Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen adopté en 2016 qui poursuit trois objectifs afin d’augmenter la protection des données personnelles. Il vise à renforcer les droits des personnes dont les données sont collectées, à responsabiliser les organismes de traitement des données et à crédibiliser la protection des données et la régulation entre les autorités de protection des données personnelles.
Le Règlement Général sur la Protection des Données vient compléter la législation interne relative à la protection des données et en particulier la loi de 1978. La France fait ainsi figure de précurseur quant au principe de protection des données informatiques. La loi de 1978 a ensuite été réécrite par la loi de 2004 relative à la protection des personnes physiques.
Parmi les acteurs qui veillent à l’application de la législation en matière de collecte de données, deux d’entre eux peuvent être soulignés.
Tout d’abord, le délégué à la protection des données (DPO, en anglais) est la personne chargée de la conformité au RGPD au sein d’une entreprise. Il fait l’intermédiaire entre l’entreprise privée et la CNIL avec laquelle il est en lien. Sa mission est à la fois de permettre à l’entreprise de se prémunir contre les risques attachés à la protection des données, et d’assurer le respect du RGPD afin d’éviter des sanctions administratives.
De plus, le RGPD responsabilise les autorités de protection des données (APD) qui veillent, à l’échelon national, à la mise en vigueur du texte européen. L’Union européenne a ainsi défini l’autorité de protection des données de chaque Etat-membre. Il s’agit en France de la Commission Nationale de l’Informatique et des Libertés (CNIL).
1. LA RESPONSABILITÉ PÉNALE ISSUE DE LA LOI DE 1978
La loi de 1978 a créé des infractions qui engagent la responsabilité pénale du responsable du traitement en matière de protection des données. Celui-ci est défini à l’article 3. Le responsable du traitement de données est la personne ou l’organisme qui établit les moyens et la finalité du dispositif. Il voit alors sa responsabilité engagée pour les infractions définies aux articles 226-26 et suivants du code pénal. Ces infractions constituent toutes des délits pour lesquels le responsable du traitement de données est punissable de cinq ans d’emprisonnement et de 300 000 euros d’amende. Si le responsable est une personne morale, il encourt une peine d’amende cinq fois supérieure, conformément à l’article 131-38 du code pénal. La personne morale peut également se voir infliger les peines complémentaires de l’article 131-39 du code pénal soit une interdiction d’exercice, une fermeture temporaire ou définitive, un placement sous surveillance judiciaire ou encore une confiscation.
Les articles 226-26 et suivants du code pénal définissent de nombreuses infractions pénales.
A. Une obligation de formalités
Tout traitement de données doit être précédé de l’accomplissement de formalités préalables. Il s’agit par exemple de l’obtention d’une autorisation préalable de la CNIL, lorsque le traitement porte sur des données sensibles, ou d’une autorisation par acte règlementaire pour des données relatives aux intérêts de l’État. Le non-respect de ces formalités préalables est alors puni à l’article 226-16 du code pénal.
B. Une obligation de sécurité
Obligation imposée par la loi de 1978, le responsable du traitement de données doit prendre toute mesure nécessaire pour que les données ne soient pas perdues, altérées ou diffusées de façon non autorisée. Le non-respect de cette obligation est puni par l’article 226-17 du code pénal.
C. La collecte frauduleuse, déloyale ou illicite de données
Constitue une infraction au sens de l’article 226-18 du code pénal le fait de recueillir illégalement des données. Il peut s’agir de recueillir les données que l’on n’est pas censé recueillir, de mauvaise foi, sans demander le consentement des personnes en cause, par des manœuvres frauduleuses.
D. La collecte de données sans consentement
Est également punissable le fait de recueillir des données alors même que la personne a refusé de donner son consentement, en vertu de l’article 226-19 du code pénal.
E. Le détournement de finalité des données collectées
L’article 226-21 du code pénal punit le fait d’utiliser les données collectées pour un usage qui diffère de celui prévu. L’usage prévu est celui imposé par la loi, autorisé par la CNIL ou tout simplement l’usage qui est indiqué par le responsable du traitement de données.
