Detail article

A compter du 25 mai 2018, certaines entreprises et organismes ayant un lien avec l’Union européenne devront se conformer aux nouvelles exigences du Règlement Général sur la Protection des données (RGPD), en anglais General Data Protection Regulation (GDPR). Il aura fallu quatre années de négociations législatives pour qu’enfin le 14 avril 2016 ce texte soit adopté et promulgué le 27 du même mois. Etant donné l’ampleur de la transformation que cela impliquait pour les entreprises, son entrée en vigueur a été fixée au 25 mai 2018.

OBJECTIF DU RGPD:
Lors du conseil européen du 11 avril 2016, il a été indiqué que ce règlement visait principalement à « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises »

APPLICABILITE DIRECTE DU REGLEMENT :
L’effet direct d’une norme européenne est l’un des principes fondamentaux du droit européen consacré par la Cour de justice de l’Union européenne (CJUE) depuis le 5 février 1963 dans l’arrêt Van Gend en Loos.

Il permet aux citoyens européens d’invoquer devant les juridictions européennes ou nationales (même en l’absence de transposition), l’application d’une norme européenne.

C’est en vertu de ce principe que, tous les 28 Etats-membres de l’Union européenne seront désormais soumis aux règles prévues par le règlement. Ainsi, il aura dès son entrée en vigueur, force de loi. L’objectif de mettre fin aux disparités dans la protection des données des personnelles d’un Etat-membre à l’autre semble ici avoir été atteint.

RAPPELS HISTORIQUES :

Jusqu’en 1981, la plupart des pays européens ne disposaient d’aucune législation nationale protectrice des données personnelles de leurs citoyens. Certes en France, il y avait loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978, mais c’était loin d’être généralisé en Europe, et le degré de protection était moins élevé qu’aujourd’hui.

Constatant une augmentation des flux des données personnelles via les traitements automatisés, l’Organisation de Coopération et de Développement Economiques (OCDE) a préconisé en 1980 des lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

L’ambition était l'harmonisation des systèmes nationaux de protection des données personnelles, ainsi que la facilitation des échanges transfrontaliers. Malgré leur caractère non-contraignant, ces recommandations ont servi de base à la rédaction de la directive 95/46/CE.
Par la suite, les 47 Etats-membres du Conseil de l’Europe ont voulu inciter l’ensemble des Etats à adopter une législation afin de mieux protéger les données personnelles des citoyens de l’Union. A cet effet, une Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été adoptée.

Droit antérieur : la directive 95/46/CE

Le RGPD vient abroger la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive avait pour objectif principal la protection de la vie privée. Ainsi, à moins de remplir les conditions cumulatives de proportionnalité, transparence et finalité légitime, le traitement automatisé des données personnelles est interdit.

Par ailleurs, il ressort de l’article 28 de la directive que chaque Etat-membre doit créer un organisme en charge de la protection des données personnelles. En France, la Commission Nationale Informatique et Liberté (CNIL) créée par la loi n° 78-17 du 6 janvier 1978 remplit ce rôle. Cette directive est également à l’origine de la création d’un groupe de travail sur la protection des données appelé G29, avec pour mission de coordonner l'activité des différentes autorités de protection des données personnelles.

CHAMP D’APPLICATION DU RGPD :

Entreprises visées (article 3 du règlement):

Toutes les entreprises procédant à un traitement automatisé des données personnelles de personnes résidant dans l’Union. Peu importe qu’elles soient établies ou non dans l’union ; peu importe aussi qu’elles y soient immatriculées. Sont également visées les entreprises non immatriculées dans un Etat-membre, mais dont la clientèle est composée même en partie de résidents européens.

Les personnes protégées :

Toutes personnes résidant au sein d’un Etat-membre de l’Union européenne, ou y exerçant une activité économique.

Activités concernées :

Toutes les activités susceptibles d’avoir un impact sur la protection des données personnelles des résidents de l’Union européenne. Dans une telle hypothèse, une étude de l’impact de ces activités sur la vie privée des personnes concernées devra préalablement être menée. Cette étude devant intégrer des propositions de mesures afin, le cas échéant, de réduire la gravité des conséquences des dommages sur la protection des données personnelles.

Activités exclues (article 2 du règlement) :

- Les activités de traitement des données personnelles effectuées en dehors du champ d’application du droit de l’Union Européenne ;
- Les activités menées par les Etats-membre dans le cadre de la politique étrangère et de sécurité commune, prévue par le traité sur le fonctionnement de l’Union ;
- Les activités exercées par une personne physique dans un but personnel ou domestique ;
- Les activités menées par les autorités compétentes en matière d’infractions pénales.

CE QUI VA CHANGER AVEC LE RGPD :

Avec l’entrée en vigueur du RGPD, la protection des données personnelles des personnes au sein de l’Union européenne sera nettement renforcée. Or cette protection aura bien évidement un coût pour les entreprises, qui devront se réorganiser, et revoir leurs méthodes de traitement des données afin de se conformer.

