QUELQUES PRINCIPES SUR LE RÈGLEMENT EUROPÉEN DE LA GESTION DES DONNÉES PERSONNELLES

Une nouvelle cartographie juridique et institutionnelle verra le jour au premier trimestre de 2018 pour les gestionnaires des données personnelles et leurs sous traitants dans l’espace de l’union européenne.

Cette révolution juridique se traduira par l’entrée en vigueur en mars 2018 du règlement européen sur la gestion des données personnelles : le RGPD adopté le 26 avril 2016 qui va instaurer un nouvel équilibre basé sur la responsabilisation des acteurs et le renforcement des droits des individus quant à la gestion et l exploitation de leurs données personnelles.

Les données personnelles revêtent une importance de plus en plus croissante et ce, en raison de la digitalisation des services publics et privés d’une part, et de la facilité d’accès et d’interaction  des individus sur les réseaux sociaux d’autre part.

Nos noms, adresses, nos divers numéros d’identification chez nos banquiers et nos fournisseurs ainsi que toutes nos données privées demeurent une source inépuisable d’exploitation pour des fins commerciaux pour les uns et pour des raisons plus opaques pour les autres…

 Le législateur français s’est rapidement penché sur la question en adoptant une approche que l on peut qualifier de protectrice et d’anticipative qui a vu le jour à la fin des années soixante dix.

A cette époque l impact que les nouvelles technologies ne pouvait encore être mesuré à sa juste valeur, pourtant la loi informatique, fichiers et libertés de 1978 stipule dans son article 2 que : « La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers… Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

La commission nationale de l’informatique et des libertés la CNIL n’a pas manqué les occasions pour assoir son autorité par le contrôle et le pouvoir coercitif si nécessaire pour introduire la valeur du respect des données personnelles en France.

Ce pouvoir de la CNIL ne cesse d’accroitre notamment avec les stipulations de la loi de la république numérique du 7 octobre 2016 dont nous allons y consacrer un autre article pour analyser et mesurer ses impacts sur la protection des données personnelles.

Néanmoins, les efforts législatifs et réglementaires à un niveau national ne peuvent pas en dépit de leur pertinence prétendre à une solution optimale pour la protection et la gestion des données personnelles, une coordination communautaire est désormais le moyen le plus judicieux permettant d’optimiser l efficacité des lois et des acteurs de contrôle nationaux et de contourner les risques de leur mauvaise gestion. 

La toile du net avec les sites de vente en ligne et les réseaux sociaux a accéléré considérablement la transmission et l exploitation de nos données personnelles de manière transfrontalière, et par voie de conséquence les risques de leur utilisation à notre insu pour réaliser des opérations de marketing au mieux et pour nous espionner au pire, se sont rapidement multipliés.

L’article 5 de la directive 2002/58/CE dispose que l’utilisateur de l internet doit être informé de toute collecte d’informations et qu’il a le droit de connaitre la finalité et de s’y opposer : « Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. ».

Cette disposition a été par la suite modifiée par la directive 2006/24/CE pour consolider la protection des données personnelles en impliquant la responsabilité des fournisseurs de réseaux et des services de communication électroniques.

A l image de la cadence rapide du progrès technologique, la législation européenne en là matière se doit de suivre cette vitesse par la mise en place de nouveaux outils adaptés.

La transposition des directives dans les législations nationales nécessite des délais d’attente et des phases de coordination qui ne sont compatibles avec la rapidité de l’évolution du numérique et des services, c’est pour cette raison que les efforts se sont concentrés sur la confection minutieuse d’un autre outil plus facile à mettre en œuvre et dont le champ d’application est beaucoup plus étendu : il s’agit du Règlement européen sur la protection des données personnelles.

Ce Règlement est apparu au journal officiel de l’union européenne en date du 4 mai 2016 et entrera en vigueur le 25 mai 2018, il constitue à ce niveau la législation phare attendue par l’Europe pour l’ère numérique.

En attendant l’arrivée de cette date, l’ensemble des traitements déployés jusque là devront faire l’objet de mise en conformité avec les dispositions du règlement.

Contrairement à l’esprit des déclarations et des autorisations de la directive de 1995, ce nouveau règlement repose sur une logique de conformité qui responsabilise les acteurs : pour bénéficier de l’allégement de la lourdeur des formalités administratives les entreprises doivent penser dès la conception de leurs produits ou de services à limiter les quantités des données personnelles et doivent démontrer leur alignement aux dispositions du règlement à n’importe quel stade du processus de la production.

Comment mesurer la conformité des acteurs de traitement ?

La responsabilisation des gestionnaires de données personnelles passera par la garantie d’un degré élevé de conformité qui sera assuré par des outils tels que :

·        La tenue d’un registre des traitements,

·        La certification des traitements,

·        L’adhésion à des codes de conduites,

·        La notification des failles de sécurité aux personnes et aux autorités concernées…,

·        Des études d’impact sur la vie privée (EIVP) notamment pour les données sensibles qui révèlent les origines ethniques ou raciales, les opinions politiques ou religieuses ou encore les données génétiques et biométriques,

·        La DPO : le délégué à la protection des données pour les gestionnaires du secteur public et ceux dont l’activité principale se base sur le traitement des données à grande échelle ou des données à caractère sensible ou relatives à des condamnations.

