 |
| RGPD : à l'heure du "tout-digital", un référentiel européen pour la protection des données personnelles |
Le RGPD : tout le monde en parle, mais qu'est-ce que c'est ?
Le règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données - plus connu sous le nom de RGPD pour "règlement général sur la protection des données" (ou GDPR, pour "general data protection regulation") - est entré en vigueur aujourd'hui.
Du coup les médias en parlent, quand les entreprises inondaient les réseaux sociaux professionnels d'annonces publicitaires, d'offres d'emploi et de livres blancs il y a encore quelques mois. Mais concrètement, que dit le RGPD ? Chez LegiStrat, nous avons mis le nez dans le texte pour vous !
Ce règlement européen constitué de 100 articles a pour objectif - comme son nom l'indique - de protéger les données à caractère personnel des personnes physiques. Celui-ci vient remplacer la directive relative à la protection des données personnelles datant de... 1995. Dans le contexte actuel de transformation digitale et de circulation des données à un rythme effréné, il était temps d'actualiser les règles en matière de protection de la data !
En effet, la directive de 1995 était devenue objectivement inadaptée aux nouveaux besoins compte tenu notamment des évolutions technologiques mais aussi des business models. Son obsolescence fut d'ailleurs particulièrement perceptible à travers les décisions rendues par la Cour de Justice de l'Union Européenne (CJUE) dans les affaires "Safe Harbor" (affaire de la récupération par la NSA - dans le cadre de son programme de surveillance baptisé "PRISM" - des données personnelles de citoyens européens, importées aux USA par les entreprises américaines) et "Google Spain" (reconnaissance d'un droit à l'oubli suite à une interprétation "très extensive" des dispositions de la directive).
Ces affaires ont eu une influence certaine sur la rédaction définitive du texte, lequel a fait l'objet de 4 années de tractations (de 2012 à 2016) entre le Conseil, le Parlement et la Commission pour enfin aboutir à une plus grande harmonisation des règles applicables sur le territoire de l'UE.
Du coup les médias en parlent, quand les entreprises inondaient les réseaux sociaux professionnels d'annonces publicitaires, d'offres d'emploi et de livres blancs il y a encore quelques mois. Mais concrètement, que dit le RGPD ? Chez LegiStrat, nous avons mis le nez dans le texte pour vous !
Ce règlement européen constitué de 100 articles a pour objectif - comme son nom l'indique - de protéger les données à caractère personnel des personnes physiques. Celui-ci vient remplacer la directive relative à la protection des données personnelles datant de... 1995. Dans le contexte actuel de transformation digitale et de circulation des données à un rythme effréné, il était temps d'actualiser les règles en matière de protection de la data !
En effet, la directive de 1995 était devenue objectivement inadaptée aux nouveaux besoins compte tenu notamment des évolutions technologiques mais aussi des business models. Son obsolescence fut d'ailleurs particulièrement perceptible à travers les décisions rendues par la Cour de Justice de l'Union Européenne (CJUE) dans les affaires "Safe Harbor" (affaire de la récupération par la NSA - dans le cadre de son programme de surveillance baptisé "PRISM" - des données personnelles de citoyens européens, importées aux USA par les entreprises américaines) et "Google Spain" (reconnaissance d'un droit à l'oubli suite à une interprétation "très extensive" des dispositions de la directive).
Ces affaires ont eu une influence certaine sur la rédaction définitive du texte, lequel a fait l'objet de 4 années de tractations (de 2012 à 2016) entre le Conseil, le Parlement et la Commission pour enfin aboutir à une plus grande harmonisation des règles applicables sur le territoire de l'UE.
 |
| Protégez vos données : entre exploitation commerciale et électorale, tentations sécuritaires et cybercriminalité, la protection la plus sûre est votre prudence ! |
Le RGPD : qui est concerné et dans quel cadre ?
Commençons par le commencement : que faut-il entendre par une donnée "à caractère personnel" ? Le RGPD la définit comme "toute information se rapportant à une personne physique identifiée ou identifiable". Définition simple, claire et qui a le mérite de balayer très large.
