La loi et le RGPD visent tous deux le « traitement des données à caractère personnel » qui, par son caractère automatique (absence d’intervention humaine) ou manuel (à partir de 2004), comporte des risques certains quant aux traitements et usages excessifs qui pourraient en être faits par détournement de finalité.
Ainsi, l’article 2 de la loi dite « Informatique et libertés » précise qu’elle s’applique « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 ».
Données à caractère personnel : La loi et le RGPD définissent les données à caractère personnel comme « toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »
En outre, le développement des nouvelles technologies constitue un progrès indéniable. Dans de nombreux cas, leur utilisation facilite en effet le quotidien.
Force est de constater que tous ces systèmes informatisés sont enfin une source riche d’informations, y compris pour soi-même avec le développement des objets connectés. En effet, à bien y regarder, l’utilisation des nouvelles technologies, aussi généralisée et banale soit-elle, n’est pas sans risques : Risques d’immixtion dans la vie privée.
Comment protéger ses données à caractère personnel ? Quel spécialiste de la protection des données à caractère personnel est habilité à vous conseiller voire à protéger vos données ?
Pour répondre à toutes ces préoccupations, l’avocat spécialisé en droit de la protection des données à caractère personnel devient un recours indispensable pour la défense de vos droits.
Le cabinet d’Avocats de Maître Murielle-CAHEN, spécialisé (e) en droit internet et informatique ainsi qu’en droit de la Propriété intellectuelle intervient dans de nombreux domaines du droit des données personnelles, au-delà de la mise en conformité RGPD et accompagne ses clients au titre du conseil et en cas de contentieux (assistance en cas de contrôle, assistance suite à mise en demeure, sanctions).
- L’avocat en droit des données à caractère personnel vous aide dans la mise en conformité RGPD
- Objet et objectifs du RGPD
L’avocat en droit des données à caractère personnel vous aidera à la mise en conformité RGPD. En effet, depuis le 25 mai 2018, le RGPD ou règlement général sur la protection des données en vigueur depuis le 25 mai 2016 est directement applicable dans notre législation (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016).
Le RGPD est applicable dans toutes ses dispositions et obligations depuis le 25 mai 2018, mais les États membres ont sur certains points une latitude pour le mettre en œuvre. En effet, dix articles de la loi exploitent les 57 marges de manœuvre permises par le RGPD, règlement sui generis qui, bien que d’application directe, compte plus de cinquante dispositions renvoyant au droit des États.
Il abroge la directive 95/46/CE du 24 octobre 1995 du même nom et ses dispositions sont prises en compte dans la nouvelle Loi informatique et libertés du 20 juin 2018 (L. n° 2018-493, 20 juin 2018 : JO, 21 juin), dont l’objet de responsabiliser le responsable de traitement afin que les principes relatifs au traitement de données à caractère personnel soient respectés et que ces données soient traitées de manière licite, loyale et transparente.
La loi du 20 juin 2018 conformément à la logique de renforcement du contrôle a posteriori du RGPD, supprime la plupart des démarches préalables auprès de la CNIL, en adoptant un système de contrôle a posteriori. En passant d’une logique de déclaration préalable à un régime de mise en conformité, la réforme fait ainsi peser de nouvelles responsabilités sur les entreprises.
L’ordonnance du 12 décembre 2018 est venue réécrire la loi informatique et libertés, dans une 4e version, compte tenu des nombreuses incohérences qu’elle comportait encore à la suite de la synthèse difficile qu’elle avait opérée entre la directive et le RGPD (Ord. n° 2018-1125, 12 déc. 2018 : JO, 13 déc.).
- Traitements de données à caractère personnel visés
Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (RGPD, 27 avr. 2016, art. 2, § 1). Cette définition reprend mot pour mot celle de la directive de 1995 (Dir. 95/46/CE, art. 3, § 1).
Le règlement européen protège les données à caractère personnel de personnes physiques telles, que par exemple les clients, les salariés d’une entreprise, données qui permet d’identifier la personne ou de la rendre identifiable.
Quant au traitement, ce n’est pas uniquement un fichier, une base de données ou un tableau Excel ; il peut aussi s’agir d’une installation de vidéosurveillance, d’un système de paiement par carte bancaire ou de reconnaissance biométrique (RGPD, art. 4, 2).
