Protection des données personnelles
Le règlement européen sur la protection des données personnelles a été adopté le 27 avril 2016. Il est directement applicable dans notre corpus légal à compter du 25 mai 2018. Vous avez une année pour prendre la mesure des adaptations nécessaires à mettre en œuvre pour vous y conformer ! Qu’attendez-vous ?
Données personnelles : les enjeux et les textes
I. LES ENJEUX
Administrations publiques, collectivités locales, écoles, associations, cabinets d’avocats, études de notaires, compagnies d’assurance, experts-comptables, commerçants et prestataires de services quelque que soit la taille de leur entreprise…. Nous sommes tous concernés, nous collectons tous des données personnelles sur nos contribuables, nos salariés, nos partenaires, nos clients…. La place grandissante de l’informatique dans toutes les sphères de notre société entraîne la production, le traitement et la dissémination d’un nombre croissant de données personnelles.
Le développement des échanges a rendu la collecte d'informations personnelles utile et nécessaire, voire obligatoire dans certains cas, afin de mieux appréhender les besoins des clients et d'améliorer les offres proposées (développement du SAV par exemple).
Avec les services et outils numériques, on peut collecter automatiquement, systématiquement des données sur les personnes, les stocker, les diffuser, les traiter : la personne est de plus en plus transparente.
Les données ont une valeur économique : elles sont vendues, achetées. Tout cela se fait souvent à l’insu des personnes.
Ces informations permettent de noter les personnes, de profiler les gens.
Ainsi, les sociétés de vente par correspondance ne demandent pas forcément l’âge des acheteurs mais le déduisent, de manière exacte dans 85 % des cas, en fonction de leur prénom (tables tenues par l’INSEE très fines : prénoms par date, par région…).
La bonne gestion des données personnelles des consommateurs/ des citoyens est à la fois un enjeu de confiance et de compétitivité. Elle offre la possibilité de renforcer la qualité de la relation, en permettant une plus grande personnalisation, et donc une meilleure prise en compte des attentes des personnes.
Il est important de protéger les données à caractère personnel collectés car certaines personnes n'ont pas forcément conscience des conséquences que peut avoir la communication de leurs données personnelles du fait du détournement d'utilisation qui pourrait en être fait, ni de l'atteinte possible à leurs libertés.
La diffusion de données personnelles peut exposer les personnes à des risques. Or, les comportements abusifs de certaines entreprises ont des répercussions néfastes sur l’ensemble des professionnels ayant recours à des technologies modernes, en provoquant de la méfiance.
Par conséquent, pour renforcer la confiance des personnes, les entreprises / administrations ont tout intérêt à mettre en œuvre des bonnes pratiques dans ce domaine, ce qui contribue à améliorer leur image et à favoriser les échanges.
II. LES TEXTES
A l’origine, on a tenté de protéger les données relatives aux personnes par le droit commun, qui n’était pas adapté :
La protection de la vie privée (article 9 du Code civil) : notion difficile à appréhender et ne couvrant pas toutes les données personnelles
Le secret des correspondances privées : limité aux échanges entre deux personnes privées, non applicable à la collecte de données dans un autre cadre.
On s’est rapidement aperçu que cette démarche n’était pas la plus efficace et comportait des limites. S’est fait ressentir le besoin d’avoir des règles de protection des droits et libertés des personnes adaptées aux réalités du monde numérique. On voit apparaître une nouvelle notion : le droit de la protection des données personnelles.
La loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 (suite à une directive du 24 octobre 1995)
La France s’est dotée, parmi les premiers pays dans le monde, d’une réglementation : la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
La loi de 1978 a été réécrite par la loi du 6 août 2004. Elle ne l’a pas remplacée et donc la loi de 1978 reste le texte de base (on dit « loi de 1978 modifiée par la loi de 2004 »).
La loi de 2004 transpose une directive européenne du 24 octobre 1995 – directive cadre, générale (disparités trop importantes entre les pays européens pour protéger les données personnelles). Elle s’est beaucoup inspirée de la loi française.
Le règlement européen du 27 avril 2016 (RGDP)
Le règlement remplace la directive sur la protection des données de l'UE, qui date de 1995 et vise à créer un ensemble de règles uniformes à travers l'UE adaptées à l'ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens et entreprises dans le marché unique du numérique.
Plus précisément, la réforme de la protection des données poursuit trois objectifs :
Renforcer les droits des personnes, et donner à tous les citoyens de l’UE les moyens de reprendre le contrôle de leurs données personnelles ;
Responsabiliser les acteurs (responsables de traitement et sous-traitants), simplifier les formalités en unifiant le contexte réglementaire et faciliter la circulation des données personnelles ;
Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Pour ce faire, le règlement met à jour et modernise les principes inscrits dans la directive de 1995 sur la protection des données afin de garantir le droit à la vie privée : renforcer les droits individuels et le marché intérieur de l'UE, garantir une mise en œuvre plus stricte des règles, faciliter les transferts internationaux de données à caractère personnel, et mettre en place des normes internationales de protection des données.
Un certain nombre de principes existants dans la législation actuelle ont été repris et détaillés tandis que de nouveaux principes ou modes de fonctionnement ont été consacrés.
