L’esprit du RGPD : des dispositions larges pour une réglementation en faveur de la protection des personnes

Le Règlement Général sur la Protection des Données (RGPD) a été adopté par le Parlement européen le 14 avril 2016 et il est entré en application le 25 mai 2018. Il remplace la Directive de 1995 relative au même sujet.

Du fait de l’expansion sans précédent d’Internet, cette Directive a rapidement été rendue ineffective. Après un appel à contribution du 8 novembre 2010 au 15 janvier 2011[1], le projet de règlement est déposé par la Commission européenne devant le Parlement européen le 25 janvier 2012. Il aura fallu quatre années de négociation et près de 4 000 amendements[2] pour élaborer ce Règlement.

Le RGPD contient des dispositions générales ainsi que des droits au profit des personnes concernées qui démontrent que l’esprit de cette réforme est de faire respecter le droit européen de la protection des données de façon très extensive. Le corollaire de ce parti pris est naturellement l’accroissement des obligations des responsables de traitement et de leurs sous-traitants. Ceci sera étudié dans un second article consacré au RGPD.

Les dispositions générales RGPD : une application extensive et des définitions compréhensives

Le champ étendu d’application du RGPD

Tout d’abord, il apparaît dès l’article 1er du Règlement, intitulé « Objet et objectifs », que l’angle d’approche de cette réforme est celui de la protection des personnes physiques. Tel était déjà le cas de la Loi Informatique et Liberté de 1978[3].

Cette approche de la protection des données des personnes physiques par les autorités européennes a des conséquences considérables puisque c’est ce qui explique l’extraterritorialité de cette protection. En effet, elle s’applique même aux données stockées à l’extérieur de l’Union européenne (UE), pourvu que la personne concernée est ressortissante de l’UE.

De plus, cette protection a vocation à être la plus large possible ; il s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (Art. 2 du RGPD). En d’autres termes, elle s’applique à tout traitement de données, qu’il soit automatisé, partiellement automatisé ou non automatisé.

Les seules exclusions contenues dans l’article concernent :

  • Les activités qui ne rentrent pas dans le champ de compétence de l’UE ;
  • Les activités de politiques étrangères et de sécurité commune (Chapitre II du Titre V du Traité sur l’UE) ;
  • Les activités strictement personnelles ou domestiques ;
  • Les activités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Comme nous l’avons laissé entendre plus haut, le champ d’application territorial est tout aussi large que le champ d’application matériel. En effet, le Règlement est applicable

  • Dans le cas où les activités du responsable de traitement ou du sous-traitant se déroulent sur le territoire de l’UE.
  • Dans le cas où sont traitées des données personnelles de ressortissants de l’UE ayant pour finalité l’offre de bien ou de service à titre gratuit ou onéreux ou bien le suivi du comportement de ces personnes.
  • En dehors de ces situations, dans le cas où le droit d’un État membre s’applique.

Les définitions compréhensive des notions essentielles du RGPD

L’article 4 est consacré aux définitions des notions incontournables du RGPD. C’est d’ailleurs ce qui rend la lecture plutôt aride de ce Règlement. La matière est épineuse car elle mobilise d’autres connaissances que des connaissances juridiques, telles que des connaissances informatiques. Mais son langage est également obscur à tout juriste. Il est donc inévitable de passer par une liste des définitions primordiale, il sera renvoyé au texte du Règlement pour les autres.

Donnée personnelle. « Toute information se rapportant à une personne physique identifiée ou identifiable ». Alors, tout ensemble d’information permettant l’identification d’une personne physique est une donnée personnelle à protéger. A ce titre, le texte précise qu’une donnée personnelle peut être un identifiant, « un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Personne physique identifiable. C’est « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité ». Il s’agit en réalité de toute personne physique, également désignée « personne concernée ».

Traitement. Il s’agit de « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ». Toute opération effectuée sur une donnée personnelle est qualifiée de traitement. Pour preuve, le Règlement fait référence à une longue énumération (non exhaustive) de traitements  « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». On voit mal ce qui pourrait s’ajouter à cette liste. Cependant, on comprend bien que le régulateur européen a souhaité parer à toute future évolution technologique en ne limitant pas l’application de son droit à ce qui est existant.

Fichier. « Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

Violation de donnée. Une violation de donnée est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». Il s’agit, en réalité, de tout traitement qui ne serait pas justifié par une finalité qui a été communiquée à la personne concernée et pour lequel celle-ci n’aurait pas consenti.

Responsable du traitement. « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Sous-traitant. « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Les définitions sont encore une fois générales et on se rappelle que le Droit de l’Union ne prend pas en compte la distinction entre le secteur privé et le secteur public, les obligations qu’il pose ont pour sujet toute entité.

La plupart des notions que nous venons de décrire préexistaient au RGPD. Les apports de celui-ci tiennent au changement de perception de la responsabilité des responsables de traitement et sous-traitants.

La personne concernée au centre du dispositif de protection des données personnelles

Les principes sous-jacents à la  protection des données

Le traitement licite, loyal et transparent des données personnelles. La licéité du traitement telle que définie à l’Art. 6 est le fondement sur lequel ce traitement repose. Il existe plusieurs fondements à un traitement pour qu’il soit licite :

  • Soit la personne concernée a consenti au traitement de ses données ;
  • Soit le traitement est nécessaire pour l’exécution d’un contrat ;
  • Soit le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • Soit le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.

