Règlement européen sur la protection des données

Le Règlement Européen sur la protection des données

Le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus communément appelé « Règlement européen sur la protection des données à caractère personnel » (RGPD), a été adopté le 27 avril 2016 et entre en application le 25 mai 2018.

A l’heure où les entreprises captent des millions de données personnelles chaque jour (Big Data), l’enjeu était de trouver un cadre juridique unique protégeant véritablement les personnes dont sont issues ces données collectées massivement.

Le Règlement européen est la réponse à cet enjeu. Ainsi, il renforce considérablement les droits des individus et, dans un même temps, responsabilise mieux les organismes qui réutilisent leurs données par un changement de plusieurs pratiques mais aussi et surtout par la menace de sanctions financières (très) importantes.

S’il fallait ne retenir que quatre grands changements, nous privilégierions ceux-ci :

Renforcement du droit des personnes

notamment via le recueil et la traçabilité du consentement, le droit à la portabilité…

Suppression des formalités et déclarations CNIL

remplacées par la tenue obligatoire d’un registre interne des activités de traitement devant être mis à jour régulièrement

Mise en place de sanctions dissuasives

pouvant atteindre théoriquement au maximum des sommes considérables (20 M € / 4% CA)

Notification des problèmes et failles de sécurité

à l’autorité de contrôle comme la CNIL mais aussi aux personnes concernées dans certains cas

Comprendre le RGPD / GDPR

Le règlement européen sur la protection des données est le prolongement de la (célèbre) directive 95/46/CE du 24 octobre 1995 qu’il abrogera d’ailleurs automatiquement au moment de son applicabilité le 25 mai 2018.

Ainsi, le nouveau texte met fin à des transpositions différentes dans les droits des états membres de l’Union Européenne, phénomène intrinsèquement lié à la nature du texte de 1995 (la directive), et harmonise l’ensemble des législations européennes relatives à la protection des données personnelles en commençant à s’appliquer à la même date pour tous les états membres.

De plus, c’est un véritable texte de compromis, fruit de près de cinq années de discussions entre le Conseil de l’Union Européenne, le Parlement européen et la Commission européenne, qui a été publié le 4 mai 2016 au Journal Officiel de l’Union Européenne pour ne rentrer donc en application que deux ans plus tard, le 25 mai 2018.

A partir de 2007, la montée en puissance notamment des entreprises de tech américaines ont provoqué chez ces dernières une certaine frénésie ; plusieurs de leur CEO ont commencé à remettre en cause le principe de vie privée en prétextant que l’avènement du web 2.0 rendait tout simplement impossible sa conservation.

Chacun y est allé de sa petite phrase : qui a pu oublier les propos de Mark Zuckerberg, co-fondateur de Facebook, « Privacy no longer a social norm » (littéralement « la confidentialité n’est plus une norme sociale ») ? Ou encore ceux d’Eric Schmidt, ancien PDG de Google, « only miscreants worry about net privacy » (« seuls les criminels s’inquiètent de la confidentialité sur le Net ») ?

Avec, à la clé, des changements des conditions d’utilisation des sites web de ces sociétés dans un mépris total notamment de la directive européenne de 1995 et des droits des internautes, extrêmement critiqués et soulevant même çà et là des mouvements de désinscription de ces plateformes.

Inversement proportionnel à ce qui pourrait être pris comme de l’arrogance de la part des géants du Net, les internautes du monde entier et notamment européens sont de plus en plus soucieux du devenir de leurs données qui transitent sur les réseaux.
Et ils n’hésitent plus à attaquer, comme l’autrichien Max Schrems, ou à relayer le « bad buzz » inévitablement généré par les décisions des multinationales peu regardantes sur les questions de vie privée.

 

En outre, en 2013, l’affaire « Snowden » a marqué indubitablement un tournant.
Le scandale des écoutes de la NSA et de la surveillance généralisée fait comprendre aux citoyens du monde entier que les services de renseignement n’ont qu’à se servir et piocher dans ce vaste champs de données où, une fois recoupées, leur vie privée est exposée là, sans aucune entrave.