Le texte précise tout de même qu'est réputée être "identifiable" toute personne physique pouvant "être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". On constate ici une volonté des institutions européennes de donner une définition précise, sans pour autant s'enfermer dans une liste exhaustive qui pourrait se révéler préjudiciable en cas de litige (usage des adverbes "directement / indirectement" et "notamment").
Le RGPD s'applique dès lors que des données à caractère personnel de personnes physiques identifiées ou identifiables se trouvant sur le territoire de l'UE font l'objet d'un "traitement" (sauf dans le cadre d'une activité strictement personnelle ou domestique). Là encore, le traitement est défini par le texte de façon précise mais non limitative : "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte [...] l'effacement ou la destruction". Ainsi, le traitement s'entend de toute manipulation de données à caractère personnel.
Protéger les données personnelles des personnes physiques, d'accord... mais comment ? En créant des obligations à l'égard de toutes les personnes amenées à manipuler ces données en dehors de toute activité strictement personnelle ou domestique : entreprises, personnes publiques (administration, collectivités, organismes publics, institutions européennes...), associations etc. Les avocats, experts-comptables, médecins ou toute autre profession réglementée sont également concernés par ces obligations.
Trois précisions s'imposent à propos de ces personnes :
- "Entreprise" ne signifie pas "société" : ainsi et à titre d'exemple, un auto-entrepreneur est concerné par les obligations créées par le RGPD dans le cadre de son activité professionnelle.
- L'Etat stricto sensu n'est pas concerné par les dispositions du RGPD dans le cadre de certaines activités régaliennes (sécurité et justice).
- Les institutions européennes ne sont pas soumises aux dispositions du RGPD, mais à celles du règlement CE n° 45/2001 du 18 décembre 2000 (réputées être adaptées aux principes et aux règles du RGPD).
Concernant le champ d'application territorial, là encore force est de constater que les institutions européennes ont souhaiter conférer aux dispositions du RGPD une portée maximale.
Le RGPD a en effet vocation à s'appliquer :
1) Dès lors que des données personnelles sont manipulées (i) par un responsable du traitement (= la personne physique ou morale qui détermine - seule ou conjointement avec d'autres - les finalités et les moyens du traitement) ou un sous-traitant (ii) dans le cadre des activités d'un établissement situé sur le territoire de l'UE, que le traitement ait lieu ou non sur le territoire de l'UE.
2) Si le responsable du traitement ou le sous-traitant ne dispose d'aucun établissement sur le territoire de l'UE, les dispositions du RGPD s'appliquent malgré tout dès lors que les activités de traitement sont liées (i) à une offre de biens ou de services faite à une personne physique se trouvant sur le territoire de l'UE (note : y compris si aucun paiement n'est exigé) ou (ii) au "suivi du comportement" de cette personne sur le territoire de l'UE. La référence faite au "suivi du comportement" des personnes est intéressante car elle vise des pratiques qui font régulièrement débat dans l'actualité : la surveillance policière bien entendu (ex : programme PRISM de la NSA), mais aussi certaines pratiques commerciales (ex : ciblage comportemental sur google) ou électorales / politiques (ex : cas Cambridge Analytica et Facebook).
3) Enfin si le responsable du traitement n'est ni établi sur le territoire de l'UE, ni ne remplit les conditions visées au (2), celui-ci n'échappera pas pour autant aux obligations imposées par le RGPD : il sera soumis aux dispositions du texte s'il est établi dans "un lieu" où le droit de l'un des Etats-membres de l'UE s'applique en vertu du droit international public. Volontairement, le RGPD se borne à faire référence à "un lieu" - ce qui sous-entend "tout lieu, y compris en dehors de la surface terrestre" - et non à "un Etat" : cela permet de prévenir tout velléité de contournement des règles.
De même, comme vous l'avez peut-être remarqué depuis le début de cet article : le RGPD ne protège pas uniquement les ressortissants européens, mais bien toute personne physique se trouvant sur le territoire de l'UE (donc y compris les ressortissants d'Etats tiers). C'est là une différence fondamentale avec un certain nombre de lois américaines, lesquelles s'appliquent dès lors que le moindre élément peut être relié de près ou de loin aux intérêts des Etats-Unis (nationalité américaine des personnes ou "origine" américaine des choses impliquées).
