retour

RGPD / GDPR : que change le nouveau règlement européen ?

Back

RGPD / GDPR : que change le nouveau règlement européen ?

Fruit de quatre années de travail et de négociations, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, dit « RGPD ») abroge la directive 95/46/CE du 24 octobre 1995 du même nom. Entré en vigueur le 25 mai 2016, il comporte 99 articles et 173 considérants, en comparaison des 34 articles de la directive. Il est applicable à partir du 25 mai 2018, date à laquelle tous les organismes - tant privés que publics - devront s’y conformer.

Le RGPD s’inscrit dans un contexte bien différent de celui d’il y a 20 ans. L’évolution rapide des technologies, la mondialisation, l’augmentation de l’ampleur de la collecte et du partage de données, l’utilisation accrue des données tant par les entreprises privées que par les autorités publiques, le développement des réseaux sociaux ont fait naître de nouveaux enjeux pour la protection des données. Ces évolutions ont créé le besoin d’« un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles ».

Sommaire :


Quels sont les traitements couverts ?

Le RGPD s’applique au traitement de données personnelles, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données personnelles contenues ou appelées à figurer dans un fichier. Cette définition reprend mot pour mot celle de la directive 95/46/CE du 24 octobre 1995.

Le RGPD vise à protéger les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données personnelles. Il ne couvre pas les traitements des données personnelles qui concernent les personnes morales, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Sont, en revanche, exclus les traitements effectués dans le cadre de politiques qui ne relèvent pas de la compétence de l’UE mais de celle des États membres, ainsi que ceux réalisés par des personnes physiques dans le cadre de leur vie privée.

Qui sont les acteurs concernés ?

Le législateur européen a souhaité protéger le plus amplement possible les données personnelles des Européens. Aussi a-t-il consacré un champ d’application large, au point que l’on peut parler d’extraterritorialité.

Les entités établies dans l’UE
Tout d’abord, le RGPD s’applique au traitement des données personnelles effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE. Si le critère du lieu d’établissement du traitement était déjà consacré par la directive 95/46/CE, une première nouveauté tient ici au fait que l’on prend désormais aussi en considération le lieu d’établissement du sous-traitant. En effet, la responsabilité de ce nouvel acteur étant désormais susceptible d’être engagée, il est logique, par souci d’efficacité, de prendre aussi en considération sa situation géographique pour décider de l’application du RGPD.

Les entités établies en dehors de l’UE
Le RGPD prévoit désormais un deuxième critère de rattachement tenant à la situation géographique des personnes concernées par les traitements de données personnelles. Quand ces dernières se situent sur le territoire de l’UE, le RGPD aura vocation à s’appliquer, alors même que le responsable du traitement ou le sous-traitant ne l’est pas, dans deux hypothèses :
– lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’UE, qu’un paiement soit exigé ou non desdites personnes ;
– lorsque de telles activités sont liées au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE.

L’objectif ici est de tenir compte des activités des services numériques pour lesquelles les opérateurs sont souvent situés aux États-Unis et opèrent dans l’UE tout en refusant d’en appliquer les règles.

Les sous-traitants
Parmi les nouveautés essentielles, le RGPD impose des obligations aux sous-traitants qui traitent des données personnelles pour le compte de leurs clients responsables de traitements. Un des objectifs du législateur européen a été de rendre responsables les fournisseurs de prestation de cloud computing, dans leurs activités de stockage de données personnelles.

Le DPO au cœur du dispositif

Le délégué à la protection des données (ou DPO pour Data Protection Officer) est au cœur du nouveau règlement. Il doit être associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel au sein de l’organisme.

Si le DPO est le successeur naturel du CIL, des différences majeures peuvent être soulignées. Le RGPD précise les exigences portant sur le DPO s’agissant de ses qualifications (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et de sa formation continue (entretien de ses connaissances spécialisées).

En outre, ses prérogatives et missions sont renforcées, en particulier son rôle de conseil et sensibilisation sur les nouvelles obligations du RGPD (ex. : conseil et vérification de l’exécution des analyses d’impact).

Par ailleurs, les organismes doivent fournir à leur DPO les ressources nécessaires à ses missions (notamment l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données, lui donner accès aux données ou encore lui permettre de se former).

Enfin, contrairement au CIL dont la désignation est facultative, celle du DPO est obligatoire dans certains cas.

