GDPR

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

BLOCKDAYS: Jérôme DEROULEZ a participé à la table ronde blockchain et protection des données - Ecole 42 - 12 juin 2018

L'Ecole 42, la faculté de Droit Paris Descartes, IOTA et BCD DIPLOMA ont organisé le 12 juin 2018 les BLOCKDAYS consacré à la blockchain.  

Lors de ces travaux, Jérôme DEROULEZ est intervenu avec les professeurs Anne DEBET et Nathalie MARTIAL BRAZ. Cette table ronde portait sur la confrontation entre blockchain et protection des données personnelles. Cette table ronde a suscité de nombreuses questions et interpellations. En effet, plusieurs participants ont fait part des défis posés par la blockchain au regard du cadre juridique applicable aux données personnelles.

RGPD: Jérôme DEROULEZ a participé au numéro spécial COMMUNICATION COMMERCE ELECTRONIQUE dédié au RGPD

RGPD: Jérôme DEROULEZ a rédigé un article consacré aux autorités de contrôle en droit des données personnelles. http://www.lexiskiosque.fr/catalog/communication-commerce-electronique/communication-commerce-electronique/n4-2018  

Cet article a été publié dans le numéro spécial COMMUNICATION COMMERCE ELECTRONIQUE consacré au RGPD.

 

Ce numéro avait pour vocation de balayer les problématiques de la protection des données avant l'entrée en application du règlement.

 

 

PROTECTION DES DONNEES PERSONNELLES : QUELLE ACTUALITE EN 2018?

Le droit de la protection des données à caractère personnel a connu une actualité très dense en 2017. 2018 sera marquée par plusieurs étapes importantes, dont l’entrée en application du RGPD en mai prochain et l’adoption rapide de l’adaptation législative de la loi Informatique et Libertés.  

Le RGPD n’est cependant qu’une des étapes des chantiers ouvertes dans le domaine de la protection des données. 2018 sera ainsi marquée par de nouvelles réformes (partie 1) et devrait aussi connaître de nouvelles jurisprudences marquantes (partie 2).

 

I. LES REFORMES LEGISLATIVES ATTENDUES EN 2018

 

1. La révision de la Directive dite « e-privacy » et sa transformation en règlement

 

  • Qu’est-ce que la Directive e-privacy ? Quel est son champ d’application ? Pourquoi co-existe-elle aux côtés de la directive 95/46 qui va être remplacée par le RGPD ?

 

La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Cette directive vise aussi le secteur des communications numériques alors que le RGPD est indifférent quant à la forme de la communication, son objet englobant tous traitements de données à caractère personnel visés à travers son champ d’application. C’est donc une lex specialis par rapport au RGPD, même si ce point a fait l’objet de discussions techniques.

 

  • Pourquoi cette réforme ?

 

La Commission a lancé ce chantier dans l’espoir d’une adoption en mai 2018 et d’une réforme concomitante RGPD / E-privacy. Avec le souci de renforcer le marché unique numérique et la confiance lors de l’utilisation des services numériques via une protection accrue des données personnelles.

 

En effet, depuis la dernière révision de la directive E-privacy en 2009, de très nombreuses évolutions technologiques ont bouleversé ce domaine, notamment dans le secteur des télécommunications avec l’apparition de nouveaux acteurs tels que Skype, Whatsapp, Facebook Messenger qui renouvellent la manière de communiquer grâce à la technique de la VOIP. (« Voix sur IP » [tiré de l’anglais Voice over IP] : manière de communiquer par la voix, sur des réseaux compatibles IP).

 

L’objectif de la Commission est également d’utiliser dans la mesure du possible des « définitions neutres » d’un point de vue technologique afin d’englober les nouveaux services et technologies et d’assurer la pérennité du règlement (p.10), en dépit de la difficulté d’un tel exercice. [1]

 

  • Le calendrier

 

La proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »), a été dévoilée le 10 janvier 2017. [2] En dépit du souhait initial de la Commission d’une adoption le 25 mai 2018, ce calendrier ambitieux ne pourra être atteint, au vu des nombreux points encore ouverts.

 

  • Quels sont les points clés de la réforme ?

 

L’un des objectifs premiers est d’atteindre les fournisseurs de services OTT

Les fournisseurs de services OTT (« Over the Top ») sont les nouveaux géants d’Internet et dominent largement le secteur des télécommunications, comme Whatsapp, Skype, Facebook messenger... Cette réforme prévoit une extension du champ d’application du règlement à ces nouveaux acteurs [3] et notamment que les OTT seront tenus de respecter la confidentialité des communications et les droits fondamentaux des utilisateurs conformément à la Charte.

 

Mieux encadrer les cookies

 

La Commission souhaite clarifier la règlementation sur les cookies afin de donner davantage de pouvoir aux utilisateurs de services de communication en ligne, à travers un renforcement des règles de consentement. Ainsi, les cookies-tiers qui pistent la vie privée des internautes pourraient être bloqués [4] tout en conférant aux utilisateurs un pouvoir de modulation en ce qui concerne le choix des cookies qu’ils souhaitent accepter ou non.

