RUBRIQUE : IP / IT
RGPD : après 40 ans de droit des données personnelles, simple évolution ou réelle révolution ?
Le droit de la protection des données personnelles n’est pas un droit nouveau.
En effet, dès 1978, la France s’est dotée d’une loi en la matière. C’est la fameuse loi « Informatique et Libertés » du 6 janvier 1978, laquelle a largement inspiré au Législateur européen la directive 95/46 du 24 octobre 1995.
Au jour de l’entrée en vigueur du règlement 2016/679 du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », plus communément dénommé Règlement Général sur la Protection des Données ou « RGPD », le droit de la protection des données à caractère personnel aura donc 40 ans d’existence.
L’entrée en vigueur du RGPD apporte plusieurs changements dans l’ordre juridique positif en matière de protection des données à caractère personnel.
Cependant, il est permis de s’interroger sur le point de savoir si les modifications apportées par le RGPD par rapport au dispositif issu de la directive 95/46 du 24 octobre 1995 tient plus de la révolution en la matière ou du simple lifting.
Les modifications des droits des personnes concernées et des obligations des responsables de traitement, malgré les différents changements apportés par le RGPD, ne peuvent pas réellement s’analyser en une réelle révolution (I).
Par contre, notamment de par l’alourdissement des sanctions, le RGPD opère une modification réelle et profonde de la responsabilité encourue par les personnes opérant des traitements de données personnelles, ce qui a pour effet d’amener une réelle prise de conscience des différents acteurs en la matière (II).
- Une évolution plutôt qu’une révolution en matière de droits des personnes concernées et d’obligation pour les responsables de traitement
Concernant son champ d’application territorial, le RGPD est une confirmation des jurisprudences de la CJUE et des autorités de contrôle qui ont toujours cherché à affirmer l’application de la directive 95/46 dès lors que des personnes concernées par un traitement se trouvaient sur le territoire de l’Union Européenne.
Ces solutions avaient pour but de permettre une protection effective des ressortissants européens notamment vis-à-vis des traitements opérés par les GAFAM[1], lesquels ont pour certains, tenté de réfuter l’application des dispositions protectrices de la directive au motif que leur service était opéré depuis un territoire situé en dehors de l’Union Européenne.
La jurisprudence de la CJUE ou encore les décisions des autorités de contrôle nationales n’ont jamais fait droit à cette argumentation, cela afin de permettre une protection réelle des personnes concernées.
Désormais le texte est clair et les dispositions du RGPD s’appliquent à tout traitement de données personnelles se rattachant au territoire de l’Union Européenne soit par l’établissement du responsable de traitement soit par la situation des personnes concernées par le traitement.
Concernant les principes fondamentaux de la protection des données personnelles, le RGPD n’opère pas de modifications majeures.
En effet, les principes de loyauté, de finalité ou encore de proportionnalité (ou de minimalisation dans le RGPD) ne sont pas modifiés sur le fond. Le RGPD opère plutôt des précisions ou des renforcements de ces principes mais ne change pas les principes en eux-mêmes.
Le responsable de traitement reste en effet tenu d’être loyal lors de la collecte et du traitement des données.
Il ne peut les traiter que pour la finalité déclarée et toutes les mesures de traitement qu’il met en œuvre ainsi que la durée de conservation doivent être limitées à ce qui est nécessaire pour atteindre la finalité déclarée du traitement, ce qui était déjà le cas sous l’empire de la directive 95/46.
Le RGPD n’a pas non plus créé de nouveaux droits au profit des personnes concernées par un traitement de données personnelles mis à part le droit à la portabilité.
Le droit à l’oubli avait en effet déjà été reconnu par la jurisprudence de la CJUE de sorte que le traitement des requêtes fondées sur ce droit et les éventuelles responsabilités en cas de refus non justifié pesaient déjà sur les responsables de traitement avant l’entrée en vigueur du RGPD.
Le seul réel nouveau droit créé est le droit à la portabilité, qui permet aux personnes concernées par un traitement de récupérer tout ou partie de leurs données personnelles dans un format ouvert et lisible par machine afin de pouvoir les transmettre facilement d’un système d’information à un autre.
