I. Définition :

 

Le Règlement Général sur la Protection des Données (« RGPD ») adopté le 27 avril 2016 (Règlement (UE) 2016-679 du Parlement Européen et du Conseil) est une nouvelle règlementation qui :

  1. fixe des règles pour mieux protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel ;
  2. fixe des règles concernant la circulation de ces données ;
  3. accorde des droits pour les personnes physiques dont les données personnelles sont collectées (droit à l’oubli, droit d’opposition…) ;
  4. impose de nouvelles obligations et responsabilité aux collecteurs de ces données avec des sanctions importantes en cas de manquement.

 

Ce règlement reprend les principes fixés dans la Loi informatique et Libertés n° 78-17 du 6 janvier 1978 («LIL »). Il remplace également le régime qui avait été mis en place par la directive 95/46/CE de 1995 concernant la protection des données personnelles.

 

Les entreprises, ou les « organismes » qui collectent des données personnelles ont l’obligation de s’y conformer au plus tard le 25 mai 2018.

 

Le « RGPD » étend l’application de la Loi Informatiques et Libertés « LIL » à l’ensemble des organismes (entreprises publiques ou privée, professions libérales, Etat…) traitant des données personnelles relatives aux résidents européens, qu’ils soient directement responsables de traitement ou des sous-traitants.


II. Champ d’application :

 

Le « RGPD » s’applique à toutes les données personnelles collectées par un « organisme » se rapportant à des personnes physiques identités ou identifiables directement ou indirectement, notamment grâce à un identifiant.

 

Sont visés les traitements automatisés en tout, ou en partie ainsi que les traitements non automatisés appelés à figurer dans un fichier. Tous les responsables de traitement et tous les sous-traitants établis sur le territoire de l’Union Européenne (« UE ») que le traitement ait lieu ou non dans l’Union Européenne doivent impérativement respecter ce Règlement.

 

Le règlement s’appliquera à chaque fois qu’une personne physique au sein de l’UE sera directement visée par un traitement de données à caractère personnel, même si le responsable du traitement ou ses sous-traitants sont basés hors de l’UE. De plus, le règlement s’applique aux responsables de traitements mais également aux sous-traitants. Le sous-traitant est la personne, l’entreprise, ou l’organisme qui traite des données à caractère personnel pour le compte du responsable du traitement de l’organisme.


III. Les points communs entre le « RGPD » et la loi dite Informatique et Libertés (« LIL ») :

 

Les même principes et obligations de la loi française dite Informatique et Libertés sont à respecter (art 5) : la finalité du traitement doit être explicite et légitime.

 

Le rapport entre les données collectées et le traitement envisagé doit être pertinent.

 


IV. Distinction du « RGPD » entre les données dites « sensibles » et les autres données :

 

Le « RGPD » distingue le cas des données dites « sensibles », des autres données personnelles.

 

En tout état de cause, les données (sensibles ou non) doivent être collectées de manière licite, loyale et transparente.

 

Les collectes de données doivent être adéquates, pertinentes et limitées, à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées : il s’agit du principe de « minimisation de la collecte ».

 

La durée de conservation de ces données doit être également limitée pendant une durée qui ne doit pas être excessive par rapport à ce qui est nécessaire au regard des finalités du traitement.

 

Les données « sensibles » sont notamment des données personnelles qui révèlent :

  • l'origine raciale ou ethnique,
  • les opinions politiques,
  • les convictions religieuses ou philosophiques ou l'appartenance syndicale,
  • le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique,
  • des données concernant la santé,
  • des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

 

Le traitement des données « sensibles » est en principe interdit… sauf dans les cas suivants (exceptions) :

  • si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf exception du droit de l’Etat membre.
  • si le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée.
  • si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.
  • si le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées.
  • si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.
  • si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.
  • si le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre (droit qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée).
  • si le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé ;
  • si le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sous réserves des droits pour la sauvegarde des droits et libertés de la personne concernée prévus par l’Etat membre (notamment en ce qui concerne le secret professionnel).
  • si le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

 

(Article 9 §1 du « RGPD »)


V. Définition des principes « Privacy by Design » et « Privacy by default » du « RGPD » :

 

Le « RGPD » doit permettre de « responsabiliser » tous les « acteurs » qui collectent des données personnelles : les organismes doivent être en mesure de prouver à tout moment à la CNIL leur conformité au « RGPD ».