F. La divulgation de données personnelles
Pour être retenue comme une infraction au sens de l’article 226-22 du code pénal, la divulgation doit réunir plusieurs caractéristiques. La divulgation porte tout d’abord atteinte à la vie privée de la personne ou à sa considération. La divulgation s’effectue de plus sans son consentement, et envers une personne qui n’est pas autorisée à recevoir les données transmises.
G. Le non-respect du droit à l’oubli
La durée de conservation des données doit être strictement limitée au laps de temps nécessaire pour effectuer la finalité pour laquelle les données ont été collectées. Une fois l’objectif du traitement de données atteint, les données ne peuvent être excessivement conservées. L’article 226-20 du code pénal punit ainsi le fait de conserver les données au-delà de la durée prévue, et de continuer le traitement des données qui ne devraient plus être conservées.
Focus #1 : Qu’est-ce que le profilage ?
Le profilage consiste à identifier automatiquement le profil, notamment sa situation familiale, professionnelle, géographique, ses goûts, d’un usager à partir des données collectées. Le profilage est utilisé pour évaluer les compétences d’un salarié ou effectuer de la publicité ciblée par exemple. La décision prise à l’égard de l’usager est alors entièrement automatisée puisque fondée sur le profil type dégagé par le traitement de données. Il est donc possible de faire valoir des droits contre cette décision. Ainsi, pour effectuer du profilage, l’organisme doit obligatoirement recueillir le consentement préalable de l’usager. Par la suite, l’usager peut demander l’accès à tout moment aux données le concernant et peut contester la décision automatisée.
H. Le transfert international de données
L’article 226-22-1 du code pénal punit tout transfert illicite de données vers un État qui n’appartient pas à l’UE.
Focus #2 : Comment le RGPD organise-t-il le transfert de données hors UE?
Le transfert des données hors de l’Union européenne est régi par le RGPD. Le transfert de données ne peut s’effectuer que si les conditions définies par le RGPD sont remplies. Le transfert doit se fonder sur une décision d’adéquation, prévue à l’article 45 du RGPD, ou sur des mécanismes de garantie, exposés à l’article 46. La décision d’adéquation est prise par la Commission européenne. Pour cela, elle examine la législation de l’Etat vers lequel les données seront transférées, mais aussi le respect de l’Etat de droit, de la démocratie et des libertés fondamentales. La Commission décide alors des pays où le transfert de données peut être exécuté ou non. Le transfert peut alors être effectué par tout organisme sans nécessiter d’autorisation supplémentaire.
En l’absence de cet aval de la Commission, l’organisme peut effectuer un transfert s’il prévoit des garanties à l’attention des personnes dont les données seront transférées. Ces garanties peuvent être un Code de bonne conduite du sous-traitant qui recevra les données, ou encore des clauses de protection. L’organisme doit également s’assurer que les personnes concernées disposent de voies de recours effectives pour s’opposer au transfert.
Enfin, les articles R. 625-10 et suivants du Code pénal définissent des contraventions de 5ème classe pour lesquelles le responsable du traitement de données encourt des peines d’amende. Trois grands types d’infractions sont énoncés.
Est ainsi puni le manque de communication donnée aux personnes qui font l’objet d’un traitement de données. Les informations qui doivent être transmises sont par exemple la finalité du traitement, l’identité de son responsable.
Également, le responsable du traitement voit sa responsabilité engagée lorsqu’il ne répond pas à une personne qui demande des informations sur le traitement dont ses données font l’objet. Toute personne peut ainsi demander confirmation ou non du traitement effectué, et peut surtout demander à ce que ses données lui soient transmises. Le fait de refuser de communiquer les données, ou d’imposer que la transmission des données soit payante par exemple, est interdit.
Enfin, lorsqu’une personne sur laquelle des données ont été récoltées demande leur modification, le responsable du traitement de données est tenu d’accepter. Le refus constitue une contravention.
2. LA RESPONSABILITÉ CIVILE
A. Les conditions pour invoquer la responsabilité
La violation du RGPD constitue le fait générateur, la faute qui permet de mettre en cause la responsabilité de l’intéressé. L’article 82 définit ce fait générateur.