 

Renforcement du consentement des utilisateurs

 

Le renforcement du consentement des individus est au cœur de la réforme. En effet, la Commission souhaite imposer aux opérateurs, des mesures concrètes afin de donner les « pleins pouvoirs » aux utilisateurs. Les considérants de la proposition de règlement (qui pour rappel n’ont pas de valeur juridique) éclairent sur les mesures qui pourraient être mises en œuvre :

 

L’utilisateur, pourrait, par exemple, désormais choisir à « la carte » les cookies qu’il souhaite accepter sur son navigateur ; « Les utilisateurs finaux devraient disposer d'un éventail de réglages de confidentialité́, depuis les plus restrictifs (par exemple, «ne jamais accepter les cookies») jusqu'aux plus permissifs (par exemple, «toujours accepter les cookies»), en passant par des options intermédiaires (par exemple, «rejeter les cookies de tiers» ou «accepter uniquement les cookies propres»). Ces paramètres de confidentialité́ devraient se présenter sous une forme facile à visualiser et à comprendre ». [5]

 

Par exemple, au considérant 24 « Les navigateurs Web sont encouragés à proposer aux utilisateurs finaux des moyens faciles de modifier leurs paramètres de confidentialité à tout moment en cours d'utilisation et à leur permettre de prévoir des exceptions ou d'établir une liste blanche de certains sites Web ou de préciser les sites Web dont ils acceptent toujours ou n'acceptent jamais les cookies (de tiers) ». [6]

Si le bilan de cette réforme est ambitieux - renforcer la protection de la vie privée et des données personnelles dans le cadre d’un dispositif européen intégré – cette dernière reste encore soumise à de nombreuses interrogations quant à son calendrier et à l’issue des travaux législatifs.

 

2. La transposition de la directive « police-justice » du paquet protection des données

 

La transposition à venir de la directive adoptée en même temps que le RGPD ne doit pas être négligée.

 

En effet, la réforme du droit des données personnelles est un « paquet » et la directive (UE) (2016/680) du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données devra être transposée dans les ordres juridiques des différents États-membres, au plus tard, le 6 mai 2018. Le projet d’adaptation de la LIL comprend des dispositions spécifiques, le Sénat devant débuter ses travaux en mars prochain dans le cadre de la procédure accélérée.

 

3. La transposition de la directive NIS : Network and Information Security

 

La Directive NIS Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union vient d’être transposée en droit français le 15 février dernier . http://www.senat.fr/dossier-legislatif/pjl17-105.html

 

Cette directive doit être signalée alors que les préoccupations dans le domaine de la cyber-sécurité sont de plus en plus importantes.

 

II. LES JURISPRUDENCES ATTENDUES EN 2018

 

De nombreuses affaires sont actuellement pendantes.

 

Nous signalons certaines de ces affaires qui touchent non seulement à la protection des données personnelles, mais également de manière transversale, au droit international privé, au droit de la consommation et au droit pénal. A ce titre, les solutions qui seront retenues dans les affaires suivantes présenteront un intérêt particulier pour ces matières :

 

- Microsoft contre Irlande ;

- Affaire « Origine du Monde » ;

- M. Schrems ;

- La question prioritaire de constitutionnalité concernant l’accès à une clef privée de chiffrement par les autorités françaises

 

1. L’affaire Microsoft c/ Ireland

 

Pour rappel, il est question dans cette affaire de la possibilité, pour les autorités américaines, d’avoir accès à des emails hébergés à l’étranger, et notamment en Irlande. Les États-Unis, en vertu de leur loi « SCA » Store Communications Act avaient délivré un mandat à l’encontre de Microsoft, leur enjoignant la fourniture de ces informations. En vertu de la SCA, les autorités répressives américaines peuvent en effet contraindre des fournisseurs de messageries électroniques à procéder à la perquisition, au recueil et  à la reproduction de communications électroniques, à plus forte raison dans le cadre du recours au cloud computing.

 

Microsoft, a cependant refusé de se conformer à ce mandat au motif qu’un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis et en l’occurrence en Europe.

 

Cette affaire aborde ainsi des questions sensibles au regard de la protection de la vie privée, de l’application extra-territoriale d’une loi et de l’accès à des informations stockées dans des réseaux en nuage. La Cour d’appel fédérale de Manhattan dans une décision rendue le 14 juillet 2016 a donné raison à Microsoft en énonçant que la portée extraterritoriale d’un mandat devait être prévue explicitement par la loi et que ce n’était pas le cas en l’espèce.

 

Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême américaine dont la décision devrait intervenir en juin 2018. Cette procédure a donné lieu à une trentaine d’amicus curiae (intervention volontaire qui permet de faire part de son point de vue devant la Cour suprême, lorsque des enjeux juridiques et sociaux sont importants). La liste des différents amicus curiae est disponible sur le blog de la Cour Suprême américaine  http://www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/

 

Deux mémoires sont notables :

 

- D’une part le mémoire de l’association des barreaux européens [7] : qui souhaite alerter sur les enjeux du secret des correspondances entre un avocat et son client En substance, le Conseil des barreaux européens a rédigé un mémoire en soutien à la société Microsoft et dénonce une décision qui pourrait étendre considérablement la capacité du gouvernement américain à se saisir de communications électroniques situées en dehors des USA ».

 

Dès lors, le CCBE met en avant le risque pour la protection de la vie privée des européens et le droit à la confidentialité des avocats dans leurs correspondances avec leurs clients. Il rappelle que le secret professionnel, et l’inviolabilité des communications avec l’avocat est une condition préalable et indispensable au procès équitable.

 

- D’autre part, le mémoire de la Commission européenne [8] qui souhaite s’assurer de la bonne compréhension par la Cour suprême de la législation européenne concernant la protection des données personnelles à la veille de l’entrée en application du RGPD. L’amicus curiae de la Commission européenne est « in support of neither party », la Commission européenne n’apportant son soutien ni aux Etats-Unis ni à Microsoft.