En dehors de ces cas, la désignation d’un délégué à la protection des données reste possible pour les responsables de traitement et les sous traitants qui souhaitent s’assurer d’un bon niveau de conformité et dont le rôle sera de :

o  De conseiller et d’informer le responsable de traitement, les sous traitants et les employés sur la gestion des données personnelles,

o  De contrôler le respect du règlement européen et de la législation nationale en là matière,

o  De coopérer avec les autorités de contrôle.

A défaut de respect des dispositions du règlement en question, les différents gestionnaires encourent des avertissements, des limitations des données ou leur effacement ainsi que de lourdes sanctions administratives qui vont jusqu’à compromettre la viabilité de l’entreprise.

Quel est l intérêt de ce règlement ?

 La mobilisation européenne autour de ce projet reflète les résultats espérés et les effets qui en découleront par la mise en place d’un cadre juridique commun à l’ensemble des pays de l’UE.

Tel que son intitulé l’annonce, ce règlement a pour objet le renforcement de la gestion des données personnelles, et par conséquence, l’optimisation de leur protection sur l’ensemble du territoire communautaire, et ce à travers des mécanismes transparents qui mettront en exergue la responsabilité des différents acteurs concernés y compris ceux se trouvant en dehors de l’espace européen.

Pour que cet objectif soit atteint, les auteurs du règlement ne se sont pas privés d’étaler son champ d’application sur toutes les zones ou un résident européen est visé par un traitement de données même par internet.

Les responsables de traitement des données personnelles établis sur le territoire de l’UE au même titre que leurs sous traitants sont de toute évidence les premiers acteurs concernés  par les dispositions de ce règlement.

Un organisme unique dans chaque état membre sera reconnu comme l’autorité de protection des données ou siègent les entreprises, qui fera office d’interlocuteur pour elles, ce qui leur permettra de s’assurer du respect de l’obligation de la protection de données personnelles en cas de mise en œuvre de traitements transnationaux.

En France, cette autorité est représentée par la CNIL qui notifiera aux entreprises les décisions prises dans le cadre de ce nouveau mécanisme de coordination européenne.

chaque organisme de protection des pays de l’UE aura un rôle de coordination dans la gestion des traitements entre les différents états membres par les prises de décisions conjointes notamment en matière de sanction des mauvais gestionnaires de traitement.

Ce niveau de coordination a naturellement impliqué la création d’un comité européen de la protection des données (CEPD) qui réunira l’ensemble des autorités de protection nationales afin de garantir un traitement juridique uniforme à l’ensemble des états membres.

Comment cela fonctionnera t-il ?

En effet, chaque autorité de protection constitue une force de proposition ou un pouvoir coercitif pour un traitement quelconque, les autorités voisines concernées par le même traitement disposent d’un délai d’un mois pour approuver la proposition ou la sanction ou bien y émettre une objection.

 En cas d’absence ou d’insuffisance d’objection, la question sera alors portée devant le CEPD qui rendra un avis à caractère contraignant pour l’autorité de protection qui aura initié le débat.

Chez nous en France, ces décisions seront contestées devant le Conseil D’Etat.

C’est de la sorte que les acteurs de traitement des données personnelles à leurs différents niveaux dans l’UE puissent bénéficier d’un cadre juridique efficace, rapide et uniforme.

Et les droits des individus ?

Le règlement européen de la gestion des données personnelles confirme :

-l’obligation de transparence de la gestion des données personnelles vis-à-vis des personnes

-la facilité d’accès aux informations personnelles par les individus

-l’obligation du consentement de la personne sur la gestion de ses données.

Mais aussi, nous y trouvons de nouveaux droits comme celui de la portabilité des données qui permet à un individu de récupérer les données fournies sous une forme réutilisable et le cas échéant de les transférer à un tiers, il s’agit en effet d’un droit « révolutionnaire » qui va rééquilibrer les rapports entre le responsable du traitement et la personne qui se verra dotée de la maitrise de ses données personnelles.

De même que chaque personne qui estime avoir subi dans ce nouveau rapport avec les acteurs de traitement un dommage matériel ou moral aura le droit d’obtenir réparation de son préjudice auprès des mauvais gestionnaires de ses données personnelles.

Par ailleurs des actions collectives pourront être engagées par les associations sensibles à la protection des données personnelles contre les responsables du traitement et leurs sous traitants en cas de manquement aux obligations des dispositions de ce règlement.

La protection des individus est encore plus accentuée dans le cadre de ce règlement pour les mineurs de moins de 16 ans puisque le consentement sur le traitement de leurs données personnelles doit être recueilli auprès du titulaire de l’autorité parentale, la limite d’âge est librement fixée par les lois des Etats membres, sans que cela ne dépasse les 13 ans.

Une fois adultes, les consentements donnés aux noms de ces mineurs doivent être retirés et les données effacées.

Nous constatons ainsi l’aspect protecteur des individus dans le cadre de règlement quant à la gestion de leurs données personnelles au point de rééquilibrer la balance des rapports de force entre les personnes et les gestionnaires de leurs données, il nous est alors opportun de s’interroger sur les motivations de cette nouvelle machine législative qui est en train de se mettre en œuvre et de s’y préparer rapidement aussi bien le plan réglementaire que sur le plan structurel.

   Sondés JEAN

Juriste/DPO

GDPR LAB