Doit ensuite être démontrée l’existence d’un préjudice et d’un lien de causalité : le dommage résulte bien de la violation du RGPD.
Le RGPD consacre de plus une responsabilité de plein droit selon l’article 82. En effet, tout responsable du traitement voit sa responsabilité engagée. Il n’y a donc pas nécessairement besoin de démontrer que c’est sa faute personnelle qui a entraîné la violation du RGPD.
B. La réparation du préjudice
Enfin, le RGPD institue une réparation intégrale du préjudice. Le principe est celui de la dette solidaire lorsque la responsabilité de plusieurs personnes est engagée solidairement. Ainsi, si trois personnes voient leur responsabilité engagée et que l’une d’entre elles selon répare le dommage, elle peut ensuite exercer une action récursoire contre les deux autres afin que la réparation soit répartie sur les trois personnes.
C. Les fondements de la responsabilité
La responsabilité du RGPD n’est ni une responsabilité civile contractuelle ni délictuelle. La responsabilité contractuelle est invoquée sur le fondement d’un contrat conclu entre la victime et l’auteur des faits. Dans le cas du RGPD, aucun contrat n’est nécessaire pour mettre en cause la responsabilité du dirigeant du traitement.
3. UNE RESPONSABILITÉ ADMINISTRATIVE
A. Les obligations du RGPD
Le RGPD définit la responsabilité civile et administrative qui pèse sur les responsables de traitement. Il l’étend la responsabilité à une pluralité d’acteurs.
Le RGPD renforce tout d’abord la responsabilité de l’auteur du traitement. Des obligations supplémentaires sont énoncées par rapport à la loi de 1978. Le non-respect de ces obligations entraîne des sanctions édictées par l’autorité nationale de contrôle, la CNIL en France.
Le RGPD consacre ainsi une obligation de transparence : les informations concernant le traitement de données doivent être claires, intelligibles et accessibles. Le RGPD instaure également une obligation préalable de consentement. En principe, les personnes doivent ainsi donner leur consentement préalable au traitement de données.
Le RGPD instaure une logique de répression en matière de protection des données à la place de la logique de prévention qui existait jusqu’alors. En effet, il abandonne les formalités préalables édictées par la loi de 1978 mais oblige, en contrepartie, les responsables de traitement à pouvoir dès la protection des données, démontrer les mesures mises en place pour la sécurité des données. Ils doivent ainsi garantir en permanence un niveau de protection adéquat. Pour cela, plusieurs obligations nouvelles s’imposent aux responsables de traitement comme la tenue d’un registre qui indique notamment les traitements effectués, leur finalité, les personnes qui les mettent en œuvre et les catégories de données concernées. L’organisme doit ainsi être capable à tout moment de montrer les mesures établies pour la protection des données.
Focus #3 : Le registre des activités de traitement
Le registre des traitements est prévu par l’article 30 du RGPD. Il permet à l’organisme de prouver sa conformité au RGPD. Ce registre indique les parties prenantes qui interviennent dans le traitement de données, notamment les sous-traitants. Le registre indique également quelles catégories de données sont conservées, combien de temps et dans quels buts. Enfin, il précise les modalités de sécurisation du traitement des données et consigne les personnes qui ont accès aux données collectées.
Le responsable du traitement doit également effectuer une analyse d’impact préalable à la mise en place d’un traitement de données. L’analyse détaille les caractéristiques du traitement, les risques potentiels et les mesures à adopter. Lorsque le traitement présente des risques élevés d’atteinte aux libertés et droits des personnes, et en particulier au respect de leur vie privée, l’organisme de traitement de données doit en avertir la CNIL. Le RGDP prévoit ainsi une sanction pécuniaire en cas de manquement à l’obligation d’analyse d’impact.
Le RGPD oblige de plus le responsable du traitement à avertir en cas de violation des données. Si la violation est mineure, il peut simplement avertir son personnel en interne. Une violation importante doit cependant être notifiée à la CNIL dans les 72 heures et une violation qui présente des risques élevés d’atteinte à la vie privée des personnes doit être notifiée à ces dernières.