Mais en l'espèce, compte tenu notamment des spécificités d'internet, le droit européen prend également la voie de l'extra-territorialité en étendant les dispositions du RGPD aux entités étrangères - y compris lorsqu'elles sont établies en dehors du territoire de l'UE - dès lors que le traitement de données personnelles implique celles d'une personne physique situé sur le territoire de l'UE. Ce faisant, les institutions européennes ont doté ce texte d'une portée effective.
Le texte précise tout de même qu'est réputée être "identifiable" toute personne physique pouvant "être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". On constate ici une volonté des institutions européennes de donner une définition précise, sans pour autant s'enfermer dans une liste exhaustive qui pourrait se révéler préjudiciable en cas de litige (usage des adverbes "directement / indirectement" et "notamment").
Le RGPD s'applique dès lors que des données à caractère personnel de personnes physiques identifiées ou identifiables se trouvant sur le territoire de l'UE font l'objet d'un "traitement" (sauf dans le cadre d'une activité strictement personnelle ou domestique). Là encore, le traitement est défini par le texte de façon précise mais non limitative : "toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte [...] l'effacement ou la destruction". Ainsi, le traitement s'entend de toute manipulation de données à caractère personnel.
Pour résumer : le RGPD encadre toute manipulation - opérée en dehors de toute activité exclusivement personnelle ou domestique - de toute information se rapportant à toute personne physique se trouvant sur le territoire de l'UE, si celle-ci est identifiée ou dès lors qu'il existe le moindre élément permettant d'identifier cette personne. On comprend alors que les institutions européennes ont souhaité verrouiller au maximum la protection des données personnelles.
Trois précisions s'imposent à propos de ces personnes :
- "Entreprise" ne signifie pas "société" : ainsi et à titre d'exemple, un auto-entrepreneur est concerné par les obligations créées par le RGPD dans le cadre de son activité professionnelle.
- L'Etat stricto sensu n'est pas concerné par les dispositions du RGPD dans le cadre de certaines activités régaliennes (sécurité et justice).
- Les institutions européennes ne sont pas soumises aux dispositions du RGPD, mais à celles du règlement CE n° 45/2001 du 18 décembre 2000 (réputées être adaptées aux principes et aux règles du RGPD).
Concernant le champ d'application territorial, là encore force est de constater que les institutions européennes ont souhaiter conférer aux dispositions du RGPD une portée maximale.
Le RGPD a en effet vocation à s'appliquer :
1) Dès lors que des données personnelles sont manipulées (i) par un responsable du traitement (= la personne physique ou morale qui détermine - seule ou conjointement avec d'autres - les finalités et les moyens du traitement) ou un sous-traitant (ii) dans le cadre des activités d'un établissement situé sur le territoire de l'UE, que le traitement ait lieu ou non sur le territoire de l'UE.
2) Si le responsable du traitement ou le sous-traitant ne dispose d'aucun établissement sur le territoire de l'UE, les dispositions du RGPD s'appliquent malgré tout dès lors que les activités de traitement sont liées (i) à une offre de biens ou de services faite à une personne physique se trouvant sur le territoire de l'UE (note : y compris si aucun paiement n'est exigé) ou (ii) au "suivi du comportement" de cette personne sur le territoire de l'UE. La référence faite au "suivi du comportement" des personnes est intéressante car elle vise des pratiques qui font régulièrement débat dans l'actualité : la surveillance policière bien entendu (ex : programme PRISM de la NSA), mais aussi certaines pratiques commerciales (ex : ciblage comportemental sur google) ou électorales / politiques (ex : cas Cambridge Analytica et Facebook).
3) Enfin si le responsable du traitement n'est ni établi sur le territoire de l'UE, ni ne remplit les conditions visées au (2), celui-ci n'échappera pas pour autant aux obligations imposées par le RGPD : il sera soumis aux dispositions du texte s'il est établi dans "un lieu" où le droit de l'un des Etats-membres de l'UE s'applique en vertu du droit international public. Volontairement, le RGPD se borne à faire référence à "un lieu" - ce qui sous-entend "tout lieu, y compris en dehors de la surface terrestre" - et non à "un Etat" : cela permet de prévenir tout velléité de contournement des règles.