Il est difficile de voir dans la seule création de ce nouveau droit au profit des personnes physiques concernées par un traitement, une réelle révolution du droit de la protection des données personnelles.
Il en va de même concernant l’abandon du système de déclaration et son remplacement par le système du registre des activités de traitement.
Ce changement n’apporte pas de modifications sur le fond. En effet le responsable de traitement doit reporter dans le registre des traitements les mêmes informations que celles qui lui étaient demandées lors de la déclaration auprès de l’autorité de contrôle. Il s’agit donc ici plus d’une évolution que d’une révolution.
Le RGPD impose également plusieurs obligations aux responsables de traitement afin de les amener à anticiper en amont les éventuelles conséquences négatives de leurs traitements pour les droits et libertés des personnes concernées.
C’est notamment le cas de l’analyse d’impact prévue par l’article 35 du RGPD. Cependant, en réalité, même sous l’empire de la directive 95/46, les responsables de traitement devaient éviter de porter atteinte, par le biais des traitements qu’ils souhaitaient mettre en œuvre, aux droits et libertés des personnes concernées par le traitement.
De ce fait, même si le texte ancien ne formalisait par une obligation d’effectuer une analyse d’impact, les responsables de traitement devaient tout même dans les faits mener une réflexion préalable avant la mise en œuvre du traitement afin d’éviter de porter une atteinte aux droits et libertés des personnes concernées par le traitement.
Le même raisonnement s’applique au double principe de de « protection dès la conception » (« Privacy by design ») et de « protection par défaut » (« Privacy by default »).
En effet, ces principes sont avant tout des émanations des principes fondamentaux, de sorte que même avant l’entrée en vigueur du RGPD, le responsable du traitement devait en principe les respecter.
C’est particulièrement visible pour le principe de protection par défaut qui impose au responsable de traitement de mettre en œuvre « les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».
Sous l’empire de la directive 95/46 du 24 octobre 1995, le responsable de traitement devait déjà s’assurer que seules les données personnelles nécessaires par rapport à la finalité du traitement étaient collectées, sans quoi le traitement qu’il mettait en œuvre n’aurait pas été conforme au principe de proportionnalité énoncé par la directive.
L’ajout du principe de « privacy by default » n’est donc pas une révolution mais le corollaire du principe fondamental de proportionnalité.
La réelle modification opérée par le RGPD tient à l’alourdissement des responsabilités encourues en cas de non-respect de ses dispositions lesquelles sont directement à l’origine d’une prise de conscience des entreprises de la nécessité d’opérer une mise en conformité par rapport aux traitements qu’elles opèrent.
- L’alourdissement des sanctions et la modification des responsabilités des acteurs intervenants sur les traitements
Avant l’entrée en vigueur du RGPD, la possibilité pour les autorités de contrôle de prononcer des sanctions pécuniaires en cas de non-respect des dispositions en matière de traitement de données à caractère personnel était très limitée.
En France, par exemple, pendant très longtemps, la CNIL n’a eu la possibilité de prononcer qu’une sanction pécuniaire d’un montant maximum de 150 000 euros. Ce n’est qu’avec la loi n°2016-1321 la pour la République numérique du 7 octobre 2016 que le maximum a été augmenté et porté à 3 000 000 d’euros.
L’amende maximale encourue 150 000 euros d’amende n’avait bien sûr aucun effet dissuasif sur les sociétés d’envergure internationale comme les GAFAM. C’est d’ailleurs ce que la plupart des commentateurs avaient soulevé lorsque la CNIL avait sanctionné la société Google Inc. le 3 janvier 2014[2].
Cette affaire a participé au constat de l’impuissance du dispositif au regard de l’absence de tout effet dissuasif notamment vis-à-vis d’opérateurs de traitements dont le business entier reposait sur le traitement de données à caractère personnel et ainsi à la prise de conscience de la nécessité d’un alourdissement des sanctions afin de rendre effective la protection des données personnelles.
C’est ainsi que l’article 83 du RPGD vient considérablement alourdir les sanctions pécuniaires pouvant être prononcées par les autorités de contrôle.
L’article 83 du RPGD prévoit deux types de sanctions pécuniaires dont le montant maximum varie en fonction de la gravité de l’infraction commise.
