RGPD : Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données, ou RGPD, appliqué en France depuis 25 mai 2018 et directement issu du droit européen a modifié différents aspects dans la création des sites web.

Le Règlement Général sur la Protection des Données

Ce texte a été rédigé par Maître Chistophe Landat - Avocat au barreau de Montpellier et spécialiste du droit du numérique.

Le RGPD a vocation à uniformiser au sein de l’Union Européenne la réglementation en matière de protection des données personnelles. Jusqu’ici en France on connaissait la loi du 6 janvier 1978, une des plus anciennes législations maintes fois modifiée cependant et dont le premier alinéa de l’article pose un principe qui mériterait assurément sa place dans une déclaration des droits de l’homme actualisée : « L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ».

Pour mémoire c’est notamment à un petit scandale datant de 1974 qu’on doit cette loi. L’idée germe au Ministère de l’Intérieur de croiser les fichiers administratifs français. Le projet, pour l’anecdote s’intitule SAFARI (nom utilisé par Apple pour baptiser son navigateur sauf qu’en l’espèce c’est un acronyme : système informatisé pour les fichiers administratifs et le répertoire des individus). Il s’agit de la mise en place de fichiers interconnectés à l’aide du numéro Insee.

Ce projet est révélé en 1974 par un article du journal Le Monde. Le scandale débouche, en 1978, sur l’adoption de la loi informatique et libertés.

Le RGPD est un un règlement européen en germe depuis plus de 4 ans. A l’inverse d’une directive il s’appliquera directement à tous les Etats membres, sans besoin d’une transposition en droit interne qui, elle, peut parfois prendre plusieurs années et moduler de manière importante le texte.

À quoi/qui s’applique le RGPD ?

A quoi/qui s’applique le rgpd ?

Le RGPD s’applique aux traitements de données à caractère personnel automatisé en tout ou partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Qu’est-ce qu’une donnée a caractère personnel ?

Au sens du nouveau règlement européen constitue des données à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable » laquelle est « réputée être une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Le traitement quant à lui est définit comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utili­ sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­ chement ou l'interconnexion, la limitation, l'effacement ou la destruction; »

Point relativement important et qui prête souvent à confusion : seules les personnes physiques bénéficient des protections prévues pour le traitement des données personnelles. Les personnes morales (sociétés, associations…) ne bénéficient de ces dispositions protectrices.

La relation en BtoB, dès lors qu’elle n’a pas vocation à amener à la gestion de données de personnes physiques ne générera donc pas d’obligations relevant de cette législation.

Cependant, même pour les personnes physiques, il existera un certain nombre d’exceptions autorisant le traitement des données à caractère personnel, comme par exemple les politiques relatives aux contrôles d’identité aux frontières, à la sécurité, à la justice etc… De manière générale toutes les politiques relevant non de l’Union Européenne mais des seuls états membres échappera aux contraintes du règlement européen.

De même les traitements effectués par une personne physique dans le cadre de sa vie privée (carnet de contacts par exemple) échappent eux aussi aux exigences du règlement. Il est cependant à noter que les fournisseurs de services logiciel en mode SAAS notamment, fournissant les outils d’un tel traitement, tel que les réseaux sociaux (Facebook, Twitter…) seront tenus au respect du RGPD.

Des effets extraterritoriaux

Le RGPD consacre le principe d’extraterritorialité : toute collecte de données sur le territoire de l’union européenne rendra de facto obligatoire le respect du règlement par le responsable du traitement ou son sous-traitant, et ce, que le traitement des données soit effectué sur le territoire de l’Union Européenne ou non.

De même il sera tenu compte de la présence sur le territoire de l’Union Européenne des personnes concernées par la collecte et le traitement des données : dès lors qu’elles seront présentes sur le sol d’un pays membre le RGPD s’appliquera sans même que l’on tienne compte de la personne concernée ou de leur nationalité : ainsi même une personne non-nationale d’un des 27 pays membres bénéficiera de cette protection :

« – lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’UE, qu’un paiement soit exigé ou non desdites personnes ;
– lorsque de telles activités sont liées au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE. »

Un texte destiné aussi a faciliter les échanges de données

Le RGPD a une forte connotation économique. En signant ce règlement l’UE envoie un signal fort aux entreprises : oui Bruxelles a parfaitement compris l’importance économique des données personnelles, ce pétrole numérique dont tous les acteurs du secteur connaissent le poids financier colossal.