De même, comme vous l'avez peut-être remarqué depuis le début de cet article : le RGPD ne protège pas uniquement les ressortissants européens, mais bien toute personne physique se trouvant sur le territoire de l'UE (donc y compris les ressortissants d'Etats tiers). C'est là une différence fondamentale avec un certain nombre de lois américaines, lesquelles s'appliquent dès lors que le moindre élément peut être relié de près ou de loin aux intérêts des Etats-Unis (nationalité américaine des personnes ou "origine" américaine des choses impliquées).
Mais en l'espèce, compte tenu notamment des spécificités d'internet, le droit européen prend également la voie de l'extra-territorialité en étendant les dispositions du RGPD aux entités étrangères - y compris lorsqu'elles sont établies en dehors du territoire de l'UE - dès lors que le traitement de données personnelles implique celles d'une personne physique situé sur le territoire de l'UE. Ce faisant, les institutions européennes ont doté ce texte d'une portée effective.
 |
| Le RGPD est susceptible de s'appliquer à tout responsable du traitement de données personnelles, quelle que soit sa localisation |
Le RGPD : quelles obligations pour les entreprises ?
Les entreprises - comme tous les responsables du traitement de données personnelles - doivent respecter le principe de la protection des données personnelles et de la vie privée des personnes physiques et ce, dès la conception d'un projet (= "privacy by design"). Ainsi, les données doivent être identifiées comme étant "à caractère personnel" dès leur entrée dans le système afin de limiter leur accès. De surcroît, cette protection doit être - par défaut - la plus élevée possible (= "privacy" ou "security by default"). Il résulte de cette démarche que seules les données personnelles qui sont strictement nécessaires à la finalité poursuivie peuvent être utilisées.
Il est à noter que le volet "privacy by default" constitue - à notre avis - une obligation de moyens renforcée dès lors que le niveau de sécurité des données assuré par le responsable du traitement ou le sous-traitant doit être "adapté aux risques", et "compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement" (art. 32 du RGPD). En d'autres termes, en cas - par exemple - de piratage des données personnelles d'une personne physique par un tiers, le responsable du traitement ou le sous-traitant supportera la charge de la preuve : il devra démontrer qu'il avait mis tous les moyens en oeuvre compte tenu du niveau de risques afin d'assurer la protection des données personnelles piratées.
Il est à noter que le volet "privacy by default" constitue - à notre avis - une obligation de moyens renforcée dès lors que le niveau de sécurité des données assuré par le responsable du traitement ou le sous-traitant doit être "adapté aux risques", et "compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement" (art. 32 du RGPD). En d'autres termes, en cas - par exemple - de piratage des données personnelles d'une personne physique par un tiers, le responsable du traitement ou le sous-traitant supportera la charge de la preuve : il devra démontrer qu'il avait mis tous les moyens en oeuvre compte tenu du niveau de risques afin d'assurer la protection des données personnelles piratées.
Le respect de ce principe de protection des données se traduit par une obligation d'information à la charge des entreprises. Ainsi, les personnes physiques dont les données personnelles sont traitées doivent :
- être informées de façon claire et conscise des modalités de traitement de leurs données, notamment en ce qui concerne leur durée de conservation et leur exploitation ou non dans le cadre d'un profilage (= analyse des données ayant pour but d'établir le profil d'une personne, notamment à des fins prédictives) ;
- être informées et mises en mesure d'exercer leur droit à l'oubli (art. 17 du RGPD), lequel permet à une personne physique d'obtenir la suppression de ses données personnelles ;
- être informées et mises en mesure d'exercer leur droit à la portabilité de leurs données (art. 20 du RGPD), lequel permet à une personne physique de récupérer ses données personnelles sous un format exploitable.
- être informées et mises en mesure d'exercer leur droit de limitation (art. 18 du RGPD), lequel permet à une personne physique - dans certains cas - de demander la suspension du traitement de ses données personnelles.
Mais de l'objectif de protection renforcée des données personnelles découlent également des obligations relatives à la mise en oeuvre de cette protection : c'est donc tout un process que les entreprises ont du auditer et adapter afin de se mettre en conformité avec les dispositions du RGPD, sans compter les coûts liés aux évolutions éventuellement apportées à leur système d'information.
