Fiche technique : le RGPD et les données à caractère personnel

Droit applicable

Le droit au 25 mai 2018

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), disponible sur EUR-Lex :
http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA:

Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa révision du 20 juin 2018 en vue la mettre en conformité avec le RGPD, de transposer la directive Police-Justice.

Le droit à venir

Le droit à venir est assez complexe à appréhender. Il se compose principalement :

• De la loi de 1978, dont la "codification" (en fait une loi comlètement réaménagée sous forme d'ordonnance) pour intégrer tous les textes non issus du règlement européen entrera en vigueur au plus tard le 1er juin 2019 (voir ce texte sur Légifrance) ;
• Du futur Règlement "vie privée et communications électroniques" qui devait lui aussi être promulgué et en vigueur au 25 mai 2018 et remplaçant la directive de 2002, complémentaire de celle de 1995 en matière de communications électroniques.

À cela s'ajouteront des décrets d'application ainsi que des textes cadres que la Cnil doit élaborer et publier conformément au RGPD, notamment "liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise" visée à l'article 35, 4 du RGPD.

Définitions utiles

Article 4 RGPD

Le principe du consentement

Notion de consentement selon le RGPD - art.7

Nécessité pour le responsable du traitement de conserver la preuve du consentement - art.7, 1
Obligation d'isoler le consentement s'il est groupé avec d'autres accords - art.7, 2
Possibilité de retirer son consentement à tout moment -  art.7, 3

Le consentement des enfants - art.8

"…En ce qui concerne les services de la société de l'information"

• Traitement des données à caractère personnel licite si enfant âgé d'au moins 16 ans (art.8, 1)
• Moins de 16 ans : traitement licite si consentement donné ou autorisé par le titulaire de la responsabilité parentale (art.8, 1)
• Responsable du traitement doit vérifier "raisonnablement" si consentement donné par autorité parentale - art.8, 2

Les données sensibles - art.9

Des données interdites de traitement

Reprend les données sensibles classiques (art.8-I loi 78) : ajoute les deux derniers types de données - art.9, 1 RGPD :

Toute donnée qui directement ou indirectement, fait apparaître

• les origines raciales ou ethniques
• les opinions
  • politiques
  • philosophiques
  • religieuses
• les appartenances syndicales
• la santé
• la vie sexuelle des personnes
• les données génétiques
• les données biométriques aux fins d'identifier une personne physique de manière unique"

Exceptions

Notamment :

• Consentement explicite au traitement - art.9, 1 a)
• Données manifestement rendues publiques par l'intéressé - art.9, 2, e)

Les droits de la personne concernée

Voir art. 12 à 23 RGPD

Notion de transparence - art.12 (inclut les art. 13 et 14)

Principe : Disposer de toutes informations relevant des art.13 et 14 en vue de les communiquer dans le cadre des droits d'accès, de rectification, d'effacement des art.15 à 22 (art.12, 1)

Obligation d'information - art.13 et 14 (ex art.32 Loi de 78)

Information directe des intéressés -art.13

Informations à fournir lors de la collecte

Série d’informations logiques : art.13, 1 et 2 RGPD  (Art.32-I loi 78 étendu) :

• Responsable du traitement
• Identité et coordonnées du DPD
• Finalité des traitements
• Caractère facultatif ou obligatoire de la réponse (sauf si déduit des faits ou de la loi)
• Conséquences du défaut de réponse (sauf si déduit des faits ou de la loi)
• Droits détenus par la personne concernée (voir plus bas)
• Durée de conservation des données ou critères pour évaluer la durée - 13, 2, a)
• Si consentement : droit de retirer son consentement à tout moment - 13, 2, c)
• Droit d'introduire une réclamation - 13, 2, d)
• Les fondements de la fourniture des données, réglementaires ou contractuels - 13, 2, e)
• Existence d'un processus de décision automatisé ou de profilage - 13, 2, f)

Information indirecte (données non collectées auprès de l'intéressé - art.14

Parallélisme avec l'obligation d'information lors de la collecte… avec des aménagements

Droit d'accès - art.15

Le principe - art.15, 1 :

• Savoir si traitement ou pas de données
• Si oui : accès à ces données

Informations à fournir au demandeur - art.15, 1, a à h) :

• Finalité du traitement - art.15, 1, a)
• Catégories de données concernées - art.15, 1, b)
• Destinataires des données - art.15, 1, c)
• Durée de conservation des données - art.15, 1, d)
• Droit de rectification, d'effacement ou de limitation - art.15, 1, e)
• Droit de réclamation auprès de l'autorité de protection des données (Cnil – art.15, 1, f)
• Si informations collectées indirectement : toutes informations sur la source - art.15, 1, g)
• Existence d'une prise de décision ou de profilage automatisés à partir des données - art.15, 1, h)