Ainsi le RGPD vient poser le principe du libre flux des données au sein de l’UE : le considérant 13 du texte le dit de manière très explicite :

« Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l'Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. (…).

Rien d’illogique si l’on considère que l’espace économique européen garantie dans ses principes fondamentaux la libre circulation des personnes et des biens. Il en sera de même des données personnelles, dès lors que le respect du règlement est assuré.

Ce qui ne change pas

Le socle fondateur et plutôt bien connu des acteurs des premières législations de protection des données personnelles demeure : finalité du traitement des données personnelles, loyauté de leur collecte, licéité de leur collecte, proportionnalité du traitement aux besoins des entités collectrices, protection des données sensibles et droits des personnes concernées sont toujours présents.

La fin des formalites prealables

Il s’agit d’un des plus grands bouleversements de ce nouveau texte : désormais le responsable du traitement ne sera plus contraint d’effectuer des démarches préalables notamment déclaratives mais devra en revanche faire face à une responsabilité particulièrement accrue en cas d’engagement de faute (il existera des exceptions).

Le responsable du traitement devra être en mesure d’assurer le respect de la réglementation relative à la collecte des données non pas au jour de la déclaration - qui n’existera plus - mais bien pendant toute la durée du traitement.

Ce point est particulièrement important car il change le paradigme en vigueur jusque là : à l’allégement des formalités préalables répondra un régime de sanctions bien plus lourd.

Le delegue a la protection des donnees personnelles

On l’appellera aussi souvent le DPO surtout dans ces entreprises où les acronymes anglo-saxons pullulent déjà : CTO, CEO, CFO, COO… Data Protection Officer : voilà ce que signifie DPO. Il vient remplacer le CIL (Correspondant Informatique et Liberté).

L’évolution est cependant importante par rapport au CIL car le DPO va devenir le personnage clé du respect du règlement européen au sein des entités concernées par cette nouvelle réglementation. Le DPO devient l’Alpha et l’Omega du respect de la réglementation : le règlement le précise : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. ».

On note au passage que le texte évoque une désignation effectuée « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ». Il ne s’agira donc pas de désigner le premier venu mais de s’assurer que le DPO répond bien à ces exigences de compétences.

Outre l’obligation qu’auront les responsables du traitement et leur sous-traitant de fournir les outils nécessaires à l’accomplissement de sa mission, sa désignation pourra être obligatoire alors que celle du CIL demeurait en tout état de cause facultative.

Les trois situations où la désignation d’un DPO sont obligatoires sont les suivantes :

  • « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. »

Dans les autres situations la désignation du DPO ne sera que facultative mais on note toutefois une très nette incitation du texte pour que cette désignation intervienne. Sans doute doit-on d’ailleurs considérer que les responsables de traitement et leur sous-traitant auront tout intérêt à confier la gestion de leur obligation à un DPO.

Mais quid du coût représenté par de tels services ? Qu’il soit par ailleurs gérés en interne ou externalisé ?

La pratique des CIL demeurait, quoi qu’on en dise, relativement marginale en France. On sait toujours mal aujourd’hui combien pouvait coûter les servies d’un CIL compétent. On ne leur saura guère plus avec le DPO.

En tout cas, pas toute de suite. Puisqu’on peut parier sur un développement notable de cette activité dès lors que l’un des apports majeur du nouveau texte réside dans le dispositif de sanctions Ô combien dissuasif mis en place.

La mise en place de registres quasiment obligatoires pour tous

Là encore, ceux qui avaient recours aux services d’un CIL ne seront pas dépaysés puisque ce dernier était déjà tenu de tenir des registres relatifs aux traitements réalisés par l’entité pour laquelle il assurait ses missions.

Mais les choses évoluent dans le nouveau texte.

Un seuil de 250 employés sert de référentiel pour la mise en place de ces registres des activités de traitements par l’entité concernée.

Mais en réalité, on peut considérer que ces registres vont devenir obligatoires pour toute entité opérant des traitements de données personnelles. En effet, ces registres sont obligatoires dans 3 cas, même pour les entreprises de moins de 250 salariés.