 

Pour rappel, l’Union européenne signale qu’elle fixe des limites strictes aux transferts hors de l’Union européenne grâce à 3 mécanismes (les transferts sur décision d’adéquation, les transferts grâce à des mécanismes appropriés, les transferts fondés sur des règles d’entreprises contraignantes) et souligne que c’est donc un niveau élevé de protection des données que doivent respecter les pays tiers s’ils souhaitent traiter des données relevant du champ d’application du RGPD.

 

2. L’affaire « Origine du monde » contre Facebook, Cour d’appel de Paris du 16 février 2016

 

L’affaire dite « Origine du Monde » contre Facebook est une affaire qui soulève des enjeux en matière de protection des consommateurs sur le réseau social Facebook. [9] À l’origine de cette affaire, un professeur de l’éducation nationale avait posté sur son « mur » (page personnelle) un célèbre tableau du peintre Courbet « l’Origine du Monde ». Le compte du professeur a été suspendu en raison de la violation par ce dernier des conditions générales d’utilisation du réseau social, le tableau étant considéré comme pornographique selon Facebook.

 

Ce professeur a souhaité contester cette décision pour atteinte à la liberté d’expression, alors que Facebook estimait que les juridictions françaises n’étaient pas compétentes, au vu de ses conditions générales d’utilisation du réseau social prévoyant une clause attributive de juridiction au profit de la juridiction de Santa Clara aux États-Unis.

 

Dans ce litige, la Cour d’appel de Paris a notamment relevé que ce professeur était bien un consommateur et décidé d’appliquer les règles du droit de la consommation, notamment les dispositions de l’article L. 132-1 du code de la consommation (ancien article applicable en l’espèce) sur les clauses abusives. La Cour a relevé que cette clause insérée dans les conditions générales d’utilisations de Facebook avait pour objet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur » (article R. 132-2 du code de la consommation). Ainsi :« Que dès lors, la clause attributive de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice (…) Considérant que l’ordonnance déférée sera dans ces conditions confirmée en ce qu’elle a déclaré la clause attributive du contrat abusive et réputée non écrite et retenu la compétence du tribunal de grande instance de Paris pour statuer sur le litige opposant M.X à la société Facebook Inc »

 

A suivre avec la décision de la Cour de Cassation sur ce dossier...

 

3. Schrems et les futures actions de groupe en matière de données personnelles ?

 

Comme nous l’écrivions dans notre précédent article, M. Schrems avait posé une question préjudicielle à la Cour de justice de l’Union européenne aux fins de savoir dans quelle mesure il pouvait engager une action de groupe à l’encontre de Facebook.

 

Le 25 janvier dernier, la Cour a relevé que M. Schrems pouvait, pour son compte engager une action de groupe devant les juridictions de son domicile, peu important son activité commerciale postérieure mais qu’en revanche, il ne le pouvait pas, en tant que cessionnaire des droits d’autres consommateurs.

 

L’actualité de ce sujet présente un intérêt particulier au regard du droit français, puisque a été adopté par l’Assemblée nationale, le 8 février dernier, l’amendement pour une action de groupe collective en matière de données personnelles.

 

En effet, le nouvel article 43 ter de la loi LIL 3, précédemment modifié par l’article 91 de la loi du 18 novembre 2016 relative à la modernisation de la justice du XXIème siècle, a ouvert la possibilité d’une action de groupe ayant subi un dommage causé par un manquement à la LIL. Cette loi a anticipé en partie les dispositions du RGPD qui concernent les voies de recours, responsabilité et sanctions (Voir les articles 77 à 84).

 

L’article 80 du RGPD prévoyait en effet la possibilité pour les personnes « le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit».

 

Cet article sera ainsi modifié :

 

1° Le III est remplacé par un alinéa ainsi rédigé :

 

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

 

2° Le IV est complété par un alinéa ainsi rédigé :

 

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

Cette nouvelle disposition va donc plus loin, et permet non seulement la cession du manquement mais également la possibilité de demander une répartition des préjudices matériels et moraux subis (v. l’article 82 du RGPD « droit à la réparation et responsabilité »).

 

C’est un avertissement envoyé aux acteurs du web qui devront désormais prendre les mesures nécessaires afin de respecter la législation sur les données personnelles.

 

Les discussions législatives vont se poursuivre en mars prochain au Sénat. A suivre donc en particulier sur ce point.

4. Un personne suspectée d’avoir commis une infraction doit-elle fournir sa clé de déchiffrement ? Le Conseil constitutionnel va trancher

 

Le 10 janvier dernier [10], la Cour de cassation a posé une question prioritaire de constitutionnalité au Conseil constitutionnel à  ce sujet.

 

Les faits de l’espèce concernaient les dispositions de l’article 434-15-2 du code pénal qui dispose que : « Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

 

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

 

Ainsi, une personne suspectée dans le cadre d’une procédure pénale, serait tenue, en vertu de ce texte, sous peine de sanctions, de transmettre aux enquêtes la convention secrète de déchiffrement (les clefs de chiffrement étant utilisées pour protéger des communications privées, que ce soit pour protéger des mails, des échanges par SMS, des échanges sur des réseaux sociaux, etc).

 

La question posée au Conseil constitutionnel est la suivante : les dispositions de l’article 434-15-2 du code pénal « sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ?"

 

Nous reviendrons plus tard sur cette affaire et ses conséquences.