Si le traitement n’est pas justifié par l’une des situations précitées, il est illicite. La loyauté du traitement renvoi au principe selon lequel les données doivent être directement collectées auprès de la personne concernée. La transparence du traitement renvoie à l’obligation d’information du responsable de traitement  (cf. infra).

La ou les finalité(s) déterminée(s), explicite(s) et légitime(s) du traitement. La détermination des finalités implique que celles-ci soient prédéfinies avant le traitement et même avant la collecte des données. En effet, lorsque le consentement de la personne concernée est nécessaire, le responsable du traitement doit l’informer des finalités du traitement. De plus, les finalités doivent être aisément compréhensibles par la personne concernée. Enfin, elles doivent pouvoir expliquer la collecte et le traitement qui est fait aux données.

Le principe de minimisation des données. Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour le traitement. Ces données doivent également être exactes et mises à jour.

La durée de conservation proportionnée à la finalité. Il est fait exception à ce principe pour les finalités archivistes, de recherche scientifique, historique ou statistique ou dans l’intérêt public.

La sécurisation des données. Les données doivent être sécurisées de manière à éviter tout risque de violation.

Le principe de responsabilité. Le responsable de traitement est responsable du respect de ces principes ainsi que de démontrer que ces principes ont été respectés. Lorsqu’il sous-traite ces données, son sous-traitant est co-responsable avec lui, la sous-traitance n’opère donc pas de transfert de responsabilité (Art. 28 f) et h) du RGPD). En corollaire de ce principe de responsabilité, on note la suppression des formalités préalables qui devaient être effectuées auprès de la CNIL. Ce principe de responsabilité est également appelé “accountability”.

Les nombreux droits des personnes concernées

L’essentiel des droits des personnes concernées était déjà en vigueur sous l’égide de la Loi Informatique et Liberté de 1978. Nous allons ici tous les récapituler.

La transparence (Art. 12 du RGPD). L’exigence de transparence dont doivent faire l’objet le traitement, ses finalités et les droits de la personne concernée fonde l’exercice par la personne concernée de ses droits (droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition). Les Articles 13 et 14 énumèrent les informations à fournir à la personne concernées lorsque ses données sont collectées directement auprès d’elle (Art. 13 du RGPD) ou par l’intermédiaire d’un tiers (Art. 14 du RGPD).

Le droit de rectification (Art. 16 du RGPD) implique également le droit à compléter les données communiquées. Il est intrinsèquement lié au principe selon lequel les données collectées doivent être exactes et tenues à jour. Le responsable de traitement ne peut pas refuser de corriger les données.

Le responsable ne peut pas non plus refuser la suppression (Art. 17 du RGPD) des données lorsque :

  • Le traitement est illicite ;
  • La personne retire son consentement lorsque celui-ci fonde le traitement ;
  • Les données ne sont plus nécessaires aux finalités ou celles-ci ont changé ;
  • La personne concernée s’oppose au traitement sans qu’il n’existe de motif légitime impérieux pour y procéder ;
  • Une obligation légale l’exige ;
  • La personne concernée était âgée de moins de 16 ans lors de la collecte (ou autre limite d’âge telle que prévue par le droit national).

Le responsable de traitement est également responsable de l’effacement des données par ses sous-traitants. Contrairement au droit de rectification, ce droit à l’effacement souffre quelques exceptions (cf. Art. 17 du RGPD).

Le droit à la limitation du traitement (Art. 18 du RGPD) implique que chaque traitement doit être consenti par la personne concernée (à l’exception de la conservation des données). L’exercice de ce droit doit être garanti lorsque :

  • L’exactitude des données est contestée ;
  • Le traitement est illicite et la personne concernées s’oppose à l’effacement des données ;
  • Les données ne sont plus nécessaires aux finalités du traitement mais la personne concernée a besoin que le responsable de traitement les conservent en vue de la constatation, l’exercice ou la défense d’un droit en justice ;
  • La personne concernée s’est opposé au traitement, le temps de décider si ses motifs prévalent sur les motifs légitimes du responsable de traitement.

Le droit à la portabilité des données (Art. 20 du RGPD) suppose le transfert des données dans un format structuré, couramment utilisé et lisible par machine. Il est mis en oeuvre par le responsable de traitement qui transfère les données soit à la personne concernée pour qu’elle les communique à un nouveau responsable de traitement soit directement au nouveau responsable de traitement. Ceci est possible lorsque le traitement est fondé sur le consentement et lorsque les données sont traitées à l’aide de procédés automatisés.

Le droit d’opposition est le droit de refuser tout traitement sur ses données personnelles. L’Article 21 du Règlement précise que ce droit peut concerner les profilages et les prospections commerciales.

Enfin, en vertu de l’Article 22 du Règlement, toute personne concernée peut refuser de faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, notamment le profilage.

Ces droits qui se trouvent dans le chef de personnes concernées au 25 mai 2018 sont tout autant d’obligations à la charge des responsables de traitement et de leurs sous-traitants.

Laëtitia PEZZUCCHI, Etudiante en Master 2 Droit et Ethique des Affaires

[1] https://www.afcdp.net/Revision-de-la-Directive-Appel-a

[2] https://www.village-justice.com/articles/RGPD-Reglement-General-sur-Protection-des-Donnees-qui-bouleverse-Loi,23774.html

[3] En ce sens Décision CNIL Google 2015 CITER