Et en l’occurrence, l’une des ces conditions prévoit que les registres sont obligatoires dès lors que « le traitement n’est pas occasionnel » …

Difficile de ne pas y voir une certaine malice juridique quand on considère l’ADN économique de la mise en place des traitements. N’aurait-il pas été plus simple de prévoir que ces registres étaient de facto obligatoires ? En pratique, personne ou presque ne devrait y échapper.

Les deux autres exceptions imposant la tenue de registre concerne, pour mémoire, le traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées et le traitement portant sur certaines catégories de données (données sensibles ou 
données relatives à des condamnations pénales et à des infractions).

Quant à la teneur de ces registres, voilà ce que le règlement imposera d’y faire figurer :

  • nom et coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et données personnelles ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées ;
  • les transferts de données personnelles vers un pays tiers ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données :
  • une description générale des mesures de sécurité techniques et organisationnelles.

Un devoir d’alerte de la violation des données personnelles

Le responsable du traitement et le sous-traitant seront tenus de notifier toute violation de données à la CNIL et, dans certains cas, ils devront également informer les personnes concernées par ces violations.

Cette notification devra intervenir dans les meilleurs délais et en tout état de cause dans les 72 heures de la découverte.

Cette notification répond à des exigences de précisions et le responsable du traitement doit :

  • décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • décrire les conséquences probables de la violation de données à caractère personnel;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Bigre… on souhaite bon courage aux sociétés amenées à devoir traiter de telles violations et on ne peut s’empêcher de penser que ces exigences risquent de faire les beaux jours des cabinets d’avocats spécialisés sur ces thématiques tant la lourdeur des obligations apparaît parfois intenable.

Mise en place d’analyses d’impact des traitements

Voilà un élément tout à fait novateur et fondamental due RGPD : l’analyse d’impact.

Encore une fois on se retrouve dans une situation où les doutes planant sur la notion font que l’entité en charge du traitement fera mieux de ne pas se poser la question de savoir si elle doit mener cette analyse… mais la faire tout simplement sans se poser de questions !

Voilà ce que dit l’article 35.1 du règlement : « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

Force est de constater que l’analyse à mener sera de nature technico-juridique… Un profil rare en l’occurrence chez les juristes en général et chez les avocats en particulier.

Certes on pourra normalement compter sur les conseils de la CNIL qui devrait normalement établir et publier « une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise » de même qu’ « une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise ».

Reste qu’une période de flottement sera probablement de rigueur avant que la notion ne soit parfaitement maîtrisée.

Consécration du droit à l’oubli

Toute personne qui en fera la demande sera éligible à l’effacement de l’ensemble des données la concernant sous certaines conditions. L’article 17 du règlement pose les conditions suivantes :

  • « les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
  • la personne concernée retire le consentement sur lequel est fondé le traitement, (…) et il n'existe pas d'autre fondement juridique au traitement;
  • la personne concernée s'oppose au traitement (…) et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement (…);
  • les données à caractère personnel ont fait l'objet d'un traitement illicite;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;
  • les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information (…). »

Toutefois ce droit n’est pas absolu et sous certaines conditions, il pourra ne pas être fait droit à cette demande. On citera simplement à titre d’exemple l'exercice du droit à la liberté d'expression et d'information.

L’innovation du droit à la portabilité des données

On connaissait le principe de portabilité du numéro de téléphone, on pourra désormais bénéficier avec le RGPD de la portabilité… de ses données à caractère personnel ! C’est une autre évolution majeure de la réglementation.

L’article 20 l’explique de manière très clair : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…) ».

Cette notion fait furieusement écho à la notion de réversibilité dans les contrats de licence logicielle en mode SAAS.

La personne concernée pourra même exiger le transfert de ces données vers une autre entité ! Voilà qui risque de faire s’étrangler pas mal d’entreprises qui font leurs chiffres sur les données personnelles.

Mais en pratique cependant, qui ira formuler de telles demandes ?...

Sanctions : « jusqu'a 20 000 000 eur ou, dans le cas d'une entreprise, jusqu'a 4 % du chiffre d'affaires annuel mondial total de l'exercice precedent, le montant le plus eleve etant retenu »

Cette approche succincte (impossible d’être exhaustif au risque de devenir indigeste) n’aurait pas lieu d’être sans évoquer « la mère des modifications» en matière de traitement des données à caractère personnel : en l’espèce, il s’agit des sanctions.