 

 

 

Références

 

[1] Page 10 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[2] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[3] Page 5 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[4] Voir le Considérant 23 et article 8 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

[5]http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/Pressreleases/2018/FR_SVL_20180125_PR_0418.pdf

[6] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[7] https://www.supremecourt.gov/DocketPDF/17/17-2/28246/20180118123639107_17-2%20Council%20of%20Bars%20and%20Law%20Societies%20Amicus%20Brief.pdf

[8] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[9] https://www.cottineau.net/wp-content/uploads/2016/02/facebook-jugement-cour-appel-paris-12-fevrier-2016.pdf

[10] https://www.courdecassation.fr/jurisprudence_2/qpc_3396/3478_10_38354.html

 

RGPD: Quelle adaptation en droit français? (2)

Le 14 décembre dernier, nous avons rédigé un premier article sur l’adaptation en droit français du RGPD et les risques liés à un calendrier si contraint, risques également soulignés par la CNIL dans son avis de décembre 2017 (1). En effet, alors que l’adoption de ce règlement européen ouvrait une fenêtre de tir pour une refonte du cadre juridique actuel, seule une première révision limitée aura lieu avant de procéder par ordonnance ultérieurement, ce qui ne permettra pas de disposer au 25 mai 2018 d’un régime consolidé et prévisible.  

Par ailleurs, le caractère spécifique de ce processus d’adaptation doit être souligné, alors que les premiers travaux législatifs viennent de débuter en procédure accélérée. En effet, si le RGPD est un règlement (tel que défini par  l’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE) et donc directement applicable, sans besoin d’être transposé), ce texte laisse en pratique une marge de manœuvre aux Etats-membres (2) et prévoit 57 points spécifiques devant faire l’objet d’adaptation (et non de transposition), par exemple en matière de consentement des mineurs (3). Si ces dispositions traduisent le compromis politique trouvé à Bruxelles, elles risquent aussi de créer de nouvelles « fragmentations » dans le cadre juridique des données personnelles en cours de construction à l’échelle européenne. (4)

 

Cette adaptation sera complexe, du fait de sa nécessaire articulation avec la loi pour une République Numérique qui a anticipé de nombreux points du règlement. En effet, la France avait décidé de préempter l’entrée en application du RGPD (alors en cours de négociation) à travers certaines dispositions de la loi Pour une République Numérique, dite « Loi Lemaire », adoptée le 7 octobre 2016. (5) (le calendrier des différents décrets d’application est consultable ici.).

 

Au-delà des aspects problématiques d’une telle anticipation (au regard du principe de coopération loyale ou des compétences de l’Union européenne), cette loi a aussi repris certaines dispositions du RGPD en les adaptant. C’est le cas par exemple du droit à l’oubli avec la mise en œuvre d’une disposition spécifique pour les mineurs, insérée à l’article 40.II de la Loi informatique et libertés. (6). Or ce nouveau droit devra être analysé au regard du droit à l’oubli consacré à l’article 17 du RGPD et des préoccupations déjà exprimées par l’Assemblée nationale (7).

 

De la même façon, le droit à la portabilité - consacré dans la proposition initiale du RGPD- a été repris par la loi pour une République Numérique, ce droit s’inscrivant par ailleurs dans le cadre du Marché unique numérique (8) et du courant du Free flow of non-personal data. (9)

 

La Loi pour une République Numérique a limité le champ d’application du droit à la portabilité envisagé de façon sectorielle dans le code de la consommation, alors que le RGPD ne prévoyait pourtant pas de restriction et consacré un tel droit à la française à l’article L224-42-1 dans la version à venir à partir du 25 mai 2018 du code de la consommation (le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données). Or la portée de cet article devra aussi être appréciée avec celles des dispositions du RGPD, directement applicables et générales.

 

Si l’adoption de certaines dispositions du RGPD a été anticipée par la loi pour une République numérique, ce règlement n’en constitue pas moins un chantier important au vu des changements induits et des défis qu’il suscite.

 

Notamment parce que le RGPD constitue une révolution du cadre juridique des données à caractère personnel, révolution soulignée à juste titre par le Conseil d’Etat.

 

En effet, le RGPD introduit un concept novateur en droit de la protection des données personnelles, avec la notion d’accountability qui renforce la responsabilisation des entreprises et des parties prenantes (10) et qui a de nombreuses conséquences (nomination d’un Data Protection Officer (11) par exemple.

 

De nouveaux outils sont également mis en place avec la tenue d’un registre des activités de traitement, (12) l’obligation de réalisation d’études d’impact (13) ou encore les obligations au titre des principes de privacy by design et by default (14).

 

La suppression des formalités préalables constitue un changement notable qui doit être une nouvelle fois souligné. Alors que la LIL prévoyait au chapitre IV « Formalités préalables à la mise en œuvre des traitements » les régimes de déclaration, d’autorisation et de demandes d’avis à la CNIL, le RGPD supprime quasiment l’ensemble de ce régime de formalités préalables en raison de l’abondance des demandes, de la surcharge des autorités de contrôles et de la volonté de limiter les charges administratives (15).

 

Le projet de loi d’adaptation conserve cependant un régime d’autorisation préalable pour certains traitements (16) (données collectées pour le compte de l’Etat, données biométriques et données génétiques, les données comportant le numéro d’inscription des personnes au Répertoire national d’identification des personnes physiques (NIR).

 

Par ailleurs, au titre de ces innovations, le RGPD prévoit également un élargissement de la notion de données sensibles, élargissement qui concerne à la fois le champ d’application de la notion et le régime de protection lié. C’est le cas des données biométriques : ces dernières devenant désormais des données particulières, (17) des données génétiques et des données du NIR.

 

Ces éléments traduisent la complexité du contexte de ce processus d’adaptation du RGPD. Les futurs débats législatifs devront aussi se pencher sur le contenu de ce règlement et sur les défis qu’il suscite.