Le responsable du traitement de données n’est néanmoins pas le seul à voir sa responsabilité engagée. Le RGPD élargit l’engagement de la responsabilité.
Ainsi, en cas de co-responsables des données, tous voient leur responsabilité engagée, selon les mêmes conditions qu’en cas de responsable unique du traitement. Dès lors, la responsabilité est de plein droit.
Le RGPD élargit également la responsabilité au sous-traitant. Celui-ci est la personne qui traite les données pour le compte du responsable du traitement de données.
La responsabilité du sous-traitant ne relève pas du même régime de responsabilité civile que celle des responsables du traitement. Contrairement à ceux-ci, la responsabilité du sous-traitan n’est pas de plein droit. Sa responsabilité est engagée uniquement s’il ne respecte pas les obligations que le RGPD lui confère, ou s’il excède les instructions données dans le cadre de la sous-traitance.
Le RGPD instaure ainsi plusieurs obligations spécifiques au sous-traitant. Celui-ci doit ainsi présenter des mesures techniques et organisationnelles qui garantissent le respect du RGPD et la protection des données. Le sous-traitant est tout d’abord soumis à une obligation de transparence et de traçabilité : il doit tenir un registre de tous les traitements effectués et doit apporter les preuves du respect des obligations du RGPD. Il doit de plus intégrer les obligations et principes du RGPD par défaut, dès la conception des produits. Ainsi, la collecte et l’utilisation des données doit être minimale par défaut, et accrue uniquement si nécessaire ou demandé. Le principe est la minimisation du traitement de données. Le sous-traitant est également soumis à une obligation de sécurité et de confidentialité des données. Sous-traitant et responsable du traitement doivent enfin coopérer dans la protection des données. Le sous-traitant doit avertir le responsable du traitement, de toute violation des données. Enfin, il doit transmettre à son client toute information utile et l’aider lorsqu’une personne demande de modifier ou supprimer ses données.
Ainsi, le sous-traitant qui ne respecte pas ses obligations voit sa responsabilité engagée. Elle est également retenue lorsque le sous-traitant agit en dehors des instructions données par son client.
B. Les sanctions administratives
Le RGPD instaure d’importantes sanctions administratives. Elles sont imposées par les autorités de contrôle nationales, la CNIL en France. L’article 58 du RGPD énumère les sanctions qui peuvent être imposées aux responsables et sous-traitants. Le RGPD instaure donc des sanctions plus nombreuses et plus répressives que la loi de 1978.
RGPD et loi de 1978 mettent tout deux en place des sanctions de rappel à l’ordre, de mise en demeure ou d’interdiction du traitement. Néanmoins, le RGPD permet également à la CNIL d’ordonner la modification et rectification des données. Il renforce en outre les amendes administratives, limitées à trois millions d’euros par la loi de 1978. Le RGPD instaure des amendes qui peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires d’une entreprise, pour les manquements les plus graves.
Enfin, des sanctions pour violation des dispositions du RGPD sont prévues à l’article 148. La détermination des sanctions doit tenir compte de nombreux éléments comme la gravité des faits, le degré de responsabilité de l’organisme et le préjudice subi par la victime. Ces sanctions sont établies en complément ou à la place des mesures de sanction imposées par les autorités nationales de contrôle.
Focus #4 : Quels sont les droits de l’usage en matière de protection des données à caractère personnel ?
Le RGPD confère à l’usager de nombreux droits qu’il peut opposer au responsable d’un traitement de données. Ces droits sont identiques pour tout usager, qu’il s’agisse d’un candidat vis-à-vis d’une entreprise en cas d’un recrutement en matière de données personnelles, ou d’un utilisateur d’un site Internet par exemple. L’usager dispose principalement de 6 droits.
Il peut tout d’abord demander l’accès aux informations concernant le traitement de données, comme le nom du responsable, ses finalités ou sa durée. Il peut également demander à consulter les données le concernant et peut rectifier les informations erronées. Il peut également récupérer les données collectées à son égard. Il peut enfin demander à limiter ou arrêter temporairement le traitement de ses données, ainsi que demander à les effacer.
Lire notre article sur la Commission nationale de l'informatique et des libertés : la CNIL