Les missions du DPO sont plus larges que celles du CIL, aussi ces derniers ne sont-ils pas automatiquement reconduits en tant que DPO.

Les organismes doivent obligatoirement désigner un DPO dans trois cas :
– lorsque le traitement est effectué par une autorité publique (ou un organisme public), à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. Si le législateur doit préciser cette notion, nous pouvons d’ores et déjà considérer que doivent, notamment, nommer un DPO les personnes morales de droit public comme l’État, les collectivités territoriales (communes, départements, régions), ainsi que les établissements publics (hôpitaux, universités…) ;
– lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
– lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données ou de données personnelles relatives à des condamnations pénales et à des infractions.

En dehors de ces cas, la désignation d’un DPO est logiquement facultative, mais fortement encouragée car elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Le DPO n’est pas personnellement responsable en cas de violation des dispositions du RGPD. Ce dernier prévoit la responsabilité du responsable du traitement et celle du sous-traitant. Mais la désignation d’un DPO n’a pas pour effet de lui transférer cette responsabilité.

Quelles sont les nouvelles obligations des acteurs ?

Jusqu’à présent, la principale obligation à la charge des organismes consistait en l’accomplissement de formalités préalables, c’est-à-dire l’obligation de déclarer les traitements ou de demander une autorisation pour ce faire. Le RGPD change la donne : on passe d’une logique de contrôle a posteriori à celle de contrôle a priori. Désormais, les organismes doivent rendre compte (accountability) et respecter un certain nombre d’obligations dont ils doivent apporter la preuve.

Mise en œuvre de mesures techniques et organisationnelles appropriées
Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Désormais, le RGPD laisse le responsable du traitement libre de décider des mesures qu’il doit prendre, comme par exemple la pseudonymisation, dès lors qu’elles permettent de respecter les droits des personnes concernées. La charge de la preuve lui incombe, aussi est-il absolument nécessaire de documenter toutes les décisions prises en ce sens.

Protection des données dès la conception et protection des données par défaut
Le responsable du traitement doit plus précisément mettre en œuvre des mesures techniques et organisationnelles appropriées, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, afin de répondre aux exigences du RGPD et de protéger les droits de la personne concernée. Ce concept dit privacy by design implique donc de considérer l’exigence de protection des données personnelles, dès la conception des projets, produits ou procédures.

Tenue d’un registre des activités de traitement
Le registre des activités de traitement est tenu par le responsable du traitement mais le sous-traitant en tient un aussi. Il est un des principaux outils permettant aux organismes de prouver le respect des obligations imposées par le RGPD, ce qui implique qu’ils le mettent à la disposition de l’autorité de contrôle sur demande. Le RGPD en précise la forme (écrite, y compris électronique), ainsi que le contenu : nom et coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ; les finalités du traitement ; une description des catégories de personnes concernées et données personnelles ; les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ; les transferts de données personnelles vers un pays tiers ; dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données, ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles. S’agissant du registre tenu par le sous-traitant, les mêmes informations doivent être fournies, à l’exception notable de l’indication des délais prévus pour l’effacement des différentes catégories de données, puisque la politique d’effacement est décidée par le responsable du traitement. S’agissant des coordonnées à indiquer, outre celles du ou des sous-traitants, il faut ajouter celles de chaque responsable du traitement pour le compte duquel le sous-traitant agit, ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du DPO.

L’obligation de tenir un registre ne concerne pas les entreprises ou organisations comptant moins de 250 employés, sauf dans trois cas : si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ; si le traitement n’est pas occasionnel ; s’il porte sur certaines catégories de données (données sensibles ou données relatives à des condamnations pénales et à des infractions). Au final, il y a de fortes chances que les entreprises concernées tombent dans l’un de ces cas, en particulier le deuxième, aussi cette réserve pour les plus petites entreprises aura probablement une faible portée pratique dans les faits.

Sécurisation des données et traitements
Les exigences relatives à la sécurité des données se déclinent en trois actions : sécuriser le traitement, notifier à l’autorité de contrôle une violation de données à caractère personnel, ainsi qu’à la personne concernée. Il est ainsi imposé au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque. Cela peut se traduire par l’utilisation : de la pseudonymisation et du chiffrement des données ; de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. En outre, doit être mise en place une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Imposer une obligation de sécurité des données est particulièrement exigeant, mais la rigueur de l’obligation est nuancée par la prise en compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. On sait que la sécurité absolue n’existe pas et il est tout à fait nécessaire de se référer à l’état des connaissances. Est ici consacrée une obligation de moyens, impliquant que les mesures prises par le responsable des données soient en phase avec l’état de l’art et ce qui est pratiqué en matière de sécurité, à un instant donné. Naturellement, cette obligation est à rapprocher des mesures de sécurité des systèmes d’information, parfois imposées par les législations nationales. Plus précisément, lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. L’application d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect de ces exigences.