II. L’avocat en droit des données à caractère personnel défend votre consentement pour l’utilisation de vos données
L’avocat pourra défendre vos droits au consentement RGPD devant les juridictions. En effet, le responsable peut procéder à un traitement de données personnelles dès lors que la personne concernée a consenti à ce traitement pour une ou plusieurs finalités spécifiques. Le consentement doit ici être compris au sens donné par la RGPD qui indique qu’il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, § 11).
Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire.
Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.
Le consentement doit encore être spécifique en ce sens qu’il doit être donné pour un traitement en particulier pour une finalité donnée. Dès lors que plusieurs finalités sont visées, la personne concernée devrait pouvoir consentir indépendamment pour l’une ou l’autre des finalités. Le G29 préconisait en ce sens une granularité des consentements en fonction des finalités (Lignes directrices CEPD n° 05/2020, 4 mai 2020).
Troisièmement, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.
Enfin, le consentement doit être univoque. Cela signifie qu’il doit être exprimé sans aucune ambiguïté.
Pour cette raison, le RGPD édicte que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (RGPD, art. 7, § 2).
Il est à noter que la décision de la CNIL de reporter d’un an l’application de cette exigence de consentement conforme au RGPD en matière de cookies a fait l’objet d’un recours devant le Conseil d’État qui a été rejeté le 16 octobre 2019 (CE, 16 oct. 2019, n° 433069).
Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptés par la CNIL le 4 juillet 2019, mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Cette pratique consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion (CE, 19 juin 2020, n° 434684).
III.L’avocat en droit des données à caractère personnel vous accompagne dans votre recours en cas de non-respect de vos droits
- Droit de saisir la CNIL
L’avocat pourra saisir la CNIL pour la défense des droits de son client. En effet, toute personne concernée a le droit d’introduire une réclamation, une pétition ou une plainte auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel (RGPD, art. 77).
Si elle estime que la réclamation est fondée, la CNIL peut désormais demander au Conseil d’État d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée.
Elle doit alors assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision d’adéquation et les actes pris par la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt Schrems dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du « Safe Harbor » (L. n° 78-17, 6 janv. 1978, art. 39).
Pour l’année 2018, la CNIL indique avoir enregistré 11 077 plaintes de personnes concernées, soit une hausse de 32,5 % par rapport à l’année précédente. La CNIL précise que, le plus souvent, elle « intervient auprès du responsable du fichier pour l’informer des manquements soulevés par le plaignant et des textes applicables, afin qu’il se mette en conformité et respecte les droits des personnes ». Pour 2018, ces plaintes portent sur la diffusion de données sur internet (373 demandes de déréférencement), sur le secteur marketing/commerce, sur celui des ressources humaines, sur les secteurs de la banque et du crédit ou encore de la santé et du social (CNIL, Rapp. D’activité 2018, La Documentation française, avr. 2019, p. 42 et s.).
- Droit de saisir les juridictions des ordres administratifs et judiciaires
L’avocat pourra saisir les juridictions de l’ordre administratif et judiciaire. En effet, l’’action peut être exercée pour lutter contre une décision de la CNIL (RGPD, art. 78) ou du responsable de traitement ou sous-traitant (RGPD, art. 79). Dans le cadre d’un litige transfrontalier, l’action est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique (RGPD, art. 79, § 2).
Le recours peut être formé à titre individuel ou collectif. Cette possibilité de mettre en œuvre une action de groupe en cas de violation des règles inhérentes au traitement de données personnelles est une innovation du RGPD (RGPD, art. 80). Elle a été intégrée dans le corpus juridique français aux articles 37 et suivants de la loi du 6 janvier 1978.
Pour l’intenter, il est nécessaire que plusieurs personnes physiques placées dans une situation similaire aient subi « un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD ou de la loi informatique et libertés par un responsable du traitement ou un sous-traitant » (L. n° 78-17, 6 janv. 1978, art. 37, II). Quant à ses modalités, l’action peut être portée à l’encontre d’un responsable de traitement ou d’un sous-traitant devant une juridiction administrative ou civile par trois catégories de personnes morales.
Il peut s’agir d’une association régulièrement déclarée depuis au moins cinq et ayant dans son objet statutaire la protection de la vie privée ou la protection des données à caractère personnel, d’une association de défense des consommateurs représentative au niveau national et agréé dès lors que le manquement en cause affecte un consommateur ou d’une organisation syndicale de salariés, de fonctionnaires ou de magistrats de l’ordre judiciaire représentative quand le traitement affecte les intérêts des personnes dont elles ont la défense en vertu de leurs statuts. Les cabinets d’avocats en sont par conséquent exclus.