En synthèse les 12 principes du RGDP sont :
- Extension de la définition de la notion de donnée personnelle et renforcement du consentement
- Allègement des formalités préalables et nouveaux rôles des autorités de contrôle
- Obligation de mettre en œuvre des Analyses d’impact préalables à tout traitement pour une étude des risques et solutions documentés
- « Accountability » = « engagement responsable » des acteurs avec mise en œuvre de process
- Responsabilité conjointe et possibilité de coresponsabilité des différents acteurs (y compris les sous-traitants)
- Le Data Protection Officer (DPO) remplace le Correspondant Informatique et Liberté (CIL)
- « Privacy by design » oblige à un traitement responsable d’un minimum de données
- Sécurité par l’anticipation et le traitement des failles de sécurité et l’obligation d’information en cas de piratage
- Renforcement du droit des personnes (consentement à durée déterminée, préalable et explicite pour tout traitement de données personnelles, droit à la portabilité des données
- Protection territoriale de l’ensemble des ressortissants européens
- Encadrement des transferts de données hors UE
- Aggravation des sanctions équivalentes dans tous les Etats (jusqu’à 4% du CA mondial d’une entreprise).
Le règlement est entré en vigueur le 24 mai 2016, soit 20 jours après sa publication au Journal officiel de l'UE le 4 mai 2016. L’article 99 prévoit que le règlement « est applicable à partir du 25 mai 2018. »
Il est nécessaire de prendre en compte d’ores et déjà les dispositions du règlement – notamment lors de la mise en œuvre de nouveaux traitements - pour faciliter la transition.
Les étapes d’adaptation pour être prêt le 25 mai 2018 sont (notamment) :
- Revoir / mettre en place des process de collecte et traitements
- Faire l’inventaire et documenter tous les traitements mis en œuvre (par qui ? comment ? pour quelle finalité ?...)
- Prendre la mesure des mentions d’information
- Sécuriser son système d’information contre le piratage et assurer la sauvegarde des données.
- Recueillir convenablement et de manière tracée le consentement des personnes dont les données sont collectées
- Faire évoluer les contrats des prestataires et sous-traitants pour un meilleur partage de responsabilité
- Penser à notifier de manière obligatoire des violations de données (et les mesures réparatrices à mettre en œuvre)
- Assurer la portabilité des données
- Bref, mettre en œuvre les nouvelles modalités pour assurer l’efficacité des nouveaux droits
Autres textes protégeant les données personnelles
La directive du 12 juillet 2002 « directive vie privée et communications électroniques » :
Directive fille, sectorielle de la directive de 1995. Elle décline les principes de la directive de 1995 dans le secteur des télécommunications.
La loi de 1978 a aussi prévu un volet pénal :
La plupart des manquements à cette loi correspondent à des infractions : art. 226-16 à 226-24 CP essentiellement (d’autres dispositions sont dispersées dans le code). Les sanctions sont assez lourdes (jusqu’à 5 ans de prison et 300 000 euros d’amende).
Dans la pratique le volet pénal fonctionne assez mal : infractions très nombreuses, contentieux faible. Le juge, par manque de conscience des enjeux, prononce des peines légères.
La loi pour une République numérique (7 octobre 2016)
Parallèlement, la loi pour une République numérique a été adoptée le 7 octobre 2016. En matière de données personnelles, elle a consacré par exemple :
de nouveaux droits pour les individus : droit à l’oubli numérique pour les mineurs avec une procédure accélérée, testament numérique pour donner des directives aux plateformes numériques (une personne aura le droit de faire respecter sa volonté sur le devenir de ses informations personnelles publiées en ligne après son décès, auprès des fournisseurs de service en ligne ou d’un tiers de confiance), confidentialité des correspondances privées.
La multiplication par 20 du plafond des sanctions que peut prononcer la CNIL, qui passe de 150.000 euros à 3 millions d’euros (ce plafond sera de nouveau modifié par la règlement européen)
Sécurité : La protection des citoyens détecteurs de faille informatique, connus aussi sous le nom de « hackers blancs », afin de les inciter à révéler ces failles à l’Agence nationale pour la sécurité des systèmes d’information, sans encourir de risque pénal pour cette action
Les données personnelles sont protégées par d’autres textes :
Droits fondamentaux :
Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 au niveau du Conseil de l’Europe
Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000 au niveau de l’Union européenne
Des textes non obligatoires :
Ces textes, non obligatoires, permettent de connaître l’interprétation des textes par les autorités et notamment les Recommandations de la CNIL et les AVIS du G29. Le G29 est un groupe de travail européen qui rassemble les autorités nationales de protection des données personnelles de l’UE, un représentant de la Commission européenne et le Contrôleur européen de la protection des données. Le G29 contribue à la mise en œuvre du droit européen pour la protection des données personnelles et donne des avis qui permettent d’interpréter et d’appliquer les textes.
Le G29 sera remplacé par le « Comité européen de la protection des données (CEPD) » suite à l’adoption du règlement européen.
PINT Avocats s’engage à vos côtés pour vous accompagner dans la mise en place des process vous permettant de remplir sereinement vos obligations légales.