 

I. COMMENT INTERPRETER LE RGPD DANS LE CADRE DE SON ADAPTATION?

 

Un des difficultés majeures d’application pratique du RGPD est qu’il se fonde sur différentes notions-clés pour la mise en œuvre de ses obligations (nomination d’un DPO, réalisation d’étude d’impact, notification de données personnelles par exemple) sans pour autant les définir. En l’absence de telles précisions, une marge d’interprétation est laissée aux Etats-membres dans le cadre du processus d’adaptation législatif

 

Trois notions-clés du RGPD suscitent notamment des interrogations :

 

A/ Risque élevé

 

La notion de risque élevé est un critère pertinent pour la mise en œuvre d’une étude d’impact (article 35 du RGPD) ou pour la notification d’une violation de données à caractère personnel.

 

-          A ce titre, le considérant 86 énonce que : Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.

 

Pourtant, la notion de risque élevé n’est pas définie par le RGPD même si les considérant 90 et 91 permettent de saisir ce que serait un risque élevé « par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé́ pour les droits et libertés des personnes concernées ».

 

De la même façon, le G29 a évoqué cette notion dans ses lignes directrices du 13 décembre 2017 sans la définir.

 

B/ Suivi des personnes à grande échelle

 

Cette notion est récurrente dans le RGPD et sert de critère d’appréciation pour la désignation d’un DPO et pour la réalisation d’une étude d’impact.

 

En effet, l’article 37 dispose qu’un DPO doit être désigné lorsque :

b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

 

Par ailleurs, le RGPD dispose qu’une analyse d'impact relative à la protection des données (…) requise dans les cas suivants : (…)

b)  le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c)  la surveillance systématique à grande échelle d'une zone accessible au public.

 

Cette notion est précisée par le considérant 91 (sans valeur juridique) qui évoque des opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées.

 

Le G29 a dressé dans ses lignes directrices une liste de recommandations de critères pertinents (18)( le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée, le volume de données et/ou le spectre des données traitées; la durée, ou la permanence, des activités de traitement des données; l’étendue géographique de l’activité de traitement) qui devront être précisés.

 

C/ Profilage

 

Pour mémoire, la Loi Informatique et Libertés ne donnait pas de définitions du profilage qui est défini à l’article 4.4 du RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Le profilage permettrait ainsi d’isoler certains aspects de la personnalité et de générer des résumés de personnalité. En complément, l’article 22 du RGPD (décision individuelle automatisée, y compris le profilage) pose le principe selon lequel la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

 

Par ailleurs, le G29, qui a rendu des lignes directrices concernant le profilage le 3 octobre 2017 dernier, (19) distingue trois formes de profilage à savoir (i) general profiling; (ii) decision-making based on profiling; and (iii) solely automated decision-making, including profiling.

 

Une telle interprétation sous-entendrait que l’article 22 ne s’appliquerait qu’à ces types de profilage, interprétation qui doit être confirmée.

 

Ces notions illustrent la difficulté pour les législateurs nationaux d’adapter le RGPD et de définir des règles cohérentes à l’échelle de l’Union européenne. A ce stade, les lignes directrices du G29 fournissent des compléments utiles au texte européen, sans préjuger de la valeur juridique qui leur sera conférée, dans l’attente des éventuelles interprétations jurisprudentielles.

 

II. QUELLE FUTURE MISE EN OEUVRE?

 

A/ Comment garantir la cohérence du futur dispositif ?

 

Dans le cadre de la procédure accélérée et comme vu ci-dessus, l’adaptation du RGPD se fera sur la base de la structure actuelle de la loi informatique et libertés de 1978, avant une future codification par voie d’ordonnance. Ce choix symbolique soulève cependant des problèmes de lisibilité et de sécurité juridique comme le relève à juste titre la CNIL dans son avis du 30 novembre 2017, difficultés qui pourraient être préjudiciables pour les responsables de traitement comme les personnes concernées.

 

Cette méthodologie est sujette à caution du fait :

 

-          de la difficulté d’identifier les redondances ou incompatibilités à supprimer, en l’absence de travaux exhaustifs ;

-          de l’absence de lisibilité des critères d’application territoriale du RGPD d’une part et des droits nationaux d’autre part, au vu des dérogations autorisées (par exemple à l’article 85 du RGPD en matière de presse. Comment garantir des dispositifs opérationnels et cohérents avec le règlement, d’un pays à l’autre à ce stade ?

-          de la difficulté d’éviter la reprise telle quelle des dispositions du RGPD alors que la Commission a rappelé ses exigences dans le cadre de l’adaptation du texte à travers sa Communication du 24 janvier dernier (COM, 2018,43). Il y est ainsi rappelé que les Etats-membres ne doivent pas reprendre directement les dispositions du texte sauf si de telles répétitions étaient nécessaires pour garantir la cohérence du cadre juridique ou l’intelligibilité des droits nationaux.

-          du caractère incomplet de cette loi d’adaptation (21) avant la refonte prévue par voie d’ordonnance ;

 

B/ Quel impact économique du RGPD ?

 

De nombreux acteurs économiques s’interrogent également sur l’impact économique de la mise en conformité du RGPD dans un contexte où les normes juridiques restent incertaines.