 

Dans ce cadre, le « RGPD » pose les principes de : « Privacy by Design » et de « Privacy by default » :


Le principe dit de « Privacy by Design » correspond à l’obligation pour l’organisme qui collecte des données de prendre des mesures préventives ayant pour but de limiter les risques d’abus et de violation des données.

Ce principe de « Privacy by Design » est basé sur sept-sous principes :

  • la conception de mesures préventives et proactives : mise en place de mécanismes qui assurent une protection effective de la vie privée, et ce sans attendre qu’une atteinte soit constatée,
  • la protection par défaut (Privacy by default) : les fonctionnalités du traitement doivent protéger la vie privée par défaut sans qu’elles aient à être activées,
  • la prise en compte des règles sur la protection de la vie privée dans la conception des produits et durant leur utilisation : il convient d’intégrer les questions de vie privée dès la conception des produits, des protocole et des traitements de données (par exemple : la mise à disposition d’un guide juridique indiquant les normes à respecter dès l’étape de la conception d’un produit),
  • la protection optimale et intégrale : les organismes doivent assurer une protection optimale des données à chaque instant et être en mesure de la démonter en documentant leur conformité au règlement,
  • la visibilité et la transparence : assurer la visibilité et la transparence, il doit être possible de contrôler les mécanismes de protection de la vie privée.
  • la sécurité tout au long de la conservation des données : assurer la sécurité des utilisateurs pendant toute la durée du traitement, ainsi que la période de conservation des données,
  • le respect de la vie privée des usagers ou des cibles du service : le respect de la vie privée des utilisateurs doit être au coeur des préoccupations des responsables de traitement.

Le principe dit de « Privacy by default » est le principe selon lequel quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir très rapidement et facilement le plus haut niveau de protection possible des données.

  • Dès qu’un traitement de données personnelles est envisagé et au moment de la détermination des moyens de mise en oeuvre du traitement, le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées pour assurer la protection des données de manière effective (par exemple une pseudonymisation).
  • De plus, et par défaut, seules les données personnelles nécessaires pour une finalité déterminée peuvent faire l’objet d’un traitement de données. Ce principe est celui de la minimisation de la collecte des données.

Cette exigence s’appliquant à la quantité de données, l’étendue du traitement, la durée de conservation, l’accessibilité des données. Une donnée ne peut être collectée que dans un objectif défini (exécution de la prestation …).

Ainsi, une donnée personnelle ne peut être collectée que s’il y a une « bonne raison », une finalité à sa collecte par l’entreprise et que cette raison soit décrite précisément.

 


VI. Les obligations prévues par le « RGPD » pour les organismes ou pour les entreprises :

 

Le « RGPD » met fin aux démarches préalables de déclarations de fichiers clients sur le site internet de la CNIL (sauf pour certaines données concernant la santé). Il n’est plus nécessaire de déclarer les fameux « fichiers clients » pour un e-commerçant sur le site internet de la CNIL.

 

Par contre, le « RGPD » prévoit que les entreprises ou organismes qui collectent des données sont responsables de leurs traitements de données. Ils peuvent se voir condamner à de lourdes sanctions s’ils commettent des manquements dans la gestion de la collecte des données personnelles selon les règes du « RGPD ».

 

De plus, pour les entreprises qui comptent plus de 250 employés, un registre de traitement doit être tenu et déclaré à la CNIL.

 

Enfin, lorsque s’il y a une collecte de données susceptible d'engendrer un « risque élevé pour les droits et libertés des personnes concernées », et cette fois, quel que soit la taille de l’entreprise (plus de 250 employés ou moins), un rapport d’analyse d’impact appelé « DPIA » (pour « Data Protection Impact Assessment ») doit être préalablement réalisé et soumis à la CNIL, via son site internet ou le logiciel de la CNIL dédié.

 


 Obligations principales à tous les organismes qui collectent des données:

 

Le « RGPD » impose plusieurs obligations principales à tous les organismes qui collectent des données:

 

  • Obligation d’assurer la sécurité des données personnelles : les organismes doivent prendre en compte les enjeux liés à la protection des données dès la conception du produit ou du service à la charge du responsable du traitement, mais aussi du sous-traitant (mesures techniques et organisationnelles).

 

  • Obligation de notifier la violation des données à caractère personnel à la CNIL : le responsable du traitement doit documenter toute violation de données à caractère personnel (art 33 §1) en indiquant les faits, ses effets et les mesures pour y remédier (notification sous 72h). En cas de non-respect : amende administrative de la part de la CNIL pouvant s’élever à 10 M€ ou à 2% du chiffre d’affaire annuel mondial, dans le cas d’une entreprise.