La CNIL doit être tenue informée de la procédure. Pour que l’action aboutisse, le manquement doit être intervenu après le 24 mai 2018 et être de même nature pour toutes les personnes concernées qui décident d’engager la procédure. Si l’action est fondée, le responsable ou le sous-traitant peut se voir contraint de cesser le manquement et/ou, et c’est une nouveauté, d’indemniser les préjudices moraux et matériels subis par les personnes concernées.
Le dispositif encadrant les recours ouverts à la personne concernée est complété par la possibilité pour toute personne de mandater une association ou une organisation afin qu’elle agisse en son nom et pour son compte. Ici, le mandataire peut être l’une des personnes visées dans le cadre de l’action de groupe ou une association ou organisation dont l’objet statutaire est en relation avec la protection des droits et libertés ou encore une association dont la personne concernée est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.
L’éventail des personnes susceptibles d’agir en qualité de mandataire est donc plus large. Il faut noter qu’en matière pénale, cette action peut être portée devant la CNIL, contre la CNIL ou devant un juge contre un responsable de traitement ou un sous-traitant (L. n° 78-17, 6 janv. 1978, art. 38).
- Conséquences de l’action - Engagement de la responsabilité du responsable et/ou du sous-traitant
Aux termes de l’article 82, § 2 du RGPD, il suffit qu’un responsable ait participé au traitement pour que sa responsabilité puisse être engagée en cas de dommage causé par une violation du règlement, à moins de prouver que le fait qui a provoqué le dommage ne lui est nullement imputable. À la lecture du texte, la responsabilité du responsable semble donc pouvoir être retenue largement.
Ce cadre diffère pour le sous-traitant dont la responsabilité peut désormais être engagée avec le RGPD. Tel est le cas s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. À l’image du responsable du traitement, le sous-traitant peut s’exonérer s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (RGPD, art. 82, § 2).
Pour la personne concernée, ce partage de la responsabilité n’est pas le système le plus protecteur. Pour cette raison, l’article 82, § 4 du RGPD instaure un mécanisme de solidarité lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement.
Dans cette situation, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celui qui a réparé intégralement le préjudice dispose dans un second temps, d’une action récursoire à l’encontre de ses codébiteurs (RGPD, art. 82, § 5).
Cette action récursoire n’est pas superflue au regard du renforcement des sanctions pécuniaires pouvant être prononcées par une autorité de contrôle. En effet, le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme qui ne respecterait pas le texte.
Cette amende varie en fonction de l’infraction commise, la CNIL pouvant tantôt sanctionner à hauteur de 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’organisme fautif, tantôt sanctionner à hauteur de 20 M€ ou 4 % du chiffre d’affaires annuel mondial, la plus haute des deux étant à chaque fois retenue comme amende maximum pouvant être prononcée (RGPD, art. 83, § 4 et 5).
SOURCES :
- https://www.legifrance.gouv.fr/juri/id/JURITEXT000033346676?tab_selection=all&searchField=ALL&query=15-22595&page=1&init=true
- http://curia.europa.eu/juris/liste.jsf?language=fr&jur=C%2CT%2CF&num=C-673/17&parties=&dates=error&docnodecision=docnodecision&allcommjo=allcommjo&affint=affint&affclose=affclose&alldocrec=alldocrec&docdecision=docdecision&docor=docor&docav=docav&docsom=docsom&docinf=docinf&alldocnorec=alldocnorec&docnoor=docnoor&docppoag=docppoag&radtypeord=on&newform=newform&docj=docj&docop=docop&docnoj=docnoj&typeord=ALL&domaine=&mots=&resmax=100&Submit=Rechercher
- https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038783337/
- http://curia.europa.eu/juris/liste.jsf?language=fr&jur=C%2CT%2CF&num=C-362/14&parties=&dates=error&docnodecision=docnodecision&allcommjo=allcommjo&affint=affint&affclose=affclose&alldocrec=alldocrec&docdecision=docdecision&docor=docor&docav=docav&docsom=docsom&docinf=docinf&alldocnorec=alldocnorec&docnoor=docnoor&docppoag=docppoag&radtypeord=on&newform=newform&docj=docj&docop=docop&docnoj=docnoj&typeord=ALL&domaine=&mots=&resmax=100&Submit=Rechercher
Pas de contribution, soyez le premier