De l’autre côté du miroir, il est vrai aussi que bon nombre d’entreprises vivent de la data, sources d’innovation inépuisable. Et le meilleur, de ce point de vue, est encore à venir avec le développement des objets connectés et les possibilités offertes par le Big data et les algorithmes qui les exploitent.

 

C’est donc dans ce contexte de recherche d’un juste équilibre entre protection de la vie privée des individus et développement de l’innovation technologique que le Règlement européen sur la protection des données s’inscrit.

 

Contexte qui passe tout de même par une élévation remarquable des sanctions en cas de manquement aux principes édictés par le Règlement, seul préalable manifestement pour que les entreprises prennent en compte ces règles et se responsabilisent…

Une des premières questions à la lecture de ce site est sans doute : mon entité est-elle concernée ? Eh bien, pour les entreprises ou organismes qui souhaitaient vite s’en aller d’ici, nous vous conseillons de rester encore un petit peu…

 

En effet, les trois critères, matériel, organique et territorial à prendre en compte font que le Règlement européen devrait vous concerner…

 

Le critère matériel : une donnée à caractère personnel traitée dans un fichier

Un rappel de deux définitions s’impose, celles de donnée à caractère personnel ainsi que de traitement de donnée :

  1. donnée à caractère personnel : information se rattachant à une personne physique directement identifiée ou potentiellement identifiable par ou plusieurs numéros d’identification ou éléments recoupés (nom, identifiant, donnée de géolocalisation, …).
  2. traitement de donnée : une ou plusieurs opération(s) (collecte, réorganisation, stockage, modification, suppression, extraction, transmission, diffusion, …) portant sur une ou plusieurs donnée(s) à caractère personnel, de manière automatisée la plupart du temps, mais pas seulement.

Comment dès lors ne pas être concerné ?! Le simple fait pour une entreprise de gérer par exemple les payes de son personnel, où l’identification directe des personnes ne peut être écartée, suffit à ce que le Règlement s’applique pour ce cadre.

Attention : une identification indirecte vous loge à la même enseigne que pour une identification directe. Ainsi, seule l’anonymisation totale de données ferait sortir l’entité qui utilise cette méthode du champ du règlement ; même pas la pseudonymisation (« anonymisation réversible ») qui rend les personnes potentiellement (ré)identifiables par recoupement.

 

Enfin, ne pensons pas malgré tout que le Règlement se veut jusqu’au-boutiste. En effet, au vu des éléments ci-dessus, le répertoire téléphonique de son smartphone privé n’est-il pas après tout un traitement de données à caractère personnel… ? Oui, il l’est, mais certains types de traitement ne tombent pas, heureusement, sous le coup du Règlement.

Ainsi, par exemple, les traitements de données personnels (« activité strictement personnelle ou domestique »), à vocation non-professionnelle et non-commerciale, tels que justement les répertoires téléphoniques privés (attention, les téléphones professionnels sont eux soumis aux règles édictées par le Règlement).

 

Le critère organique : un responsable de traitement et/ou son sous-traitant

Révolution notoire, le nouveau texte européen ne s’adresse plus seulement aux fameux « responsables de traitement » mais aussi à ses sous-traitants qui traiteraient les données des premiers pour leur compte.

Mieux, s’il y a effectivement instruction directe du responsable envers son sous-traitant dans la mise en oeuvre des traitements, le Règlement transfère plusieurs obligations incombant au responsable au sous-traitant.

Ceci s’explique tout simplement par la volonté de responsabilisation des acteurs prônée par le législateur communautaire.

 

Le critère territorial : le pays d’exercice de l’activité de l’entité et/ou la nationalité des personnes suivies

Deux critères sont ici à prendre en considération, dans l’ordre d’importance :

  1. le lieu d’établissement de l’entité qui réalise des traitements de données à caractère personnel : ce lieu doit naturellement se situer au sein des pays membres de l’Union Européenne.
    En outre, l’établissement s’entend par l’exercice réel d’une activité même si celui-ci dépend d’une maison mère située en dehors de l’Union Européenne (exemple : Google France).
  2. le lieu géographique des personnes dont les données ont été traitées, dans le cas où ces personnes auraient souscrit à une offre de bien ou de service ou bien qu’elles auraient fait l’objet d’un traçage et d’une analyse comportemental (sur un site web via Google Analytics par exemple).