Le Conseil d’Etat s’est aussi interrogé sur l’impact de ce règlement et a ainsi relevé dans son avis que n’a pas été étudié le coût de la mise en œuvre du texte en particulier pour les entreprises, ainsi que ses conséquences budgétaires, pour l’Etat, ses établissements et les collectivités territoriales, n’ont pas été analysées. (22)

Le sujet de la mise en conformité des entreprises est également récurrent. Alors que certaines grandes entreprises ont communiqué sur leurs procédures de mise en conformité (23), d’autres entreprises ont indiqué ne pas se sentir prêtes pour faire face à ces changements législatifs. Ce point a notamment été signalé à l'occasion de la 12ème université de l'AFCDP par la présidente de la CNIL, Isabelle Falque-Pierrotin qui a rappelé les retards des entreprises pour recruter des délégués à la protection des données personnelles.

 

Se pose à ce titre la question des incitations ou des mécanismes de sensibilisation déployés, à l’instar de certains outils pratiques (à l’image du logiciel CNIL en matière de PIA) (24).

 

Autant de questions et d’éléments à suivre dans le cadre des travaux sur cette loi d’adaptation et notamment lors des discussions en séance publique à partir du 6 février prochain. Nous aurons l'occasion d'y revenir dans de prochains articles. 

 

REFERENCES

 

(1)     https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

(2)     Considérant 10 RGPD.

(3)     (Notamment concernant l’âge des enfants, où l’accord parental des nécessaire avant l’utilisation de services de la société de l’information. Les Etats-membres peuvent choisir un âge entre 13 ans minimum et 16 ans (article 8)).

(4)     N°4544 : rapport d’information assemblée nationale

(5)    https://www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo  LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique

(6)     Article 40.II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

(7)     http://www.assemblee-nationale.fr/14/projets/pl3318-ei.asp

(8)     https://ec.europa.eu/commission/priorities/digital-single-market_fr

(9)     https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data

(10) (En créant par ailleurs de nouvelles catégories : coresponsable de traitement, créant un formalisme pour les contrats de sous-traitance, obligations accrues du sous-traitant etc.).

(11) Article 37 RGPD

(12) Article 30 RGPD

(13) Article 35 RGPD

(14) Article 25 RGPD

(15) Article 35. RGPD

(16) Page 7 de l’avis du Conseil d’État NOR : JUSC1732261L (point 22).

(17) Article 9 RGPD

(18) Lignes directrices du 13 décembre 2017 https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf

(19) Page 8-9 lignes directrices du 3 octobre 2017 du G29). 17/EN WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

(20) Article 8 - Après l’article 5 de la même loi, il est inséré un article 5-1 ainsi rédigé : « Art. 5-1 - Les règles nationales, prises sur le fondement des dispositions du règlement (UE) 2016/679 renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement, s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. « Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. »

(21) Page 31, 32 Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978

(22) Avis du Conseil d’État, page 2. l’avis du Conseil d’État NOR : JUSC1732261L

(23) https://www.numerama.com/politique/324477-facebook-assure-quil-sera-pret-pour-le-nouveau-reglement-europeen-sur-les-donnees-personnelles.html

(24) https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

PROTECTION DES DONNEES: Quelle adaptation en droit français du RGPD?

Le projet de loi relatif à l'adaptation en droit français du règlement général sur la protection des données (RGPD) a été présenté le 13 décembre en Conseil des ministres. Il a pour objectif d'adapter et de transposer le nouveau cadre juridique européen qui entrera en vigueur en mai 2018 et de décliner l'ensemble de ses dispositions. Une telle adaptation est nécessaire parce que le règlement renvoie sur de nombreux points aux droits nationaux. Une première liste de ces renvois a été établie par l'Assemblée nationale dans son rapport d'information de février dernier et 56 points ont ainsi été recensés (par exemple en matière de données sensibles, de consentement des enfants ou d'autorisation du profilage), au-delà des éléments déjà intégrés dans la loi Lemaire pour une République numérique. Le gouvernement a par ailleurs indiqué dans l'exposé des motifs du projet de loi que l'architecture de la loi Informatique et Libertés sera conservée en signalant qu'il s'agissait d'un choix symbolique.  

Ce projet de loi se décompose en cinq titres: dispositions communes au règlement UE 2016/679 et à la directive UE 2016/680, marges de manoeuvre permises par le règlement, dispositions portant transposition de de la directive UE 2016/680, habilitation à améliorer l'intelligibilité de la législation applicable à la protection des données et enfin, dispositions diverses et finales. Nous intéressent plus particulièrement les deux premiers titres ainsi que l'habilitation. Le premier titre traite des dispositions relatives à la CNIL et des dispositions relatives à certaines catégories de données (données sensibles notamment). Le second titre reprend les différentes adaptations proposés s'agissant du champ d'application territorial du règlement, des dispositions relatives à la simplification des formalités préalables aux traitements, des obligations incombant aux responsables de traitements et sous-traitants, des catégories particulières de traitement (plus spécifiquement les données de santé) et enfin des droits des personnes concernés.

 

Cette adaptation du RGPD en droit français constitue un exercice délicat à plusieurs titres, au vu de l'ampleur des travaux à mener:

 

 

CALENDRIER

 

Le calendrier de ces travaux sera très contraint et pourrait générer des difficultés. En effet, le RGPD entrera en application le 25 mai 2018, à la suite d'une période de transition de deux ans, ce qui implique un calendrier législatif très bref puisque ce projet de loi relatif à la protection des données personnelles ne sera discuté qu'à partir de janvier 2018. La CNIL a, dans sa délibérationhttps://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles  du 30 novembre dernier, regretté un tel agenda et souligné le risque réel de non-respect des délais de mise en oeuvre du RGPD. Elle a aussi rappelé que l'application effective de ce texte européen nécessitait, au-delà de la future loi, de disposer des décrets d'application et de pouvoir modifier son propre règlement intérieur. A défaut, la mise en oeuvre des mécanismes de coordination et de contrôle ne pourra avoir lieu dans les délais prévus.