Notification des violations de données personnelles
Le RGPD généralise l’obligation de notifier la violation de données à la CNIL et impose, dans certains cas, d’informer les personnes concernées.
La violation de données personnelles est définie comme toute violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles faisant l’objet d’un traitement.
Elle peut être, d’une part, accidentelle, telle que la divulgation par erreur par un salarié de données clients ou, d’autre part, illicite ou malveillante, tel qu’un piratage informatique.
Le responsable du traitement doit documenter toute violation de données personnelles en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier.

Notification d’une violation de données à la CNIL
Le responsable du traitement doit informer la CNIL de toute violation de données personnelles. Une nouvelle téléprocédure de notification sera mise en ligne en mai 2018.
Le responsable du traitement a l’obligation de notifier la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.
La notification peut s’effectuer de manière échelonnée dans la limite de 72 heures. Au-delà des 72 heures, le responsable du traitement doit justifier son retard.
Le RGPD impose au sous-traitant de notifier au responsable du traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance.

Information des personnes concernées
Lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation de données personnelles à la personne concernée dans les meilleurs délais.
Toutefois, le RGPD prévoit trois hypothèses dans lesquelles la communication à la personne concernée n’est pas nécessaire :
- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, en particulier les mesures qui rendent les données personnelles incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;
- la communication exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

Réalisation d’éventuelles analyses d’impact
Le RGPD est fondé sur une logique de rendre compte auprès de l’autorité de contrôle, en particulier par le calcul des risques, réalisé par le responsable du traitement. L’étude des risques conditionne ainsi les mesures techniques et organisationnelles que ce dernier va décider de prendre. Il en est particulièrement ainsi lorsqu’il doit prendre la décision de réaliser ou non une analyse d’impact de la protection des données (AIPD, en anglais Data protection impact assessment ou DPIA, l’expression privacy impact assessment ou PIA étant utilisée avant le RGPD).
Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement identiques qui présentent des risques élevés similaires. Cette analyse d’impact doit prendre en compte la nature, la portée, le contexte et les finalités du traitement et exige que le responsable du traitement prenne conseil auprès du DPO. L’analyse d’impact est cependant obligatoire dans trois hypothèses : en cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ; le traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions ; la surveillance systématique à grande échelle d’une zone accessible au public. En outre, l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est également requise, de même qu’elle peut, à l’inverse, établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact n’est requise.
L’analyse d’impact doit au moins contenir : une description des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ; une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; une évaluation des risques pour les droits et libertés des personnes concernées ; les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées. L’analyse d’impact est une mesure phare du RGPD et doit être prise très au sérieux par le responsable du traitement. S’il est difficile de savoir a priori si une telle analyse doit être menée, avant de connaître précisément les risques, sans doute faut-il considérer prudemment que le simple doute sur la pertinence d’une analyse d’impact doit conduire à en mener une. Si l’analyse d’impact révèle l’existence d’un risque élevé, le responsable du traitement doit consulter l’autorité nationale de contrôle.
Lorsque cette dernière est d’avis que le traitement envisagé constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de 8 semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, sous réserve des possibilités d’extension prévues. La consultation de l’autorité de contrôle implique de lui communiquer notamment l’analyse d’impact elle-même.

Désignation d’un délégué à la protection des données (DPO)
Le RGPD prévoit désormais des hypothèses de désignation obligatoire du délégué à la protection des données (DPO) (v. ci-dessus, Le DPO au cœur du dispositif).

Quels sont les droits des personnes concernées ?

Droit à une information claire et simple
Les données personnelles doivent être traitées de manière licite, loyale et transparente envers la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes. Ainsi, le responsable du traitement doit délivrer une information claire et simple à la personne concernée, qui doit pouvoir y accéder facilement. En effet, il est impératif que les personnes physiques aient connaissance des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne le traitement. C’est dans cette optique que le RGPD détaille les informations que le responsable du traitement doit fournir dans le cadre, d’une part, d’une collecte directe, d’autre part, d’une collecte indirecte des données, c’est-à-dire autrement qu’auprès de la personne concernée.