Fourniture des données demandées - art.15, 3 :

• Fourniture sans frais
• Possibilité de faire payer une "copie supplémentaire" : "frais raisonnables basés sur les coûts administratifs"

Droits de rectification et d'effacement - art.16 et 17

• Droit de rectification - art.16 (= art.40 loi 1978)
• Droit à l'effacement - "droit à l'oubli" - art.17 (= art.40 loi 1978)
• Droit à l'effacement pour les mineurs - art.17, 1, f) = nouveauté RGPD
• Si données publiées : obligation d'informer les tiers de leur rectification et/ou effacement - art.17, 2)
• Ni rectification ni effacement si - art.17, 3 :
  • Traitement résultant d'une obligation légale - 17, 3, b)
  • Exercice de droits en justice - 17, 3, e)

Droit à la limitation du traitement - art.18

Droit d'obtenir la limitation du traitement si :

• L'exactitude des données est contestée par l'intéressé : limitation pendant la durée de vérification - 18, 1, a)
• Traitement illicite mais l'intéressé s'oppose à l'effacement et préfère la limitation - 18, 1, b)
• Données devenues inutiles au responsable mais utiles à l'intéressé pour la constatation ou l'exercice de droits en justice - 18, 1, c)
• Exercice du droit d'opposition - art.21, 1) : durant la vérification des motifs légitimes de la demande - 18, 1, d)

Obligation de notification en cas de rectification ou d'effacement - art.19

= art.40, point I, in fine loi 78 : obligation de rectification en cascade

Droit à la portabilité des données - art.20

Nouveauté RGPD : Droit pour l'intéressé d'obtenir les données le concernant et de les transmettre à un autre responsable de traitement - 20, 1, si :

• Traitement fondé sur le consentement - 20, 1, a)
• Traitement automatisé - 20, 1, a)

Transmission directe possible d'un responsable à l'autre - 20, 2
Les droits de rectification et d'effacement de l'art.17 demeurent - 20, 3

Droit d'opposition - art.21

Sauf motifs légitimes pour continuer à traiter les données (= art.38 loi 78 mais inversion de l'exigence des "motifs légitimes" : c'est au responsable du traitement de justifier de ces motifs)

Droit de sopposer à des décisions automatisées et de profilage - art.22

Principe : droit de ne pas faire l'objet d'une décision exclusivement automatisée - 22, 1

Exceptions :

• Conclusion ou exécution d'un contrat entre le responsable du traitement et l'intéressé - 22, 2, a)
• Consentement explicite de l'intéressé - 22, 2, c)
• Exception des exceptions : ne peuvent intervenir sur des données sensibles de l'art.9 - art.2, 4

Limitations [des droits des personnes] - art.23

Possibilité pour un État de limiter les droits des personnes, à condition de respecter les libertés, dans les cas suivants :

• Sécurité nationale - 23, 1, a)
• Défense nationale - 23, 1, b)
• Sécurité publique - 23, 1, c)
• Prévention et détection d'infractions pénales, enquêtes et poursuites judiciaires - 23, 1, d)
• Autres objectifs d'intérêt public national ou de l'Union, économique, financier, monétaire, budgétaire et fiscal, santé publique et sécurité sociale - 23, 1, e)
• Protection de l'indépendance de la justice et des procédures judiciaires - 23, 1, f)
• Prévention et détection des manquements à la déontologie, enquêtes et poursuites liées - 23, 1, g)
• Etc.

Responsable du traitement et sous-traitant

RGPD, Articles 24 à 31

Régime de responsabilité

Renforcement par rapport à la loi de 1978 -art.24

• Renforcement des obligations de proportionnalité ente les risques et la protection des données (24, 1)
• Insistance sur les politiques de protection des données - 24, 2
• Renvoi aux codes de conduites de l'art.40 et/ou certifications de l'art.42 - 24, 3

Protection dès la conception et par défaut - art.25

• Notion de protection des données dès la conception - 25, 1
• Notion de protection des données par défaut - 25, 2
• Renvoi aux certifications de l'art. 42 - 25,3

Responsabilité conjointe - art.26

• Si plusieurs personnes déterminent conjointement les finalités et modalités de traitement = responsables conjoints - 26, 1
• Doivent contractualiser la répartition de leurs responsabilités et leurs rôles respectifs dans les traitements et l'exercice des droits - 26, 1
• L'accord doit être mis à disposition des personnes concernées - 26, 2
• La personne concernée peut exercer ses droits vis-à-vis de l'un quelconque des responsables conjoints - 26, 3