 

  • Obligation de communiquer la violation de données à la personne concernée : lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à la personne concernée. Les trois critères de sécurité imposées par la CNIL sont la confidentialité, la disponibilité ainsi que l’intégrité.

 

  • Obligations propres aux sous-traitants : les sous-traitant ont des obligations de transparence et d’information. Le contrat conclu avec le responsable du traitement (l’entreprise ou l’organisme) doit prévoir que le sous-traitant s’engage à respecter les instructions du responsable du traitement, à demander l’autorisation écrite au client en cas de recours aux prestataires, à informer le responsable du traitement des éventuels transferts de données personnelles hors UE, à mettre à la disposition du responsable du traitement les informations nécessaires pour démontrer le bon respect du « RGPD ». Le contrat doit également prévoir, à la charge du sous-traitant des obligations d’assistance, d’alerte et de conseil ainsi que des obligations en fin de contrat.

 

  • Obligation de nommer un délégué à la protection des données - dans certains cas - :

 

  • Un délégué à la protection des données est un expert indépendant qui doit être associé à toute question relative à la protection des données personnelles, il est en charge d’informer et conseiller la responsable de traitement ou le sous-traitant, contrôler l’application du règlement, ainsi que de coopérer avec l’autorité de contrôle.

 

  • La désignation d’un délégué à la protection des données (DPO) est obligatoire tant pour le responsable de traitement que pour le sous-traitant dans trois cas :

 

  1. - Cas n°1 : lorsque le traitement est effectué par une autorité publique ou un organisme public.
  2. - Cas n°2 : lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (analyse du fichier-client et prospection ciblée en fonction de l’analyse).
  3. Cas n°3 : lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

 

  • Le DPO n’est pas personnellement responsable en cas de non-conformité de son organisme avec le « RGPD ».

 

  • Obligation de tenir un registre des activités de traitement pour les organismes de plus de 250 employés : pour les entreprises ou organisations comptant plus de 250 employés sauf si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes Ce registre sert à la disposition de la CNIL en cas de contrôle. Selon l’article 30 §1 du RGPD les informations que le responsable du traitement doit faire figurer au registre sont : le nom et les coordonnées du responsable du traitement, la finalité du traitement, la description des catégories de personnes concernées et des catégories de données à caractère personnel…

 Obligation spécifique de réaliser un rapport d’analyse d’impact appelé « DPIA » pour les organismes qui collectent des données personnelles dans le cas d’un risque élevé pour les droits et libertés :

 

Le « RGPD » impose une obligation spécifique de réaliser un rapport d’analyse d’impact pour les organismes qui collectent des données personnelles dans le cas d’un risque élevé pour les droits et libertés des personnes concernées :

 

Le « RGPD » prévoit la conduite d’une Analyse d’Impact sur la Protection des Données (un « DPIA » : pour « Data Protection Impact Assessment »), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un « risque élevé pour les droits et libertés des personnes concernées ».

 

Un « risque élevé pour les droits et libertés des personnes concernées », selon la CNIL est un scénario décrivant un évènement redouté et toutes les menaces qui permettraient qu’il survienne, tel qu’un accès non autorisé, (piratage, scénario d’une carte bancaire par exemple), une modification non désirée ou une disparition de données, et ses impacts potentiels sur les droits et libertés des personnes.

 

Le RGPD considère que l’analyse d’impact est requise :

 

  • en cas d’évaluation systématique et approfondis d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire,

 

  • pour le traitement à grande échelle de données « sensibles » ou de données à caractère personnel relatives à des condamnations pénales et à des infractions,

 

  • lors d’une surveillance systématique à grande échelle d’une zone accessible au public.

 

Cette analyse de l’impact (un rapport) doit être réalisée par le responsable du traitement.


Ce « DPIA » repose sur deux piliers :

  • l’évaluation de la nécessité de la proportionnalité concernant les principes et les droits fondamentaux (finalité, durée de conservation des données…),
  • l’étude des risques sur la sécurité des données (impacts potentiels sur la vie privée, accès non autorisé…).

 

Un « DPIA » doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

 

Ce ‘rapport’ de « DPIA » doit être préalablement réalisé avant la mise en oeuvre du traitement des données et il sera mis à jour tout au long du cycle de vie du traitement.