UN RENFORCEMENT DES DROITS DES PERSONNES RELATIVEMENT A LEURS DONNEES :

A compter du 25 mai 2018, les résidents de l’Union devront, lors de la communication de leurs données personnelles aux entreprises soumises au GDPR, donner un consentement explicite et positif. Cela leur permettrait d’avoir plus de main mise sur les informations personnelles ainsi communiquées.

De même, les personnes concernées se voient reconnaitre un droit à l'effacement («droit à l'oubli») : l’article 17 du règlement prévoit 6 hypothèses dans lesquelles les personnes concernées pourront exiger d’un responsable du traitement des données, l’effacement de ses données personnelles dans « dans les meilleurs délais », notamment lorsque :

« a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d) les données à caractère personnel ont fait l'objet d'un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1. »

En outre, l’article 20 du règlement prévoit un droit à la portabilité des données personnelles. En vertu de ce doit, les personnes concernées pourront récupérer les données communiquées à un responsable de traitement des données afin de les transmettre à un autre responsable de traitement des données de son choix. Le premier ayant l’obligation de renvoyer les données réclamées dans un format lisible par machine et bien structuré.

Soulignons par ailleurs cette évolution notable prévue à l’article 22 du règlement, qui interdit que toute personne ne fasse l’objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage. Le profilage étant définit à l’article 4.4 du règlement comme toute forme de traitement automatisé de données personnelles qui consiste à utiliser ces données à des fins d’évaluation de certains aspects personnels d’une personne physique, notamment pour analyser ou prédire des éléments. Dès lors, un tel traitement est susceptible de produire des effets juridiques, ou d’affecter significativement la personne concernée.

DE NOUVELLES OBLIGATIONS POUR LES ENTREPRISES :

Le responsable du traitement :

Afin de respecter les nouvelles règles imposées par le RGPD, la création d’un poste de «responsable du traitement », ou le recours à un « sous-traitant » pourra s’avérer nécessaire en fonction des cas. En vertu de l’article 37-1-b, il serait en charge des opérations de traitement nécessitant un suivi régulier et systématique, eu égard à leur nature, leur portée et/ou leurs finalités.

L’ampleur de la tâche qui reposera désormais aux entreprises et organismes est considérable. D’ailleurs, il ressort de l’article 40 du règlement que les entreprises sont fortement encouragées à élaborer un code de conduite approuvé, ou des mécanismes de certification approuvés. Le faire permettrait au responsable de traitement des données d’établir en cas de besoin qu’il a bien respecté les obligations qui lui incombent.

La désignation d’un délégué à la protection des données (data protection officer en anglais) :
L’article 37 du règlement fait obligation aux entreprises, plus précisément au responsable du traitement ou au sous-traitant, de nommer un délégué à la protection dans les cas suivants :

« a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »

Ce délégué à la protection des données est, de par son rôle, systématiquement associé à toutes les questions de protection des données à caractère personnel

Protection des données dès la conception et protection des données par défaut (article 25):

En vertu de ces principes, les entreprises auront l’obligation d’une part, de prendre en compte les exigences en matière de protection des données, ceci dès la conception des services et systèmes d’exploitation des données personnelles. D’autre part, elles devront disposer d’un système d’information sécurisé.

AUTORITE(S) DE CONTROLE :

Chacun des Etat-membres devra nommer une ou plusieurs autorité(s) de contrôle indépendante(s), dont la mission sera principalement de veiller à la bonne application du RGPD. Cette autorité interviendra également pour conseiller le responsable des traitements sur son l’application dudit règlement. Elle sera enfin l’interlocuteur de toutes les personnes qui souhaiteront exercer leurs droits.

Il en résulte que, c’est auprès de cette dernière que les entreprises et organismes devront, en cas de fuite de données ou de violation grave, adresser une notification dans les 72 heures de l’incident.

AMENDES ADMINISTRATIVES :

En cas de non-respect du règlement, l’article 83 -6 du règlement prévoit une sanction financière d’un plafond de 20.000.000 d’euros, ou de 4% du chiffre d’affaires annuel mondial du précédent exercice, s’il s’agit d’une entreprise. Pour plus de dissuasion, c’est le montant le plus élevé des deux qui sera retenu.

BIBLIOGRAPHIE :

Normes :
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

• Traité sur le fonctionnement de l'Union européenne. Version consolidée, Journal officiel n° C 326 du 26/10/2012 p. 0001 – 0390

• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

• Série des traités européens - n° 108. Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Sites internet :
• EUR-Lex
• https://www.cnil.fr (article du 15 juin 2015 : Règlement européen sur la protection des données : ce qui change pour les professionnels)

• Légifrance, Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
• OCDE.org, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel

Lettre des Juristes de l'Environnement

Un espace de promotion de la connaissance du droit de l'environnement

dans les entreprises, les collectivités territoriales et les associations

en France et à l'Etranger

Edito

Pour porter le droit de l'environnement partout où il doit s'appliquer !

Nos Liens

Liens juridiques

Liens utiles