Ainsi, les entreprises doivent avoir une vision globale de l'ensemble des traitements. Dans les entreprises (i) de plus de 250 salariés, (ii) mais aussi dans celles de moins de 250 salariés dès lors qu'elles sont amenées à traiter régulièrement des données personnelles dans le cadre de leur activité, cette vision globale doit être assurée par un reporting des traitements effectués dans un registre des traitements (= démarche "d'accountability").
En outre, elles devront être en mesure de démontrer à tout moment que les traitements qu'elles effectuent sont conformes à la réglementation. A cet égard, il est à noter que le fait d'adopter un code de bonne conduite ou d'obtenir une certification dans les conditions - respectivement - des articles 40 et 42 du RGPD constitue un indice important sur le niveau de sécurité assuré par le responsable du traitement ou le sous-traitant.
Concernant les traitements jugés "à risque", le responsable du traitement ou le sous-traitant doit réaliser une étude d'impact sur la vie privée des personnes physiques concernées. Celle-ci doit notamment décrire les caractéristiques du traitement, les risques et les mesures adoptées en conséquence. En cas de violation des données personnelles, celle-ci doit être notifiée sans délai aux autorités compétentes (à savoir la CNIL).
Evidemment, vous imaginez bien qu'il est difficilement concevable de demander à un responsable du traitement ou à un sous-traitant de notifier lui-même un incident ! C'est pourquoi il est demandé aux entreprises de désigner un délégué à la protection des données ("data protection officer" ou "DPO"), qui correspond à l'ancien "correspondant informatique et libertés" ou "CIL" : c'est lui qui se chargera de contrôler les process des entreprises et de notifier toute violation du RGPD aux autorités. Exerçant ses missions en toute indépendance vis-à-vis du responsable du traitement ou du sous-traitant, le DPO jouera également un rôle de conseil.
Il nous paraît important d'insister sur le fait que ne sont concernées par cette obligation de notification que les "violations de données à caractère personnel", c'est-à-dire en cas d'une violation de la sécurité entraînant un accès non autorisé aux données, leur perte, leur divulgation etc. Ne sont donc pas visées - comme on a parfois pu le lire - les failles de sécurité (= vulnérabilités dans la sécurité d'un système), qui sont en soi "simplement" constitutives d'un risque : autrement, il est clair que la CNIL recevrait des notifications de la plupart des entreprises ! En revanche, cela n'empêche pas les entreprises de répertorier ces failles dans le registre des traitements. Ce n'est pas une obligation, mais cette pratique constitue un indice sur le niveau de sécurité assuré par le responsable du traitement.
Concrètement, la mise en conformité ("compliance") avec le RGPD se fait par étapes :
Cela fait pas mal d'obligations... mais qu'en est-il des sanctions encourues par le responsable du traitement ou le sous-traitant qui n'est pas "RGPD friendly" ? Là encore, compte tenu de la sévérité des sanctions administratives que le texte prévoit (amendes), force est de constater que les institutions européennes ont souhaité doter le RGPD de moyens à la hauteur de ses objectifs (reste à savoir si la lettre sera suivie d'effets en cas de condamnation).
L'article 83 du RGPD prévoit en effet des amendes administratives d'un montant maximum de :
- 10 millions d'euros ou - pour une entreprise - 2 % du chiffre d'affaires mondial du dernier exercice clos en cas de manquement, notamment, aux obligations liées à la protection des données personnelles dans le cadre des démarches privacy by design et privacy by default.
- 20 millions d'euros ou - pour une entreprise - 4 % du chiffre d'affaires mondial du dernier exercice clos en cas de manquement, notamment, aux droits des personnes physiques prévus par le texte (droit à l'oubli, à la portabilité etc).
Il est à noter que pour chaque type de manquement, le montant maximum de l'amende est le plus élevé des deux montants. Celui-ci sera ajusté en fonction de l'appréciation de certains critères.
On remarque ici une inégalité de traitement entre les entreprises et les entités à but non lucratif (ex : organismes publics, associations à but non lucratif etc) : alors que pour ces dernières l'amende sera dans tous les cas plafonnée à 10 ou 20 millions d'euros selon le type de manquement, les entreprises les plus importantes en termes de chiffre d'affaires pourront se voir infliger une amende beaucoup plus conséquente.