 

Un tel calendrier pourrait aussi être interprété comme un mauvais signal politique pour le droit des données personnelles. C'est l'interprétation de la CNIL qui a estimé à juste titre que ce projet de loi ne permettait pas procéder à ce stade à un réexamen global du droit de la protection des données en France. Si le choix du législateur européen de disposer d'un règlement et d'une directive a crée un premier niveau de complexité, la future loi ne devrait pas permettre de fournir une information claire et précise sur la portée des droits et des obligations. Une telle ré-écriture aura lieu avec la future ordonnance prévue au titre IV du projet de loi qui aura pour objet de reprendre l'ensemble de la loi 78-17 du 6 janvier 1978 et de mettre en cohérence la législation applicable à la protection des données. Cette ordonnance sera prise dans un délai de 6 mois à compter de la promulgation de ce projet de loi, ce qui permettra dès lors de satisfaire aux voeux d'une plus grande intelligibilité émis par la CNIL ou le Conseil d'Etat. De tels travaux n'auraient-ils pas dus être menés dans le cadre du présent projet de loi? La question doit être posée, d'autant que le choix de recourir à une future ordonnance peut apparaître comme une remise en cause des choix qui seront faits par le législateur.

 

QUELLE ADAPTATION?

 

Si les règlements européens n'ont pas à être transposés en droit interne du fait de leur portée générale et leur applicabilité directe, le RGPD constitue une exception. Cette adaptation -nécessaire du fait de l'état de la répartition des compétences entre Union européenne et Etats membres- traduit aussi l'état des lieux hérité de l'application de la directive 95/46. La variété - et la complexité- des dispositions appelant des adaptations doit cependant être notée. Le Conseil d'Etat a souligné avec insistance cette difficulté dans son avis du 7 décembre et noté que la nouvelle architecture de conformité mise en place par le RGPD était sans précédent.

 

Cet exercice interpelle également quant aux choix politiques et éthiques à l'oeuvre ou à faire, du fait des évolutions numériques notamment. Le Conseil d'Etat a rappelé la nécessité de disposer de normes robustes face aux évolutions techniques et suggéré une nouvelle fois un code du numérique et des libertés. A défaut d'un tel code, une vision précise reste toujours indispensable pour appréhender tous les enjeux brassés par le sujet de la protection des données personnelles (concurrence économique, traitements massifs de données, place de l'intelligence artificielle etc...), difficile à effectuer dans le cadre de ce projet de loi. D'autant que les 56 points recensés devant faire l'objet d'une adaptation méritent un examen approfondi.

 

Par exemple sur les conditions et des pouvoirs de contrôles de la CNIL, le délégué à la protection des données, la simplification des formalités et le maintien de régimes d'autorisation spécifiques,  le traitement des données sensibles et de santé ou les algorithmes. A ce titre, la question du contrôle des algorithmes est particulièrement intéressante notamment dans le cas des décisions administratives individuelles et annonce une évolution vers un régime plus complet. La CNIL s'est montrée critique sur ce point en notant que la cohérence entre le RGPD et la loi française n'était pas assurée par ce projet alors que cette disposition aura une portée considérable. Parmi ses nombreuses observations, la CNIL a aussi noté qu'un chapitre spécifique aux données de santé était nécessaire tout en s'interrogeant sur certains dispositifs (demandes d'autorisations pour les traitements à des fins de recherche ou information individuelle atténuée).

 

Par ailleurs, si le périmètre de cette adaptation a déjà suscité certaines remarques de la part du Conseil d'Etat et de la CNIL, celle-ci devra intervenir dans les limites d'une interprétation loyale et cohérente du RGPD, à l'image du processus de transposition, ce qui contraindra doublement les futurs travaux parlementaires tenus par un calendrier européen strict. ²

 

Ces débats devront être suivis attentivement. Car des hypothèques demeurent toujours, au-delà des points mentionnés ci-dessus. En effet, comme l'a signalé le Conseil d'Etat, l'étude d'impact du projet de loi n'analyse pas le coût économique de sa mise en oeuvre, en dépit de conséquences significatives pour les entreprises. Un point qui aurait pourtant été nécessaire, en complément de l'étude d'impact effectué lors de la présentation du RGPD. Le Conseil a relevé à ce titre les charges significatives pesant désormais sur les responsables de traitement et qui nécessitent de mettre en place une législation claire et prévisible, prévisibilité qui sera sans doute difficile à assurer au vu du calendrier et de la difficulté de l'exercice.

 

 

PROTECTION DES DONNEES ET RGPD : Jérôme Deroulez a rédigé un article dans la revue pratique de la prospective et de l'innovation d'octobre 2017 sur la mise en oeuvre du privacy-by-design

Privacy by design: comment mettre en musique norme juridique et exigences technologies avec le RGPD?  

L’entrée en application du nouveau règlement général sur la protection des données personnelles (RGPD http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679) en mai 2018 va entraîner une révolution copernicienne dans la mise en œuvre concrète du droit à la protection des données personnelles.

 

Contenu du principe de privacy by design (RGPD)

 

Au titre de ces innovations, l’article 25 du futur règlement (RGPD) prévoit un principe de protection des données dès la conception d’un traitement (privacy-by-design) : compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

 

Privacy by design et accountability

 

Ainsi, les mécanismes existants de notification préalable ou d’autorisation seront remplacés par une démarche plus globale de responsabilisation ou d’accountability. En conséquence et au vu de l’article 25 du RGPD, les responsables de traitement devront être en mesure de démontrer à postériori toutes les mesures prises pour prévenir les risques de sécurité tout en garantissant simultanément un haut niveau de protection des données personnelles.