Le régime des sous-traitants – nouveau RGPD - art.28

Garanties des sous-traitants

Les sous-traitants doivent présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées - 28, 1
Pas de sous-traitance des sous-traitants sans l'accord exprès du responsable des traitements - 28, 2

La sous-traitance doit être régie par un contrat ou tout acte juridique liant le sous-traitant au responsable des traitements -28, 3

Obligations et procédures identiques en cas de sous-traitance de second rang - 28, 4

Le registre des activités de traitement - art.30

• Régime proche de celui existant en cas de Cil sous la loi de 78
• Responsable du traitement : Obligation de tenir un registre de tous les traitements de données personnelles effectués sous sa responsabilité - 30, 1

Contenu du registre (30, 1)

• Nom et coordonnées du responsable – et du responsable conjoint - 30, 1, a)
• Finalités du traitement - 30, 1, b)
• Catégories de personnes concernées et catégories de données - 30, 1, c)
• Catégories de destinataires des données - 30, 1, d)
• Délais d'effacement des catégories de données - 30, 1, f)
• Mesures de sécurité et organisationnelles prévues - 30, 1, g)

Règles identiques et adaptées pour les sous-traitants - 30, 2

Registres sous forme écrite, y compris numérique - 30, 3

Registres tenus à la disposition de l'autorité de contrôle - 30, 4

Exception à l'obligation de tenue de registre

• Organisme de moins de 250 employés, sauf si le traitement présente un risque pour les droits et libertés des personnes concernées - 30, 5

Obligation de coopérer avec l'autorité de contrôle (Cnil) à sa demande - art.31

• Vise tout responsable du traitement, sous-traitant et représentant

La sécurité des données

Art. 32 à 34 : Régime sensiblement proche de la loi de 78.

Les analyses d'impact

Grande nouveauté du RGPD : art.35 et 36

Le régime des analyses d'impact

• Principe : Analyse d'impact nécessaire lorsqu'un "type de traitement (…) est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques"- 35, 1
• Une seule analyse pour un lot de traitements similaires présentant des risques similaires - 35, 1 in fine)
• Demande de conseil au DPD s'il existe - 35, 2
• Analyse d'impact requise dans les cas suivants - 35, 3 :
  • Évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage entraînant des décisions à portée juridique - 35, 3, a)
  • Traitement à grande échelle de données sensibles de l'art.9, 1 - 35, 3, b)
  • Surveillance systématique à grande échelle d'une zone accessible au public - 35, 3, c)
• L'autorité de contrôle doit établir la liste des types d'opérations et de traitements nécessitant une analyse d'impact - 35, 4)
• L'autorité de contrôle peut aussi établir la liste des types d'opérations et de traitements ne nécessitant pas d'analyse d'impact - 35, 5)
• Pour ce faire - 35, 4 et 5 - l'autorité de contrôle applique le mécanisme de contrôle de la cohérence de l'art.63 - 35, 6

Contenu d'une analyse d'impact - 35, 7

• Description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement - 35, 7, a)
• Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités - 35, 7, b)
• Évaluation des risques pour les droits et libertés des personnes concernées - 35, 7, c)
• Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD - 35, 7, d)

Consultation préalable [de la Cnil] - art.36

• Consultation de l'autorité de contrôle toutes les fois où l'analyse d'impact fait apparaître "un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque" - 36, 1
• Si l'autorité de contrôle estime que le traitement viole le règlement et que le responsable "n'a pas suffisamment identifié ou atténué le risque" celle-ci fournit sous 8 semaines un avis écrit au responsable, voire au sous-traitant et mettre en œuvre les pouvoirs qu'elle tient de l'art.58 - 6, 2
• Délai prorogeable de 6 semaines en raison de la complexité du traitement - 36, 2
• Possibilité de suspendre le délai le temps pour l'autorité d'obtenir toutes informations sur le traitement - 36, 2
• Informations à communiquer à l'autorité de contrôle en cas de consultation - 36, 3
  • Responsabilités respectives de divers responsables, surtout pour un groupe d'entreprises - 36, 3, a)
  • Finalités et moyens du traitement - 36, 3, b)
  • Mesures et garanties prévues afin de protéger les droits et libertés des personnes concernées - 36, 3, c)
  • Coordonnées du délégué à la protection des données - 36, 3, d)
  • Analyse d'impact - 36, 3, e)
  • Toute autre information demandée par l'autorité de contrôle - 36, 3, f)
• Le droit d'un État membre peut décider que le responsable du traitement consulte l'autorité de contrôle "dans le cadre d'une mission d'intérêt public", y compris protection sociale et santé publique -36, 5

