Le Règlement général sur la protection des données a été adopté le 27 avril 2016 et est applicable depuis le 25 mai 2018. Il s’agit d’une réforme majeure du droit de la protection des données en Europe. Avec la directive prévention et détection des infractions pénales, il compose le « paquet data » qui vise à harmoniser les règles de protection des données, à renforcer les droits des personnes et à leur rendre le contrôle de leurs données, ainsi qu’à diffuser la conception européenne de la protection des données via un effet extraterritorial.

En ce qui concerne le droit français, l’un des grands changements introduits par le RGPD réside dans le passage d’un régime administratif de formalités préalables à un régime de conformité globale.

Le RGPD est applicable au traitement de données à caractère personnel. On entend par données à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable. Il en va ainsi lorsque la personne peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, des éléments spécifiques propres à son identité physique, physiologique, génétique, psychiques, économiques, culturelles ou sociales. Les données anonymisées sont exclues du champ d’application du RGPD. En revanche, les données pseudonymisées reste qualifiées de données à caractère personnel car elles restent attachées à la personne concernée. Les activités purement personnelles ou domestiques sont exclues du champ d’application de la réglementation. Le législateur français a utilisé de la possibilité qui lui est donnée d’introduire des dispositions spécifiques en retenant que le RGPD s’applique dès lors que la personne concernée par le traitement de données réside en France y compris lorsque le responsable du traitement n’est pas établi en France.

Le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Il s’agit donc de l’entité qui décide de la mise en œuvre d’un traitement et qui en assume la responsabilité. Le sous-traitant est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant doit être distingué du destinataire des données car il n’est pas autorisé à utiliser les données pour son propre compte ou à les communiquer à un tiers à son initiative, sauf dispositions législatives ou réglementaires le prévoyant.

Tout traitement des données à caractère personnel doit respecter les principes fondamentaux énoncés à l’article 6 du RGPD. Les données sont collectées pour des finalités déterminées explicites et légitimes la finalité correspond à l’objectif poursuivi par le responsable du traitement. Une même collecte de données peut répondre à plusieurs objectifs distincts. La ou les finalités doivent être déterminées, explicite et légitime. Les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Pour être licite, un traitement doit reposer sur un fondement c’est à dire répondre à l’une des conditions énoncées à l’article 6 du RGPD. La personne doit consentir aux traitements ou celui-ci doit être nécessaire :

– à l’exécution de mesures contractuelles ou précontractuelles prises à sa demande,

– au respect d’une obligation légale s’imposant aux responsables du traitement,

– pour la vie de la personne concernée ou d’une autre personne,

– à une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Le responsable de traitement est également tenu d’une obligation de minimiser les données. Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce principe est également appelé principe de proportionnalité.

Les données doivent être exactes et si nécessaire tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes soient effacées ou rectifiées sans tarder.

Les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles seront traitées. Les données ne peuvent donc pas être stockées éternellement mais seulement pour une durée déterminée.

En outre, le responsable de traitement doit respecter le principe d’intégrité et de confidentialité. Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou licite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Tout responsable de traitement de données à caractère personnel doit pour être licite reposer sur un fondement. Le consentement des personnes concernées est donné pour une ou plusieurs finalités spécifiques et l’un de ces fondements. Le consentement ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement. Le consentement ne pourra pas être libre si la personne n’est pas en mesure de refuser ou de retirer son consentement sans subir un préjudice. Le consentement doit être donné pour une finalité précise et de manière granulaire. La personne concernée doit avoir été informée préalablement au recueil de son consentement afin de pouvoir le donner en connaissance de cause. La communication doit être effectuée dans un langage clair, accessible et compréhensible. Le consentement doit être donné par un acte positif clair. La personne a le droit de retirer son consentement à tout moment et il doit être aussi simple de le retirer que de le donner. Le traitement des données n’est pas licite si l’enfant est âgé de moins de 16 ans.

Parmi les données, certaines bénéficient d’une protection particulière car elles sont qualifiées de sensibles. Il s’agit des données révélant à l’origine raciale ou ethnique, des opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Par principe le traitement de ce type de données est interdit. Il existe néanmoins des exceptions lorsque la personne a donné son consentement explicite pour une ou plusieurs finalités spécifiques , si le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres aux responsables du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’union, par le droit d’un Etat membre ou par une convention collective ; ou encore si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Le RGPD a introduit un principe dit de accountability. Ce principe est souvent traduit en français par « principe de responsabilité ». L’article 24 du RGPD précise que le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Le responsable du traitement doit donc mettre en place des règles en interne afin de garantir le respect du RGPD. Les mesures doivent être définies en tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Il s’agit donc d’un processus dynamique de mise en conformité permanent. Ce principe se traduit par la définition de politique de protection des données et de sécurité des systèmes d’information, d’un registre des activités de traitement et des violations de données et par la prise en compte des principes de responsabilité.

Le RGPD introduit différents droits pour les personnes concernées et notamment :

  • droit d’accès aux données les concernant,
  • droit de rectification,
  • droit d’interrogation,
  • droit de limitation,
  • droit de portabilité,
  • droit à l’effacement.

La circulation des données est une des préoccupations majeures du législateur européen. Le RGPD répond à cette question au sein de l’Union européenne cependant, ils posent des limites à un transfert de données hors de l’Union européenne. Si le transfert illicite dans l’espace économique européen ainsi que dans l’association européenne de libre-échange, il est plus compliqué en dehors de ces espaces. Certains pays ont une réglementation reconnue comme étant équivalente par le législateur européen. Lorsque cela n’est pas le cas, les entreprises peuvent procéder au transfert de données si elles mettent en place des règles internes au groupe les obligeant à respecter le RGPD. Ainsi, avec les Etats-Unis, le législateur européen a d’abord reconnu l’équivalence du droit américain, puis le droit européen est revenu sur cette décision avant que les pouvoirs européens ne reconnaissent une équivalence entre les deux systèmes (suite à une réforme du droit américain). Il est donc nécessaire de veiller régulièrement à l’état du droit lorsque l’on effectue des transferts internationaux de données.

En cas de violation du RGPD, les sanctions peuvent s’élever à un montant de 2.000.000 d’euros ou de 4% du chiffre d’affaires mondial de l’exercice précédent, le montant supérieur étant applicable.

Pour toute question concernant le droit des données personnelles, le cabinet se tient à votre disposition.

Liens utiles :

Site de la CNIL : RGPD : de quoi parle-t-on ? | CNIL

Etude sur l’impact économique du RGPD : Impact économique du RGPD : une recension (la-rem.eu)

Sur la décision d’adéquation du droit américain au droit européen : Décision d’adéquation concernant la circulation sécurisée de données entre l’UE et les États-Unis (europa.eu)