 

Privacy by design et mesures techniques dans le RGPD?

 

Les contours de cette obligation dépassent largement la sphère juridique puisqu’ils imposent de mettre en place des mesures techniques et organisationnelles et d’en contrôler le caractère adéquat ou approprié. Ces dispositions marquent ainsi la nécessité et la difficulté pour le juriste en général et l’avocat en particulier de posséder une expertise spécifique de ces technologies pour en apprécier la portée et l’effectivité.

 

BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"

L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf  

Blockchain et RGPD

 

Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.

 

Blockchain et effectivité de la vie privée

 

Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.

 

Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.

 

Privacy vs Blockchain 

 

La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.

 

Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.

 

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.

Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ? 

Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…

Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.

L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet,  en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.

Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).

Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.

GDPR: Que va faire le  législateur français ?

Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.

La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.

Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.

La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.

Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr

PROTECTION DES DONNEES, RESPECT DE LA VIE PRIVEE ET LIBERTE D'EXPRESSION

Arrêt intéressant de la CEDH du 27 juin 2017 (Grande Chambre - Aff Satakunnan Markkinapörssi OY et Satamedia OY c/ Finlande. Requête 931/13) s'agissant de la conciliation entre protection des données, protection de la vie privée et liberté d'expression, à propos de la publication par la presse finlandaise de données fiscales de personnes physiques.

Historique

La CJUE d'abord saisie en 2008 d'une question préjudicielle dans ce dossier (C-73-07) avait estimé que ces activités pouvaient être qualifiées de traitements de données à caractère personnel tout en reconnaissant que leur divulgation pouvait entrer dans l'activité de journalisme et donc être couverte par la dérogation prévue par la directive 95/46.

Saisie en 2010, la CEDH a relevé les normes pertinentes de l'Union européenne dont la charte des droits fondamentaux et fait directement référence au futur règlement UE 2016/679 -et à ses dérogations aux fins de journalisme héritées de la directive 95/46.

Elle a aussi cité la jurisprudence de la CJUE sur la protection des données et la liberté d'expression, au vu de ses multiples rappels soulignant que les dispositions du droit européen sur la protection des données devaient être interprétées à la lumière des droits fondamentaux garantis par la Convention et par la Charte.

Liberté de la presse, protection des données et vie privée

Après un rappel exhaustif de la jurisprudence de la CJUE en matière de protection des données, la CEDH a noté les spécificités de cette affaire (au vu du large accès du public aux données fiscales en cause) et souligné les principes généraux gouvernant sa propre jurisprudence, en terme de liberté de la presse, de droit à la vie privée et de protection des données.

Elle a estimé enfin qu'il n'y avait pas eu de violation de l'article 10 de la convention relatif sur la liberté de la presse et que les autorités finlandaises avaient tenu compte des principes et des critères de sa jurisprudence, quant à la mise en balance du droit au respect de la vie privée et du droit à la liberté d'expression, en agissant dans les limites de leur marge d'appréciation et en ménageant un juste équilibre entre les intérêts concurrents en jeu.

Cet arrêt est intéressant à plus d'un titre, dans la mesure où il éclaire les principes généraux gouvernant les jurisprudences de la CEDH et de la CJUE en matière de respect de la vie privée, de protection des données personnelles et de droit à la liberté d'expression, en fournissant un panorama exhaustif.

L'arrêt en question souligne aussi les apports croisés de ces différentes jurisprudences et la double protection apportée à ces droits, tant par la Cour de Luxembourg que par la Cour de Strabourg et leur souci d'un exercice concret de ces droits. Il rappelle enfin, à travers les opinions dissidentes, les débats sur la notion d'activité journalistique et ses contours comme sur la mise en balance de droits concurrents.

Protection des données, CJUE et CEDH

Il sera intéressant d'observer à l'avenir comment la montée en puissance du droit à la protection des données personnelles, consacré comme droit fondamental par le traité de Lisbonne continuera à être traduite concrètement dans les futures jurisprudences des deux Cours. A noter également la référence au GDPR (règlement 2016/679) par la CEDH.

GDPR, Brexit and data protection

Whereas the General Data Protection Regulation (GDPR) should be applicable in the UE from May 2018, BREXIT could lead to a new fragmentation of the European rules regarding data protection. If the GDPR focused on building and improving a European Data market, any Brexit could harm this goal and have undesirable consequences.

Furthermore, being outside of the European Union won’t prevent British companies from enforcing the GDPR regarding its provisions on territorial scope (article 3) but will generate new forms of legal complexity.

Brexit and GDPR

Like in many other contexts, some solutions are at stake: an "UE-UK Privacy Shield" or an adequacy decision could then be negotiated, even if such political processes imply much time. In the absence of any transitional mechanism, UK companies may face legal complexity when addressing the internal market.

Such difficulties should be considered as additional grounds for mapping all flows of datas concerned (for example when datas are stored or transferred to/from the UK). And they must underline all the necessary steps to be fully compliant with the GDPR.

Brexit

Brexit

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

Protection des données personnelles : vers de nouvelles règles européennes

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre 2015, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps 2016, pour une entrée en application en 2018. Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement. Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

Bref rappel chronologique  :

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

1/ S’agissant du renforcement du niveau de protection des données personnelles, ce texte affirme ses ambitions avec entre autres :

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

La dimension « marché intérieur »de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

3/ Ce texte doit aussi participer à la réduction des charges administratives.

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du règlement, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]

// Aseptio