Jusqu’à présent si on devait caricaturer la situation des sanctions en France, on citerait ce passage du sketch de Coluche « au bout de 30 avertissements, on peut avoir un blâme ! Et au bout de 30 blâmes, on passe devant un conseil de discipline… ».

Le montant des amendes, même les plus fortes rendait la notion de coercition relativement supportable notamment pour les grands groupes. Ainsi le record de la CNIL est-il constitué par une amende de 150 000€ infligé à FACEBOOK. A l’annonce de cette sanction Mark Zuckerberg aurait tellement rit qu’il s’en serait coincé la mâchoire selon certaines indiscrétions.

Tel ne sera plus le cas dès le moi de mai 2018…

En effet, le montant des amendes administratives pourra s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entité concernée par la violation.

On rejoint là l’esprit des sanctions dont on entend parler régulièrement en matière notamment d’ententes commerciales illicites (comme en leur temps les grands opérateurs téléphoniques français) avec des sanctions de plusieurs milliards d’euros.

Si on demandait à l’avocat que je suis de résumer en un point le RGPD, voilà donc celui que j’utiliserai : le nouveau régime de sanctions. Toute simplement parce que c’est lui qui va donner pleinement vie à la protection des données à caractère personnel en Europe.

L’an 1 de cette protection, c’est le 25 mai 2018 qu’il se produira parce que les entreprises et notamment les plus gourmandes en traitement, donc les plus grosses, sauront que le risque lié à la violation des règles sera majeur.

L’esprit du texte est parfaitement exprimé à travers l’article 83.1 : « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. »

Qui s’y frotte s’y pique ! Voilà donc l’idée et la force de ce nouveau texte. Sa lecture, à l’aune de ces sanctions deviendra assurément plus attentive même chez les plus revêches.

En résumé et pour conclure, nul doute que la protection des données à caractère personnel va prendre un essor considérable dans les mois et les années qui viennent. De quoi donner des idées à de nouveaux acteurs économiques qui y verront des opportunités de créations de nouveaux services à destinations des entités concernées.

Maître Chistophe Landat - Avocat au barreau de Montpellier et spécialiste du droit du numérique.

Quelques chiffres

15

Années

d'expérience

250

Projets web

accompagnés

66

Formations

réalisées

4

Consultants

experts & formateurs

Ils nous font confiance

Nos références clients en AMO, conduite de projets web, audits, formations & webmarketing

Toutes nos références

Faites auditer votre site web

Faites gracieusement évaluer le potentiel webmarketing & SEO de votre site web...

Tous les champs sont obligatoires

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Natural net pour nos offres et démarches commerciales. Elles sont conservées pendant 36 mois et sont destinées à :
- Natural-net (www.natural-net.fr) en qualité de propriétaire du site web et récipiendaire des formulaires, 
- Kiubi (www.kiubi.com) en qualité d'opérateur technique du site web,
- Mailchimp (mailchimp.com) en qualité d'opérateur technique des mailings et lettres d'informations, 
- OVH (www.ovh.com) en tant qu'hébergeur de notre site web,
- Google Inc. (Google Drive) en tant qu'outil de stockage et sauvegarde des données.
- Monday (https://www.youday.fr/) en tant que CRM (Gestion de relation client).

Conformément aux article 15 à 22 RGPD, concernant les données que nous détenons sur vous vous disposez des droits suivants : 
- droit d’accès (article 15 du RGPD)
- droit de rectification (article 16 du RGPD)
- droit d’effacement  (article 17 du RGPD)
- droit à la limitation du traitement  (article 18 du RGPD)
- droit de notification des = rectifications,  effacements, limitation  (article 19 du RGPD)
- droit à la portabilité des données  (article 20 du RGPD)
- droit d’opposition  (article 21 du RGPD)
- droit de ne pas faire l’objet d’un profilage ( (article 22 du RGPD) 

Vous pouvez exercer ces droit en contactant : GETAVOCAT - DPO de Natural-net : Maître Christophe LANDAT, 18 rue de la République 34000 Montpellier.
Nous vous informons de l’existence de la liste d'opposition au démarchage téléphonique « Bloctel », sur laquelle vous pouvez vous inscrire ici : https://conso.bloctel.fr/.

Remonter

5.0