En outre, le fait qu'une entreprise - ou toute autre entité - se voie infliger une amende administrative en raison d'un manquement aux obligations prévues par le RGPD n'exclue pas :
- que sa responsabilité civile soit engagée par les personnes physiques concernées par ces manquements (art. 82 du RGPD),
- que sa responsabilité pénale soit engagée au titre des règles internes de droit pénal d'un ou de plusieurs Etats-membres (art. 84 du RGPD). Sur ce point, le texte vise en particulier les violations non sanctionnées par l'article 83 précité. Cependant, dans la mesure où notre droit interne permet le cumul d'une sanction administrative et d'une sanction pénale à raison des mêmes faits (CE, 29/04/2004, avis n° 370136, position confirmée et précisée par le Conseil constitutionnel), le juge français pourra tout à fait condamner une entreprise à une peine pour des faits qui ont déjà été sanctionnés par une amende administrative.
Ainsi, les entreprises doivent avoir une vision globale de l'ensemble des traitements. Dans les entreprises (i) de plus de 250 salariés, (ii) mais aussi dans celles de moins de 250 salariés dès lors qu'elles sont amenées à traiter régulièrement des données personnelles dans le cadre de leur activité, cette vision globale doit être assurée par un reporting des traitements effectués dans un registre des traitements (= démarche "d'accountability").
 |
| Le RGPD responsabilise les entreprises : en tant que responsables du traitement des données personnelles, elles doivent avoir une vision globale de leurs traitements |
En outre, elles devront être en mesure de démontrer à tout moment que les traitements qu'elles effectuent sont conformes à la réglementation. A cet égard, il est à noter que le fait d'adopter un code de bonne conduite ou d'obtenir une certification dans les conditions - respectivement - des articles 40 et 42 du RGPD constitue un indice important sur le niveau de sécurité assuré par le responsable du traitement ou le sous-traitant.
Concernant les traitements jugés "à risque", le responsable du traitement ou le sous-traitant doit réaliser une étude d'impact sur la vie privée des personnes physiques concernées. Celle-ci doit notamment décrire les caractéristiques du traitement, les risques et les mesures adoptées en conséquence. En cas de violation des données personnelles, celle-ci doit être notifiée sans délai aux autorités compétentes (à savoir la CNIL).
Evidemment, vous imaginez bien qu'il est difficilement concevable de demander à un responsable du traitement ou à un sous-traitant de notifier lui-même un incident ! C'est pourquoi il est demandé aux entreprises de désigner un délégué à la protection des données ("data protection officer" ou "DPO"), qui correspond à l'ancien "correspondant informatique et libertés" ou "CIL" : c'est lui qui se chargera de contrôler les process des entreprises et de notifier toute violation du RGPD aux autorités. Exerçant ses missions en toute indépendance vis-à-vis du responsable du traitement ou du sous-traitant, le DPO jouera également un rôle de conseil.
Il nous paraît important d'insister sur le fait que ne sont concernées par cette obligation de notification que les "violations de données à caractère personnel", c'est-à-dire en cas d'une violation de la sécurité entraînant un accès non autorisé aux données, leur perte, leur divulgation etc. Ne sont donc pas visées - comme on a parfois pu le lire - les failles de sécurité (= vulnérabilités dans la sécurité d'un système), qui sont en soi "simplement" constitutives d'un risque : autrement, il est clair que la CNIL recevrait des notifications de la plupart des entreprises ! En revanche, cela n'empêche pas les entreprises de répertorier ces failles dans le registre des traitements. Ce n'est pas une obligation, mais cette pratique constitue un indice sur le niveau de sécurité assuré par le responsable du traitement.
Concrètement, la mise en conformité ("compliance") avec le RGPD se fait par étapes :
 |
| La mise en conformité avec le RGPD vue sous un angle "projet" |
Cela fait pas mal d'obligations... mais qu'en est-il des sanctions encourues par le responsable du traitement ou le sous-traitant qui n'est pas "RGPD friendly" ? Là encore, compte tenu de la sévérité des sanctions administratives que le texte prévoit (amendes), force est de constater que les institutions européennes ont souhaité doter le RGPD de moyens à la hauteur de ses objectifs (reste à savoir si la lettre sera suivie d'effets en cas de condamnation).