 

Une étude d’impact ne sera pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 ainsi que pour les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».

 

Un DPIA contient une description systématique des opérations de traitement envisagées et les finalités du traitement, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, une évaluation des risques ainsi que les mesures envisagées pour faire face aux risques sur les droits et libertés des personnes concernées.


Pour les organismes concernés, un logiciel open source PIA (Privacy Impact Assessment) doit faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données. Celui-ci est accessible sur le site de la CNIL à l’adresse suivante :

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

 


VII. Les droits accordés par le « RGPD » aux personnes physiques concernées par une collecte de leurs données personnelles :

 

Le « RGPD » renforce les droits des personnes physiques.

 

Pour avoir le droit de collecter des données, l’organisme ou l’entreprise doit recueillir le consentement des personnes physiques en demandant un acte positif, clair, c’est-à-dire exprès.

 

La personne concernée peut retirer son consentement à tout moment.

 

En tout état de cause, une personne physique qui voit ses données personnelles collectées, dispose des droits suivants grâce au « RGPD » :

  • Le droit à l’information de la personne concernée : Si des données à caractère personnel sont collectées directement auprès de cette personne, le responsable du traitement doit lui fournir toutes les informations listées dans un tableau (art 13) à titre d’exemple : l’identité et les coordonnées du responsable du traitement, les finalités du traitement, la base juridique du traitement etc…
  • Le droit d’opposition : en cas d’exercice de celui-ci, le responsable du traitement devra cesser le traitement sauf s’il démontre qu’il existe des motifs légitimes et impérieux. (art 21 §1)
  • Le droit d’accès et de rectification : la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et si elles le sont, l’accès auxdites données ainsi que des informations supplémentaires (art 15). Le délai de réponse à une demande de droit d’accès est un mois.
  • Le droit à la limitation du traitement dans certains cas comme par exemple si l’exactitude des données est contestée par la personne concernée, si le traitement est illicite et la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation …
  • Le droit à la portabilité des données : les personnes concernées ont le droit de « recevoir » : récupérer les données à caractère personnel les concernant, qu’elles ont fournies à un responsable du traitement initial. Si celles-ci ont été collectées avec son consentement et que le traitement a eu lieu par un procédé automatisé, une personne pourra exiger du responsable de traitement que celui-ci transfère ses données à un autre responsable de traitement.
  • Le droit à l’effacement ou le « droit à l’oubli » : (art 17 §1) toute personne concernée a le droit d’obtenir l’effacement de données à caractère personnel le concernant.
  • Le droit à réparation : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du « RGPD » a le droit d’obtenir du responsable du traitement ou du sous-traitant la réparation du préjudice subi (art 82).

 


VIII. Sanctions prévues par le « RGPD » en cas de manquement à leurs obligations par les organismes ou les entreprises qui collectent des données personnelles :

 

Les sanctions infligées aux entreprises en cas de manquement aux dispositions du « RGPD » peuvent être très importantes. La CNIL peut prononcer des sanctions administratives ou des amendes.


 Sanctions administratives :

Si l’entreprise viole les dispositions du « RGPD » la CNIL pourra :

− Mettre en demeure l’entreprise

− Retirer sa certification, ou ordonner à l’organisme de certification de la lui retirer

− Ordonner la rectification, la limitation ou l’effacement des données

− Ordonner de satisfaire aux demandes d’exercice des droits des personnes

− Suspendre les flux, des données adressées à un destinataire situé dans un pays tiers

− Limiter un traitement, de façon temporaire ou définitive

− Prononcer un avertissement


 Amendes :

En plus des sanctions administratives, la CNIL peut prononcer des amendes pouvant selon la catégorie de l’infraction s’élever de 10 à 20 M€ ou de 2% à 4% du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

 

La CNIL peut également prononcer des mesures correctrices : rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation du « RGPD », ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits … (art 58§2 « RGPD »).

Avocats Rainio. Me Timo RAINIO

Date de mise à jour du document : 09/04/2018

 

Nos Avocats vous assistent et conseillent, ainsi que votre entreprise, dans le cadre de contentieux devant la Cour d'appel de LYON, le Tribunal de Grande Instance, Le Tribunal de Commerce et le Conseil de Prud'hommes.

 

Nous pouvons vous proposer une convention d'honoraires ou un devis forfaitaire après présentation de votre affaire sur la page dédiée.

 

Les principaux domaines d'intervention du cabinet sont :