Le délégué à la protection des données

art. 37 à 39

NB : Concerne toute entité responsable du traitement ou sous-traitante

Cas de désignation obligatoire - art. 37, 1

• Traitement effectué par une autorité ou un organisme public sauf les juridictions dans l'exercice de leur mission - 37, 1, a)
• Traitement entraînant "suivi régulier et systématique à grande échelle des personnes concernées" - 37, 1, b)
• Traitement à grande échelle de catégories de données sensible de l'article 9 et de données relatives à des condamnations pénales et à des infractions de l'article 10 - 37, 1, c)

Cas des groupes d'entreprises - art.37, 2

• Peuvent désigner un seul DPD à condition qu'il soit facilement joignable depuis tout établissement
• Cas des collectivités publiques - art.37, 3
• Un seul DPD peut être désigné pour plusieurs entités "compte tenu de leur structure organisationnelle et de leur taille"

Autres types d'organismes (associations, etc. – art.37, 4)

• Simple faculté de désigner un DPD
• Obligation de le désigner si le droit de l'UE ou de l'État membre l'exige.

Qualité du DPD - art.37, 5 à 7

• DPD désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données - 37, 5
• Et de sa capacité à accomplir les missions visées à l'article 39 - art. 37, 5
• Peut appartenir au personnel de l'organisme ou être prestataire extérieur - 37, 6)
• Les coordonnées du DPD sont publiées et communiquées à l'autorité de contrôle - 37, 7)

Fonction du DPD - art.38

• Le responsable du traitement ou le sous-traitant, à l'égard du DPD doivent :
• L'associer, "d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel" - 38, 1
• L'aider "à exercer les missions visées à l'article 39 - art. 38, 2)
  • En fournissant les ressources nécessaires pour exercer ces missions,
  • Ainsi que l'accès aux données à caractère personnel et aux opérations de traitement,
  • Et lui permettant d'entretenir ses connaissances spécialisées"

Indépendance et autonomie - 38, 3

• Ne donner au DPD "aucune instruction en ce qui concerne l'exercice des missions"
• Ne peut être "relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions"
• Il "fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant"

Rôle du DPD

• Il reçoit "toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits" que leur confère le RGPD - 38,4
• Il est "soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions" - 38, 5
• Il "peut exécuter d'autres missions et tâches" à condition "que ces missions et tâches n'entraînent pas de conflit d'intérêts" - 38, 6

Missions du DPD - art.39

Les missions du DPD sont "au moins les suivantes" - 39, 1

• "Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent" - 39, 1, a)
• "Contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes" sur les responsabilités du traitement (responsable, sous-traitant, responsables conjoints, répartition des responsabilités, sensibilisation et formation du personnel, audits) - 39, 1, b)
• Conseiller sur l'analyse d'impact et en vérifier l'exécution - 39, 1, c)
• Coopérer avec l'autorité de contrôle - 39, 1, d)
• Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36 - art.39, 1, d)
• Mener des consultations, le cas échéant, sur tout autre sujet - 39, 1, d) in fine
• Le DPD tient compte "du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement" - 39, 2

Les codes de conduites et la certification

art.40 à 43

Les grands principes des codes de conduite (art.40)

• Les autorités publiques encouragent les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaboration, modifier ou proroger de codes de conduite aux fins de préciser les modalités d'application du RGPD - 40, 1 et 2
• Le projet de code de conduite est soumis pour avis à l'autorité de contrôle qui peut l'approuver - 40, 5
• Lorsque le code est approuvé, il est enregistré et publié par l'autorité de contrôle - 40, 6

Certification - art.42

• Les autorités publiques encouragent la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le RGPD - 42, 1
• La certification est volontaire et accessible via un processus transparent - 42, 3
• Une certification ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant - 42, 4
• La certification est délivrée par les organismes de certification de l'art. 43 - art.42, 5
• Le candidat à la certification fournit à cet organisme toutes les informations ainsi que l'accès à ses activités de traitement nécessaires pour mener la procédure de certification - 42, 6
• La certification est délivrée pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions. Elle est retirée par les mêmes organismes ou par l'autorité de contrôle lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites - 42, 7
• Le Comité enregistre tous les mécanismes de certification, les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié - 42, 8.

Didier Frochot — mai 2018