L'article 83 du RGPD prévoit en effet des amendes administratives d'un montant maximum de :
- 10 millions d'euros ou - pour une entreprise - 2 % du chiffre d'affaires mondial du dernier exercice clos en cas de manquement, notamment, aux obligations liées à la protection des données personnelles dans le cadre des démarches privacy by design et privacy by default.
- 20 millions d'euros ou - pour une entreprise - 4 % du chiffre d'affaires mondial du dernier exercice clos en cas de manquement, notamment, aux droits des personnes physiques prévus par le texte (droit à l'oubli, à la portabilité etc).
Il est à noter que pour chaque type de manquement, le montant maximum de l'amende est le plus élevé des deux montants. Celui-ci sera ajusté en fonction de l'appréciation de certains critères.
On remarque ici une inégalité de traitement entre les entreprises et les entités à but non lucratif (ex : organismes publics, associations à but non lucratif etc) : alors que pour ces dernières l'amende sera dans tous les cas plafonnée à 10 ou 20 millions d'euros selon le type de manquement, les entreprises les plus importantes en termes de chiffre d'affaires pourront se voir infliger une amende beaucoup plus conséquente.
En outre, le fait qu'une entreprise - ou toute autre entité - se voie infliger une amende administrative en raison d'un manquement aux obligations prévues par le RGPD n'exclue pas :
- que sa responsabilité civile soit engagée par les personnes physiques concernées par ces manquements (art. 82 du RGPD),
- que sa responsabilité pénale soit engagée au titre des règles internes de droit pénal d'un ou de plusieurs Etats-membres (art. 84 du RGPD). Sur ce point, le texte vise en particulier les violations non sanctionnées par l'article 83 précité. Cependant, dans la mesure où notre droit interne permet le cumul d'une sanction administrative et d'une sanction pénale à raison des mêmes faits (CE, 29/04/2004, avis n° 370136, position confirmée et précisée par le Conseil constitutionnel), le juge français pourra tout à fait condamner une entreprise à une peine pour des faits qui ont déjà été sanctionnés par une amende administrative.
 |
| Attention : les sanctions prévues par le RGPD sont autrement plus importantes que celles qui étaient prévues jusqu'alors... |
Le RGPD : concrètement, qu'est-ce que ce texte va changer ?
Il faut bien le reconnaître, le RGPD constitue une avancée importante en matière de protection des données personnelles :
- le texte intègre une dimension importante qu'est la responsabilisation des entreprises : il ne s'agit donc pas simplement de sanctionner, mais de faire en sorte d'intégrer cette responsabilité dans la culture des entreprises ;
- le texte a vocation à s'appliquer quelle que soit la localisation du responsable du traitement des données ou du sous-traitant par le jeu des règles du droit international public, avec un bémol toutefois : le Brexit. En effet, à compter du 30 mars 2019, le Royaume-Uni sera considéré comme un Etat tiers. Or, cet événement vient contrarier l'efficacité du RGPD à cet égard ;
- les sanctions prévues par le texte sont à la hauteur des objectifs poursuivis : couplées avec la "sanction médiatique" - en témoigne l'affaire Facebook - elles sont en effet suffisamment importantes pour dissuader même les acteurs comme Google, Apple, Facebook, Amazon ou Microsoft (note : les "GAFAM").
Là où le bât blesse, c'est que le texte intègre aussi une notion non évoquée dans nos développements précédents : "l'intérêt légitime" du responsable du traitement. Apprécié en fonction des "attentes raisonnables" de l'utilisateur, compte tenu du contexte de collecte des données, l'intérêt légitime du responsable du traitement permet à celui-ci de ne pas recueillir le consentement de l'utilisateur dès lors que cet intérêt prévaut sur "les intérêts et les libertés ou droits fondamentaux de la personne concernée".
Sujet à interprétation et intégrant lui-même plusieurs critères somme toute très subjectifs, il est évident que cet "intérêt légitime" constituera le nerf de la guerre dans le cadre de futures procédures.
Adrien VAGINAY | Droit et Stratégie des Entreprises
Commentaires
Enregistrer un commentaire
Cet article vous a plu ? Votre avis nous intéresse !