RUBRIQUE : IP / IT
RGPD : Evolution des droits et nouveaux droits reconnus aux personnes concernées par un traitement de données à caractère personnel
Le règlement 2016/679 du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », plus communément dénommé Règlement Général sur la Protection des Données ou « RGPD » entre en vigueur le 25 mai 2018.
Le RGPD remplace la directive 95/46 du 24 octobre 1995.
Les différentes affaires ayant trait à la protection des personnes physiques en matière de protection des traitements de données personnelles lors de ces dernières années ont permis au Législateur de prendre la mesure de la difficulté de rendre cette protection réellement effective pour les ressortissants de l’Union Européenne face aux géants de l’économie numérique (les fameux « GAFAM[1] »).
L’objectif de ce nouveau règlement est donc d’améliorer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, qui, comme son 1er considérant le rappelle, est un droit fondamental reconnu notamment par l’article 8§1 de la Charte des droits fondamentaux de l’Union européenne.
Le RGPD ne fait pas table rase des droits énoncés par la directive, bien au contraire. Le RGPD reprend en effet l’intégralité des principes fondamentaux et des droits déjà existant dans la directive 95/46 (I.).
Il consacre en outre le droit à l’oubli, déjà créé par la CJUE sous le visa de la directive 95/46 (II) et crée également de nouveaux droits comme le droit à la portabilité, avec toutes les incertitudes et questionnements qu’entraine nécessairement la naissance de nouveaux droits dans l’ordre juridique (III).
- Le maintien des principes fondamentaux et des droits de la directive 95/46 du 24 octobre 1995
Le droit de la protection des données à caractère personnel est avant tout fondé sur des principes fondamentaux que toute personne opérant ’un traitement de données personnelles (le « responsable de traitement » au sens de la Loi) se doit de respecter tout au long du traitement, c’est-à-dire dès
la collecte des données personnelles et pendant toute leur exploitation.
Les principes de loyauté, de finalité et de proportionnalité forment la véritable clé de voûte du régime de la protection des données à caractère personnel dans l’ordre juridique européen. Dans la directive, ces principes fondamentaux sont exposés à l’article 6[2].
Tous les droits des personnes concernées par un traitement de données personnelles et, corrélativement, toutes les obligations pesant sur un responsable de traitement, doivent être analysés au regard de ces principes fondamentaux.
Le premier principe fondamental est le principe de loyauté et de transparence de la collecte et du traitement de données à caractère personnel. Le responsable de traitement doit collecter et traiter les données de manière loyale, c’est-à-dire de manière transparente pour les personnes concernées.
Ainsi, la loyauté du traitement implique nécessairement une information claire, précise et compréhensible de la personne concernée par le traitement de données.
Au titre des principes fondamentaux, figurent également le principe de finalité. Selon ce principe des données personnelles ne peuvent être collectées que pour un traitement ayant une ou plusieurs « finalités déterminées ». Ce principe interdit au responsable de traitement de réutiliser ou de retraiter ultérieurement les données ainsi collectées de manière incompatible avec les finalités énoncées pour leur collecte initiale.
Le dernier principe fondamental terminant la clé de voûte du système de protection des données personnelles est le principe de proportionnalité.
Selon ce principe, les données collectées par un responsable de traitement doivent être « adéquates, pertinentes et non excessives au regard des finalités »[3].
Plus concrètement, le responsable de traitement ne doit collecter et ne traiter que les données personnelles qui lui sont strictement nécessaires pour atteindre l’objectif déterminé du traitement qu’il opère. Ce principe de proportionnalité implique également que le responsable de traitement ne conserve pas les données personnelles collectées pour une durée supérieure à celle nécessaire à la réalisation du traitement.
Le RGPD ne modifie pas ces principes fondamentaux qui sous-tendent le régime de protection des personnes physiques contre les traitements de données à caractère personnel depuis sa création en 1978.
Ces principes fondamentaux sont d’ailleurs rappelés dans l’article 5 du RGPD, le seul changement étant que le principe de proportionnalité est désormais appelé principe de minimisation.
Concernant le principe de loyauté, le GDPR précise dorénavant que les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée » alors que la directive ne faisait aucune référence à la personne concernée dans l’exposé du principe, se contentant d’indiquer que le traitement devait être effectué de manière loyale.
Il est ainsi bien affirmé que la transparence dont doit faire preuve le responsable de traitement dans la collecte et le traitement des données ne s’entend pas in abstracto mais in concreto en prenant en compte la personne physique concernée et ses qualités.
Le responsable de traitement devra également prendre en compte les circonstances dans lesquelles celle-ci est amenée à donner son consentement à la collecte de ses données personnelles ou à être informée de cette collecte et du traitement qui sera opéré par la suite.
L’article 4 du RGPD rappelle d’ailleurs que le consentement de la personne concernée s’entend comme la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »[4].
Une manifestation de volonté libre et éclairée ne peut exister qu’à la condition que la personne concernée dispose d’une information qui soit le reflet réel du traitement tant dans ses modalités opérationnelles que dans ses objectifs.
Sans respect du principe de loyauté par le responsable de traitement, il ne peut y avoir de consentement libre et éclairé de la personne concernée.
Le respect de ce principe de loyauté se traduit concrètement par la transmission à la personne concernée d’un certain nombre d’informations relatives au traitement opéré.
Les articles 13 et 14 du RGPD précisent ainsi les différentes informations qui doivent être fournies par le responsable de traitement aux personnes concernées par le traitement de données personnelles qu’il opère.
Les informations diffèrent légèrement selon que les données sont collectées directement ou non auprès de la personne concernée.
Au titre des informations devant être fournies, figurent outre les coordonnées du responsable de traitement « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».
La directive 95/46 prévoyait déjà l’obligation d’informer les personnes de la finalité du traitement opéré sans laquelle la personne concernée ne pouvait donner un consentement éclairé, ce qui n’aurait pas été conforme au principe de transparence.
Par contre, la directive 95/46 ne prévoyait pas l’obligation de mentionner la base juridique (consentement de la personne, obligation légale…) justifiant le traitement opéré. Cette information complémentaire vise à permettre aux personnes concernées de pouvoir plus aisément vérifier la légalité du traitement opéré.
Les article 13.3 et 14.5 s’inscrivent toutefois dans une approche plus pragmatique de l’obligation d’information, visant à alléger le poids administratif pesant sur le responsable du traitement en prévoyant des exceptions, ce qui n’est pas toujours au désavantage de ces derniers.
L’article 13.3 et 14.5 du RGPD dispensent ainsi le responsable de traitement de son obligation de transmettre les informations visées dans ces articles dans le cas où la personne concernée « dispose déjà desdites informations ».
De plus, l’article 14.5 insert une exception applicable lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
Il serait pourtant légitime que, dans un tel cas, l’obligation d’information pesant sur le responsable de traitement soit renforcée vis-à-vis de la personne concernée puisque la collecte des données ne se fait pas directement auprès d’elle.
Pourtant l’article 14.5 prévoit une exception supplémentaire dans un tel cas et dispense ainsi le responsable de traitement de son obligation d’information lorsque « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, […] ou dans la mesure où l’obligation visée au paragraphe 1 du présent article [l’obligation d’information] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement »
Le périmètre de cette exception nouvelle va entrainer pour les responsables de traitement un tâtonnement dans son application du fait de la référence aux « efforts disproportionnés », notion et évidemment discutable aux contours imprécis. La jurisprudence ou les autorités de contrôle (la CNIL en France) auront donc à lever le doute quant à cette notion.
Le RGPD a bien sûr maintenu les droits d’accès, de rectification et d’opposition de la personne concernée qui existaient dans la directive 95/46 ainsi que dans la loi française Informatique et Libertés, dont la directive est inspirée.
Ces droits permettent aux physiques d’avoir connaissance des données personnelles objet d’un traitement les concernant, de demander leur correction si celles-ci s’avèrent erronées ainsi que de s’opposer à leur traitement.
Outre la reprise des droits déjà existant sous l’empire de la directive 95/46, le RGPD a été l’occasion pour le Législateur de consacrer le droit à l’oubli lequel avait déjà fait l’objet d’une reconnaissance par la CJUE.
- La consécration du droit à l’oubli
L’article 17 du RGPD consacre un droit à l’effacement, également dénommé « droit à l’oubli ».
Selon cet article, la personne concernée par un traitement de données à caractère personnel peut, dans certaines hypothèses, « obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant ».
Parmi les hypothèses permettant à la personne concernée d’exercer ce droit à l’effacement figurent le retrait de son consentement lorsque ce dernier était le fondement autorisant le traitement de ses données personnelles (article 17 1) b) du RGPD) ou son opposition au traitement.
Dans un tel cas, si le responsable de traitement ne peut justifier d’un autre fondement juridique lui permettant d’opérer le traitement, il doit effacer les données personnelles collectées.
Ce droit à l’effacement des données en cas de retrait du consentement ou d’exercice du droit d’opposition par la personne concernée est la garantie de l’effectivité de ces deux droits pour la personne concernée.
En effet et à défaut, le droit pour une personne physique de retirer son consentement au traitement de ses données personnelles ou de s’opposer un traitement s’avèrerait totalement fictif.
La réelle consécration du droit à l’oubli issu de la jurisprudence de la CJUE provient de l’article 17 1) a) qui dispose que la personne concernée peut demander l’effacement des données à caractère personnel lorsqu’elles « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ».
Dans cette hypothèse, le droit à l’effacement des données personnelles est le corollaire du principe fondamental de proportionnalité, selon lequel les données ne doivent pas être traitées ou conservées par le responsable de traitement pour une durée supérieure à ce qui est nécessaire à la finalité du traitement opéré.
C’est notamment sur le fondement de ce principe fondamental de la directive 95/46 que dans son arrêt « Google Spain » du 13 mai 2014, la CJUE avait affirmé l’existence d’un droit à l’oubli.
La rédaction de l’article 17 1) a) du RGPD est d’ailleurs relativement comparable à la motivation qu’avait retenue la CJUE dans son arrêt.
En, effet dans celui-ci, la CJUE retenait qu’« il découle de ces exigences, prévues à l’article 6, paragraphe 1, sous c) à e), de la directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. »[5].
La consécration de ce droit à l’oubli vient donc renforcer le droit des personnes concernées qui bénéficient désormais de la possibilité de faire disparaître d’un traitement les données personnelles obsolètes les concernant.
Le RGPD prévoit un certain nombre d’exceptions au titre desquels figure « l’exercice du droit à la liberté d’expression et d’information », lequel était d’ailleurs au cœur de l’affaire Google Spain.
Il ne fait aucun doute cette exception cristallisera de nombreux contentieux. Il appartiendra là encore à la jurisprudence de déterminer les éléments permettant d’arbitrer entre ces deux droits fondamentaux puisque l’article 17 3) a) du RGPD est resté totalement muet à ce sujet.
Le RGPD ne se limite pas à la réaffirmation de droits déjà existants et contient également de nouveaux droits pour les personnes physiques concernées par un traitement de données personnelles.
- La consécration de nouveaux droits au profit des personnes concernées par un traitement de données personnelles
Parmi les nouveaux droits créés par le RGPD, figure en premier lieu le droit à la portabilité créé par l’article 20 du règlement.
Ce droit n’existait pas sous l’empire de la directive 95/46. Il n’existait pas non plus dans la loi Informatique et Libertés du 6 janvier 1978.
Selon l’article 20 du RGPD « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».
Ce droit permet donc aux personnes de récupérer tout ou partie de leurs données personnelles dans un format ouvert et lisible par machine afin de pouvoir les transmettre facilement d’un système d’information à un autre.
Selon la CNIL « le droit à la portabilité renforce la maîtrise des personnes sur leurs données personnelles » et « crée également de nouvelles opportunités de développement et d’innovation en facilitant le partage de données personnelles »[6].
L’exercice de ce droit est subordonné au fait que le traitement soit fondé sur le consentement de la personne concernée et que le traitement soit effectué par un procédé automatisé, c’est-à-dire qu’il soit informatique.
De plus, ce droit ne concerne que les données à caractère personnel fournies par la personne concernée. Ainsi, les données personnelles qui sont le résultat d’opérations effectuées par le responsable de traitement ne font pas l’objet de ce droit à la portabilité et ne peuvent donc pas être récupérées par la personne concernée.
Cette exclusion est nécessaire afin de préserver le droit de propriété du responsable de traitement sur les données affinées qu’il crée à partir des données personnelles fournies par la personne concernée.
Cependant, en pratique, la détermination de l’origine des données personnelles ne sera pas toujours chose aisée.
Une même donnée personnelle peut par exemple avoir été récupérée par deux moyens différents, l’un impliquant une transmission par la personne concernée et l’autre non.
C’est le cas lorsqu’un internaute accède à un site internet, que son identité est alors récupérée au moyen de fichiers cookies présents sur site, et que finalement lors de la poursuite de sa visite sur le site l’internaute décide de se créer un compte et fournit à cet effet ces informations en remplissant un formulaire d’inscription.
Dans un tel cas, le droit à la portabilité peut-il viser les données d’identité de la personne concernée fournie par l’internaute lors de son inscription alors qu’elles ont déjà été récupérées par le responsable de traitement auparavant ?
Le G29, qui est le groupe de travail réunissant toutes les autorités de contrôle des Etats membres de l’Union Européenne (prévu par l’article 29 de la directive 95/46, d’où le nom de « G29 ») a répondu à cette incertitude dans ses lignes directrices relatives au droit à la portabilité[7].
Le G29 indique que la notion de données fournies par la personne concernée doit s’entendre largement et qu’elle inclut non seulement les données fournies volontairement (remplissage d’un formulaire) mais également celles tirées de l’observation de l’activité de la personne concernée.
Par ailleurs, dans le cadre du développement croissant du « Big Data », les données sont de plus en plus collectées et traitées en paquet. Il est alors difficile d’en déterminer l’origine car les données personnelles sont, dans un tel cas, difficilement distinguables les unes des autres.
En pratique, le droit à la portabilité sera donc source de certaines difficultés d’application pour les responsables de traitement qui devront déterminer s’ils ont ou non l’obligation de faire droit à la demande de la personne concernée.
L’exercice du droit à la portabilité est également limité par les « droits et libertés des tiers » (article 20§1) 4) du RGPD), comme par exemple une atteinte à la vie privée d’un tiers.
Cela implique donc pour le responsable de traitement saisi d’une demande de portabilité des données l’obligation de procéder à une vérification préalable avant de transmettre les données demandées et le place dans la position de devoir opérer un arbitrage qui ne sera pas toujours aisé, loin de là.
Le droit français sera également potentiellement source d’une difficulté pratique supplémentaire pour les responsables de traitement dans le cadre des traitements des demandes de portabilité.
En effet en France, le droit à la portabilité a fait l’objet de dispositions spéciales dans la loi n°2016-1321 du 7 octobre 2016 pour une République numérique (dite « loi Lemaire »). Ce texte, qui introduit les articles L 224-42-1 à L 224-42-5 dans le Code de la consommation entre en vigueur également le 25 mai 2018.
Au regard de ces articles, chaque consommateur dispose du droit de demander à un fournisseur d’un service de communication au public en ligne, la récupération de toutes « données mises en ligne par leurs soins, toutes données résultant de l’utilisation du compte utilisateur du consommateur » sauf celles qui ont « fait l’objet d’un enrichissement significatif par le fournisseur en cause. ».
Ce droit concerne également « les autres données associées au compte utilisateur du consommateur [qui] (…) facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services et [dont l’identification permet [de] prend[re] en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services »[8].
Pour les données personnelles du consommateur, le code de la consommation renvoie expressément aux conditions de l’article 20 du RGPD.
Cependant, pour les autres données visées à l’article L 224-42-3, il est fort probable qu’en pratique celles-ci puissent être considérées comme des données à caractère personnel, la définition de ces dernières étant très large.
Pour illustrer cette largesse dans l’appréciation de la notion de données personnelles, il convient de rappeler que la CJUE a récemment jugé que les réponses écrites fournies par un candidat à un examen ainsi que les éventuelles annotations du correcteur relatives à ces réponses constituent des données à caractère personnel[9].
L’introduction de ce droit spécifique à la portabilité ouvert aux consommateurs à l’égard des opérateurs de services de communication électronique est donc une source de difficulté pour un responsable de traitement ayant la qualité de fournisseur de services de communication au public en ligne.
En pratique il lui sera en effet parfois difficile de déterminer sous quel régime juridique traiter une demande de portabilité concernant une donnée.
L’article 34 du RGPD améliore également le droit à l’information des personnes concernées par un traitement de données personnelles en lui reconnaissant le droit d’être informée « dans les meilleurs délais » par le responsable de traitement dans le cas où la survenance « de violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés » de la personne concernée.
Cette obligation de notification existait déjà en droit français mais avec un périmètre moins étendu que celle imposée par l’article 34 du RGPD puisqu’elle ne concernait que les fournisseurs de services de communications électroniques (anciennement article 34bis de la loi n°78-17 du 6 janvier 1978).
La notification peut se faire par tous moyens mais elle doit être écrite en des termes clairs et simples. Elle doit nécessairement décrire la nature de la violation de données personnelles, le nom et les coordonnées de la personne déléguée à la protection des données au sein du responsable de traitement (le « DPO ») ainsi que les conséquences possibles de cette violation et les mesures prises ou proposées par le responsable de traitement.
L’article 34 du RGPD prévoit des exceptions à cette obligation de notification d’une violation de données personnelles.
Celle-ci ne s’applique pas lorsque le responsable de traitement a :
- Mis en place des mesures organisationnelles et techniques qui ont été appliquées aux données personnelles subissant la violation de données personnelles les rendant « incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès. » ;
- Pris des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées par la violation « n’est plus susceptible de se matérialiser ».
Ici encore la jurisprudence devra travailler à la précision du jeu de ces deux exceptions, notamment la dernière, le caractère très générique de leur formulation ne permettant pas à ce stade et sans recul d’avoir une vision précise des cas où le responsable de traitement ne sera pas tenu de notifier une violation aux personnes concernées par un traitement.
Dans le cas où la communication exigerait des efforts disproportionnés, notamment lorsqu’ un grand nombre de personnes sont concernées, l’article 34 du RGPD permet de substituer la communication à chaque personne concernée une communication publique ou « une mesure similaire permettant aux personnes concernées d’être informées efficacement ».
Les cas récents de violations, parfois massives, de données personnelles comme par exemple les affaires Yahoo Inc., Darty, Facebook et le scandale de Cambridge Analitica, démontrent toute l’actualité et l’importance de ce droit pour les personnes concernées d’être informées en cas de violation de leurs données personnelles.
En conclusion, il apparaît donc que le RGPD ne révolutionne pas les différents droits reconnus aux personnes physiques concernées par un traitement de données à caractère personnel.
En effet, en la matière, le RGPD reprend principalement les principes fondamentaux et les droits déjà présents dans la directive 95/46 du 24 octobre 1995 ou consacré par la jurisprudence de la CJUE, pour ce qui concerne le droit à l’oubli.
L’apport créateur du RGPD en matière de droit pour les personnes concernées par un traitement de données personnelles concerne essentiellement le droit à la portabilité qui lui n’existait pas sous l’empire de la directive 95/46.
[1] GAFAM est l’acronyme de Google, Apple, Facebook, Amazon et Microsoft.
[2] En droit français, ces principes fondamentaux sont exposés à l’article 6 de la loi 78-17 « Informatique et Libertés » du 6 janvier 1978.
[3]Article 6 c) de la directive 95/46.
[4] Article 4 11) du RGPD.
[5]Arrêt CJUE, 13 mai 2014, C‑131/12, « Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et Mario Costeja González », point 93.
[6] « Le droit à la portabilité en question », article extrait du site internet de la CNIL, publié le 22 mai 2017, https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions
[7]« Lignes directrices relatives au droit à la portabilité des données », adoptées par le Groupe de travail de « article 29 » sur la protection des données le 13 décembre 2016 et révisées le 5 avril 2017.
[8]Article 48 de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique.
[9] CJUE, 20 décembre 2017, C-434/16, « Nowak c/ Data Protection Commisioner ».
Pour plus d’informations
Me Sophie Haddad
50, rue Copernic
75116 Paris
T/ + 33 1 43 25 61 85
P/ + 33 6 10 84 04 90