Les informations doivent être fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, sans dépasser un mois. Si ces données doivent être utilisées afin de communiquer avec la personne concernée, les informations doivent être fournies au plus tard lors de cette première communication. Enfin, s’il est envisagé de communiquer les informations à un autre destinataire, elles seront données lorsque les données sont communiquées pour la première fois.

Droit d’accès à ses données personnelles
La personne concernée a le droit d’obtenir du responsable du traitement l’accès à ses données à caractère personnel, ainsi que les informations suivantes : les finalités du traitement, les catégories de données personnelles concernées, les destinataires ou catégories de destinataires auxquels ces données ont été ou seront communiquées, lorsque cela est possible , la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, l’existence du droit de demander la rectification ou l’effacement des données ou une limitation du traitement ou du droit de s’opposer à ce traitement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, lorsque les données ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source, et l’existence d’une prise de décision automatisée, y compris un profilage.

Droit à l’oubli (ou droit de rectification et d’effacement) des données personnelles
Le droit de rectification et d’effacement, dit « droit à l’oubli », est souvent présenté comme un droit nouvellement consacré par le RGPD. Cette affirmation doit être nuancée par le fait que ce droit n’est accordé que dans certains cas limitativement énumérés et qui ne sont pas nouveaux.

Droit de rectification des données personnelles
La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. En outre, elle a le droit d’obtenir que ces données incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Droit à l’effacement ou « droit à l’oubli » des données personnelles
La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant. Ainsi, lorsque le responsable du traitement a par exemple rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, il doit, compte tenu des technologies disponibles et des coûts de mise en œuvre, prendre des mesures raisonnables, y compris d’ordre technique, pour informer les tiers qui traitent ces données que la personne concernée a demandé l’effacement.
Des dérogations au droit à l’effacement sont prévues dans la mesure où le traitement est nécessaire : à l’exercice du droit à la liberté d’expression et d’information, pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, à la constatation, à l’exercice ou à la défense de droits en justice.

Droit à la limitation du traitement de données personnelles
Le RGPD consacre un nouveau droit à la limitation du traitement. Ainsi, la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique : l’exactitude des données à caractère personnel est contestée par la personne concernée, le traitement est illicite et la personne concernée exige la limitation de leur utilisation, le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice, la personne concernée s’est opposée au traitement pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Lorsque le traitement a été limité, les données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée ou pour la constatation, l’exercice ou la défense de droits en justice ou encore pour la protection des droits d’une autre personne physique ou morale ou enfin pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

Droit à la portabilité des données personnelles
Le RGPD a créé un droit à la portabilité des données. Désormais, les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Elles ont aussi le droit de transmettre ces données à un autre responsable du traitement, sans que le responsable du traitement auquel ces données ont été communiquées y fasse obstacle.
Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Il ne doit pas non plus porter atteinte aux droits et libertés de tiers.

Droit d’opposition à un traitement de données personnelles
Le RGPD accorde à la personne concernée un droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Le responsable du traitement ne doit plus traiter ces données, à moins de démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Ce droit d’opposition est assorti d’un certain nombre de conditions. Le RGPD donne ainsi la possibilité au responsable du traitement de démontrer l’existence de motifs légitimes et impérieux de nature à prévaloir sur le droit d’opposition.
Lorsque les données personnelles sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données la concernant à ces fins. Autrement dit, aucun motif ne doit accompagner l’exercice du droit d’opposition dans une telle hypothèse mercantile d’utilisation des données.
Au plus tard au moment de la première communication avec la personne concernée, le droit d’opposition est explicitement porté à son attention et doit être présenté clairement et séparément de toute autre information. Dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques. Lorsque des données personnelles sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement des données personnelles la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Droit de ne pas faire l’objet d’une décision individuelle automatisée y compris le profilage
La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Cette disposition est essentielle, à l’heure du traitement algorithmique sur lequel de plus en plus de décisions ayant une incidence sur les individus sont prises.
Cependant, il existe un certain nombre d’exceptions, lorsque la décision individuelle automatisée : est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement, est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis ou est fondée sur le consentement explicite de la personne concernée. Cette dernière exception est une nouveauté apportée par le RGPD et illustre le fait que l’expression de son consentement par la personne concernée est de nature à remettre en cause la protection légale. Ainsi, de nombreux services numériques fonctionnent sur la base d’un traitement algorithmique automatisé et les utilisateurs donnent aisément leur consentement à l’usage de tels outils sans pour autant avoir conscience de leur mode de fonctionnement.
Le responsable du traitement doit toutefois mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. Cette limitation des risques passe notamment par la reconnaissance du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
Enfin, les décisions automatisées ne peuvent être fondées sur des données sensibles, sauf si la personne concernée a donné son consentement ou si le traitement est nécessaire pour des motifs d’intérêt public et si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée sont mises en place.

Limitations aux droits de la personne concernée
Le droit de l’Union et le droit de l’État membre, auquel le responsable du traitement ou le sous-traitant est soumis, peuvent limiter la portée des obligations et droits, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment : la sécurité nationale, la défense nationale, la sécurité publique, la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales - y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces -, d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale, la protection de l’indépendance de la justice et des procédures judiciaires, la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière.

Quelles voies de recours en cas de violation du RGPD ?

En cas de non-respect du règlement européen par le responsable du traitement ou le sous-traitant, toute personne - physique ou morale - concernée par le traitement de données personnelles dispose de plusieurs voies de recours.
La violation des données personnelles peut consister en la divulgation, l’altération ou le vol dans le cadre de leur traitement par le responsable du traitement ou le sous-traitant.

Réclamation auprès de la CNIL
Toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD.

Recours juridictionnel contre la CNIL
Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif :
– contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ;
– lorsque l’autorité de contrôle ne traite pas une réclamation ou ne l’informe pas, dans un délai de 3 mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite.

Recours juridictionnel contre le responsable du traitement ou le sous-traitant
Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

Action de groupe
La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom, exerce, en son nom, les droits à un recours contre une autorité de contrôle, un responsable du traitement ou un sous-traitant et exerce, en son nom, le droit d’obtenir réparation lorsque le droit d’un État membre le prévoit.

Réparation des dommages
Droit à réparation
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle.

Responsabilité du responsable du traitement
Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du RGPD.

Responsabilité du sous-traitant
Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le RGPD, qui incombent spécifiquement aux sous-traitants, ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

Responsabilité in solidum et action récursoire
Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité, afin de garantir à la personne concernée une réparation effective. Lorsqu’un responsable du traitement ou un sous-traitant a réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage. Une action récursoire est donc possible et le dispositif de responsabilité in solidum est simplement destiné à mieux garantir une réparation effective.
Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre d’un traitement constituant une violation du RGPD, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

Quelles sanctions en cas de violation du RGPD ?

Les sanctions infligées aux organismes en cas de méconnaissance des dispositions du RGPD peuvent être très importantes.

Amendes
Pour juger qu’il y a lieu d’imposer une amende administrative et pour décider de son montant, la CNIL doit notamment tenir compte de la nature, de la gravité et de la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi.
Font l’objet d’amendes administratives pouvant s’élever jusqu’à 10 000 000 € ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, la violation des dispositions suivantes :
- les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8 (conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information), 11 (traitement ne nécessitant pas l’identification), 25 à 39 (obligations générales, sécurité des données, analyse d’impact et DPO), 42 et 43 du RGPD (certification) ;
- les obligations incombant à l’organisme de certification ;
- les obligations incombant à l’organisme chargé du suivi des codes de conduite.

Les violations des dispositions suivantes font l’objet d’amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
- les principes de base d’un traitement, y compris les conditions applicables au consentement ;
- les droits dont bénéficient les personnes concernées ;
- les transferts de données personnelles à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX du RGPD (dispositions relatives à des dispositions particulières de traitement) ;
- le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par la CNIL ou le fait de ne pas accorder l’accès au traitement prévu.

Le non-respect d’une injonction émise par la CNIL fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Sanctions
Les États membres déterminent le régime des autres sanctions applicables en cas de violations du RGPD, en particulier pour les violations qui ne font pas l’objet des amendes administratives, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre.

Remarque : la CNIL peut notamment prononcer un avertissement, mettre en demeure l’entreprise, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes ou ordonner la rectification, la limitation ou l’effacement des données.

Broché Ordonnaces Macron Broché Ordonnaces Macron Broché Ordonnaces Macron