L’article 83 §4 prévoit que l’amende peut s’élever à un maximum de « 10 000 000 d’euros ou […] 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » notamment en cas de violation par un responsable de traitement :
– de ses obligations en matière de recueil des consentements des mineurs (article 8 du RGPD),
– des principes de conformité dès la conception et de conformité par défaut (article 25 du RGPD) ou
– du respect des missions de la personne de DPO (article 39 du RGPD).
Il en va de même en cas de non-respect de ses obligations en matière de tenue du registre des traitements, d’absence de notification d’une faille de sécurité, de non désignation d’un DPO ou encore de manquement du responsable de traitement quant à ses obligations en matière de sécurité des données personnelles.
L’article 83 §5 du RGPD prévoit que l’amende peut s’élever à un maximum de « 20 000 000 d’euros ou […] 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » notamment en cas de violation :
- des principes de base d’un traitement (loyauté, finalité, proportionnalité…) ou des droits des personnes concernées (information des personnes concernées, droit d’accès, de rectification et d’effacement, droit à la limitation, doit à la portabilité, droit d’opposition…) ;
- de violation des règles en matière de transfert des données personnelles hors de l’Union Européenne ;
- de non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnées par l’autorité de contrôle.
Il est certain que la possibilité de prononcer des amendes administratives dont le montant maximum est proportionnel au chiffre d’affaires annuel mondial total du responsable du traitement est d’un effet nettement plus coercitif vis-à-vis des responsables de traitement d’envergure internationale que le montant maximum de 150 000 euros qui prévalait la loi pour la République numérique.
Cet alourdissement des sanctions a eu pour effet de rendre beaucoup plus visible le dispositif auprès de toutes les entreprises réalisant des traitements de données à caractère personnel.
Compte tenu du risque que représente une non-conformité, la question de la responsabilité en cas de manquement aux dispositions du RGPD est devenue incontournable pour toutes les entreprises opérant un traitement de données personnelles.
Dans la pratique en matière de contrats informatiques, la négociation des plafonds de responsabilité en cas de manquement par l’une des parties à ses obligations en matière de traitement des données à caractère personnel est devenue une question épineuse entre client et prestataire.
Compte tenu de l’alourdissement des sanctions et du niveau de risque désormais encouru par les responsables de traitements et leurs sous-traitants, c’est-à-dire ceux opérant un traitement pour le compte d’un responsable du traitement, la solution réside dorénavant dans la voie assurantielle.
Il apparaît donc que si le RGPD n’a pas opéré une révolution dans les droits et obligations des responsables de traitements, l’alourdissement des sanctions qu’il a réalisé a eu pour effet d’engendrer une prise de conscience réelle des opérateurs de traitement de la nécessité de se mettre en conformité avec les dispositions du RGPD et de l’importance de les respecter pendant toute la durée des traitements opérés peur leurs soins.
Du fait de cette prise de conscience qu’il a provoquée, le RGPD a peut-être initié, 40 ans après la naissance du droit de la protection des données personnelles, un changement de culture réel et durable en la matière, non seulement chez les opérateurs de traitements mais également aussi chez les personnes concernées elles-mêmes.
En réalité, le véritable enjeu du RGPD tient à la capacité effective des Etats membres à faire respecter le droit des données personnelles par les sociétés établies en dehors de l’Union Européenne, dans des pays ne disposant pas un dispositif de protection comparable et qui n’en n’ont pas la culture, notamment les Etats-Unis.
Les très récentes affaires de fuites et de réutilisations de données personnelles, notamment au travers du scandale « Cambridge Analytica », société accusée d’avoir récupéré et analysé les données de 30 et 70 millions d’utilisateur du réseau social Facebook et leur utilisation dans le cadre de la campagne présidentielle américaine, s’avéreront peut-être le mal nécessaire pour que la prise de conscience franchisse l’Atlantique.
[1] GAFAM est l’acronyme de Google, Apple, Facebook, Amazon et Microsoft.
[2] CNIL, délibération n°2013-420 du 3 janvier 2014.
Pour plus d’informations
Me Sophie Haddad
50, rue Copernic
75116 Paris
T/ + 33 1 43 25 61 85
P/ + 33 6 10 84 04 90