilitées à mener tels recours.
B. L'impact sur les entreprises et les professionnels
Le règlement européen aura un champ d'application bien plus large qu'avec la directive précédente.
En effet, le droit applicable aujourd'hui ne concerne que les responsables de traitement qui sont établis sur le territoire de l'Union Européenne. Le règlement GDPR élargit son champ d'applications aux sous-traitants qui sont eux aussi sur le territoire de l'Union, mais aussi aux responsables de traitement et aux sous-traitants dont l'activité est dirigée spécifiquement vers les citoyens européens, même s'ils ne sont pas établis en Europe.
Aussi, les responsables de traitement des données se voient responsabilisés par le règlement. S'ils doivent veiller à limiter au maximum la quantité de données traitée dès le départ, ils devront aussi mettre en place des protections conformes et adéquates. La conformité de ces protections doit pouvoir être démontrée à tout moment.
Les responsables de traitement désigneront un " DPO ", pour Délégué à la protection des données (Data Protection Officer) . Son rôle est justement la constante mise à jour de la conformité des protections mises en place.
Comme on l'a vu, le citoyen a un droit à savoir si ses données ont été piratées, violées. Ce droit emporte une obligation pour le responsable de traitement d'informer le citoyen si ses données ont été piratées. Cette notification doit être réalisée dans les 72 heures suivant la violation des données.
Enfin, pour les " données sensibles ", qui représentent les informations concernant l'orientation politique, religieuse, sexuelle, l'origine ethnique etc … les responsables de traitement devront limiter au maximum leur traitement. Pour ce faire, il doit mener avant chaque traitement une étude d'impact qui démontrerait si des données sensibles sont centrales dans le traitement qu'il compte effectuer, pour éviter un effet de " profilage ".
On voit donc que le règlement cherche à véritablement renforcer les droits des citoyens, et à responsabiliser les responsables de traitement en multipliant leurs obligations auprès des utilisateurs. Cette volonté est encore renforcée par une évolution des organismes administratifs observant et contrôlant les relations entre les citoyens et les responsables de traitement.
II. L'impact du GDPR sur les organismes de contrôle
A. Le renouvellement des prérogatives des " CNIL " européennes
La première modification quant aux autorités de protection est géographique.
En effet, si avant le GDPR le citoyen devait saisir l'autorité du lieu d'implantation de l'entreprise qui traite les données, le règlement facilite la tâche des citoyens. Ils pourront dorénavant saisir l'organisme de leur État, quel que soit le lieu d'établissement de l'entreprise de traitement.
Les autorités de protection sont aussi dotées par le règlement d'un pouvoir de sanction administrative des responsables de traitement renouvelé.
Celles-ci pourront prendre des formes diverses. Par exemple, ils peuvent ordonner la rectification, la limitation ou l'effacement des données, limiter temporairement ou définitivement un traitement, ou prononcer un simple avertissement.
Surtout, ils peuvent infliger des amendes administratives. Ce pouvoir est important, car l'amende peut aller de 2 à 4 % du chiffre d'affaires annuel mondial de l'entreprise. Si c'est un autre organisme, l'amende pourra être comprise entre 10 et 20 millions d'euros.
Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d'opérations transnationales, c'est-à-dire qu'il concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une " autorité-chef de fil " qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.
B. La création d'un organisme de contrôle au niveau européen, le CEPD
Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.
Le G29 est l'organe européen indépendant qui s'occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises. Pour 2016, il s'est fixé quatre objectifs principaux, dont l'un est la préparation de la mise en place du CEPD en lui fixant des lignes directrices.
Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s'assurant de l'uniformité sur le territoire de l'Union Européenne du droit de la protection des données.
D'abord, les différentes autorités de protection nationales comme la CNIL seront toutes représentées au sein du CEPD.
Aussi, dans les opérations de coopération, l'autorité " chef de file " propose les mesures et les décisions. Si celles-ci font l'objet d'objection, l'affaire est portée devant le CEPD qui rendra un avis contraignant, c'est-à-dire que l'autorité " chef de file " aura l'obligation de suivre cet avis.
Concrètement, le CEPD représentera l'autorité suprême européenne en matière de protection des données, comme le Conseil d'État ou la Cour de cassation pour le droit français. En effet, le citoyen s'adresse en premier lieu à l'autorité nationale en cas de litige, et celle-ci s'adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu'a actuellement le G29.
Pour lire l'article , dans une version mobile, cliquer surl'aticle sur les données
ARTICLES QUI ¨POURRAIENT VOUS INTERESSER :
- Données
- Vie privée
- Spamming
- Consentement
- Non concurrence
- Cnil
- Procédure européenne de prpotection des données
- Compteurs linky et Cnil
Sources :
- https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
- http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes
