LA NOUVELLE RÉGLEMENTATION EUROPÉENNE

EN MATIÈRE DE DONNÉES PERSONNELLES :

PRINCIPALES ÉVOLUTIONS ET

EXIGENCES ASSOCIÉES

Alexandra Mendoza-Caminade

Professeur de droit privé

Centre de Droit des Affaires

1

Les enjeux:

« Data drives all we do »(« Les données déterminent tout ce que nous faisons »)

Traçage sur internet

Profilage sur internet – Cambridge Analytica/ Facebook

Traçage par RFID

Traitements des données biométriques

Usages de l’adresse IP

Recoupements et analyses de grands volumes de données :

problématique des BIG DATA (anonymat?)

2

Présentation

L’adoption du règlement

Champ d’application

Les notions

Les principes

Les droits des individus

Les obligations des acteurs

Les sanctions

3

Liste chronologique des sources

Loi du 6 janvier 1978 (LIL 1)

Directive du 24 octobre 1995

Loi de transposition du 6 août 2004 (LIL 2)

Directive du 12 juillet 2002

Directive du 15 mars 2006

Réforme de l’UE 2016

Projet de loi du 17 décembre 2017 (LIL 3)

4

Règlement (UE) 2016/679 du 27 avril 2016

dit RGPD

Entrée en vigueur 25 mai 2018

Réforme globale des règles pour:

adapter la loi aux pratiques numériques

renforcer la protection et la maîtrise des citoyens sur leurs

données

permettre le développement de l’économie numérique en

Europe et la libre circulation des données au sein de l’UE

volonté d’harmoniser et simplifier les règles

réduire les coûts grevant les entreprises

5

Changement de logique :

responsabilisation des acteurs

Suppression des contraintes administratives a priori pesant

sur le responsable du traitement (suppression des obligations de

déclaration)

Renforcement a posteriori de sa responsabilité

Responsabilité renforcée = responsabilité globale

Obligation de prévoir la protection des données dès la

conception du traitement (privacy by design / privacy by default)

Etudes d’impacts, registre des activités de traitement

= mise en place de procédures internes

6

1- Champ d’application

Champ d’application matériel :

s'applique au traitement de données à caractère

personnel, automatisé en tout ou en partie, ainsi

qu'au traitement non automatisé de données à

caractère personnel contenues ou appelées à figurer

dans un fichier.

7

Champ d’application territorial :

traitement de données effectué dans le cadre des activités

d'un établissement d'un RT ou d'un ST sur le territoire de

l'UE, que le traitement ait lieu ou non dans l'UE

traitement de données relatives à des personnes qui se

trouvent sur le territoire de l'UE par un RT ou un ST non établi

dans l'UE, lorsque les activités de traitement sont liées :

à l'offre de biens ou de services à ces personnes concernées

dans l’UE, qu'un paiement soit exigé ou non desdites personnes,

ou

au suivi du comportement de ces personnes, dans la mesure où

il s'agit d'un comportement qui a lieu au sein de l'UE

8

Donnée à caractère personnel

• toute information se rapportant à une personne physique

identifiée ou identifiable; est réputée être une «personne

physique identifiable» une personne physique qui peut être

identifiée, directement ou indirectement, notamment par

référence à un identifiant, tel qu'un nom, un numéro

d'identification, des données de localisation, un identifiant en

ligne, ou à un ou plusieurs éléments spécifiques propres à

son identité physique, physiologique, génétique, psychique,

économique, culturelle ou sociale (RGPD art. 4, 1)

• Prise en compte de toutes les traces techniques laissées en

ligne (considérant 30)

9

Précisions sur certaines données

Données sensibles: qui révèlent l’origine raciale ou ethnique

des personnes, leurs opinions politiques, leurs convictions

religieuses ou philosophiques, leur appartenance syndicale,

leur santé et leur vie sexuelle.

Données concernant la santé

données à caractère personnel relatives à la santé physique ou

mentale d'une personne physique, y compris la prestation de

services de soins de santé, qui révèlent des informations sur

l'état de santé de cette personne

Données génétiques

Données biométriques

10

Traitement

Toute opération ou tout ensemble d'opérations effectuées ou

non à l'aide de procédés automatisés et appliquées à des

données ou des ensembles de données à caractère

personnel, telles que la collecte, l'enregistrement,

l'organisation, la structuration, la conservation, l'adaptation ou

la modification, l'extraction, la consultation, l'utilisation, la

communication par transmission, la diffusion ou toute autre

forme de mise à disposition, le rapprochement ou

l'interconnexion, la limitation, l'effacement ou la destruction.

(RGPD art. 2, 1)

Pseudonymisation = mesure de sécurité (≠ anonymisation)

11

12

Fichier

tout ensemble structuré de données à caractère personnel

accessibles selon des critères déterminés, que cet ensemble

soit centralisé, décentralisé ou réparti de manière

fonctionnelle ou géographique

Profilage

toute forme de traitement automatisé de données à caractère

personnel consistant à utiliser ces données à caractère

personnel pour évaluer certains aspects personnels relatifs

à une personne physique, notamment pour analyser ou

prédire des éléments concernant le rendement au travail, la

situation économique, la santé, les préférences personnelles, les

intérêts, la fiabilité, le comportement, la localisation ou les

déplacements de cette personne physique

Responsable du traitement

La personne physique ou morale, l'autorité publique, le

service ou un autre organisme qui, seul ou conjointement

avec d'autres, détermine les finalités et les moyens du

traitement.

13

3- Les principes

Principes liés à la qualité des données (art. 5) :

Traitement loyal, licite, transparent

Finalités déterminées, explicites et légitimes

Adéquates, pertinentes et nécessaires au regard des finalités =

principes de nécessité et de proportionnalité

Exactes et mises à jour

Garantir la sécurité appropriée des données

Durée liée à la finalité : question du droit à l’oubli

14

Principes liés à la licéité des données :

La personne concernée a consenti : condition principale

Définition consentement = toute manifestation de volonté,

libre, spécifique, éclairée et univoque par laquelle la personne

concernée accepte, par une déclaration ou par un acte positif

clair, que des données à caractère personnel la concernant

fassent l'objet d'un traitement (art. 4)

15

Renforcement du consentement (art. 7)

demande de consentement présentée sous une forme

compréhensible et aisément accessible, et formulée en des

termes clairs et simples

Connaissance du RT et des finalités

Pas de clauses abusives, ni déséquilibre manifeste

Doit pouvoir être retiré aussi facilement qu’il a été donné

Charge de la preuve sur le RT

16

17

A défaut de consentement, cas licites de

traitement (art. 6, 1-b à f) si nécessaire:

à l’exécution d’un contrat auquel est partie la personne

concernée ;

au respect d’une obligation légale incombant au responsable

du traitement ;

à la sauvegarde des intérêts vitaux de la personne concernée

ou d’une autre personne ;

à l’exécution d’une mission d’intérêt public, ou relevant de

l’exercice de l’autorité publique, dont est investi le

responsable du traitement ;

aux fins des intérêts légitimes poursuivis par ce responsable

ou un tiers.

18

Traitement des données sensibles

• Interdiction de traitement (art. 9, 1)

• + les données génétiques, ainsi que les données

biométriques « aux fins d’identifier une personne physique

de manière unique ».

• Nombreuses dérogations (art. 9 2):

• médecine préventive ou de la médecine du travail, de

l'appréciation de la capacité de travail du travailleur, de

diagnostics médicaux, de la prise en charge sanitaire ou

sociale, ou de la gestion des systèmes et des services de soins

de santé ou de protection sociale

• ….

19

Autres principes directeurs

Principes liés à la qualité des données (exactitude, …)

Finalités déterminées, explicites et légitimes - Principe de

minimisation des données

Durée liée à la finalité : question du droit à l’effacement

Garantir la sécurité appropriée des données

20

4- Les droits élargis des individus

Principe du consentement préalable

Le droit à l’information

Le droit d’accès et rectification

Le droit d’opposition / limitation du traitement

Le droit à l’effacement

Le droit à la portabilité des données

Conditions particulières pour le traitement des données des

enfants (-16 ans)

Introduction du principe des actions collectives / associations

actives dans le domaine

Décision individuelle automatisée (profilage)

21

Le droit à l’effacement (droit à l’oubli) art. 17

L’individu peut demander l'effacement de ses données

personnelles lorsque:

les données ne sont plus nécessaires au regard des finalités

il retire son consentement

il s’oppose au traitement

le traitement est illicite

le traitement permet le profilage

22

Exceptions si le traitement est nécessaire (art. 17, 3) :

à l’exercice du droit à la liberté d’expression et d’information ;

pour respecter une obligation légale ou exécuter une mission

de service public ;

pour des motifs d’intérêt public en matière sanitaire ;

pour des fins archivistiques, des fins de recherche scientifique

ou historique, ou des fins statistiques, si l’effacement des

données risque de rendre impossible ou de compromettre

gravement la réalisation des objectifs du traitement ;

pour la constatation, l’exercice ou la défense de droits en

justice.

23

5- Les obligations des acteurs

Nouvelle logique consistant à privilégier l’« autocontrôle » et

la responsabilisation: principe de responsabilité ou «

accountability »

Obligation d’administration de la conformité (compliance)

Mise en place de mesures

techniques et organisationnelles appropriées

D’où la création de nouvelles obligations:

Principe de responsabilité, protection dès la conception et par

défaut, et notification des violations de données

24

Liste des nouvelles obligations

Le principe d’accountability

Co-responsabilité des RT

La responsabilisation du sous-traitant

Le registre des activités de traitement

Les études d’impact sur la vie privée

Le privacy (by design/by default)

La notification des violations

Le délégué à la protection des données (DPO)

Les sanctions

25

Adoption de règles internes

Art. 24 et suivants: mise en œuvre des mesures techniques et

organisationnelles appropriées pour s'assurer et être en

mesure de démontrer que le traitement est effectué

conformément au présent règlement.

Mise en œuvre d’une politique appropriée de protection des

DP.

Peut se traduire par l’application d’un code de conduite

(art.40) ou des mécanismes de certification approuvés (art.

42)

26

Les nouveaux outils de conformité

la tenue d'un registre des activités de traitement (art. 30) ;

la notification de failles de sécurité aux autorités de contrôle

(art. 33) et aux personnes concernées (art. 34) ;

les analyses d'impact relatives à la protection des données

(art. 35) ;

la désignation d'un délégué à la protection des données (art.

37) ;

l'adhésion à des codes de conduite (art. 40) ;

la certification des traitements (art. 42).

27

Analyse d’impact(Data Protection Impact Assessment : DPIA ou Privacy Impact

Assessment: PIA)

Art. 35§1 : analyse préalable d’impact pour les traitements

présentant un risque élevé pour les droits et libertés des

personnes physiques

Analyse obligatoire

Consultation préalable de l'autorité de contrôle

28

Renforcement du principe de responsabilité

Privacy by design : protection des données dès la conception Art. 25§1

Exs: de moyens :

Pseudonymisation

Minimisation de la collecte des données

Chiffrement des données

...

Privacy by default: garantir que, par défaut, seules les

données à caractère personnel qui sont nécessaires au

regard de chaque finalité spécifique du traitement sont

traitées (art. 25§2)

29

Notification des violations de données personnelles

art. 33, 34

Obligation pour tous les RT de notifier les violations de

données personnelles à la CNIL dans les 72 heures

Information des personnes concernées si la violation est

susceptible d'engendrer un risque élevé pour leurs droits et

libertés

Le sous-traitant notifie au responsable du traitement toute

violation de données à caractère personnel dans les meilleurs

délais après en avoir pris connaissance

30

Le délégué à la protection des données (DPO)

art. 37

Obligatoire si :

Une autorité publique ou un organisme public qui traite des

données personnelles

Des traitements exigent, du fait de leur nature, de leur portée

et/ou de leur finalité, un suivi régulier et systématique à

grande échelle des personnes concernées

Traitement à grande échelle de catégories particulières de

données ou de données relatives à des condamnations

pénales ou à des infractions

31

Renforcement des sanctions

administratives

Jusqu’à 10 millions d’€ ou, dans le cas d’une entreprise, 2%

du CA annuel mondial pour des manquements /défaut de

protection des données dès la conception, de défaut de

sécurité, de défaut de notification de violation;

Jusqu’à 20 millions d’€ ou, dans le cas d’une entreprise, 4%

du CA annuel mondial en cas de non-respect des principes

encadrant tout traitement, pour manquement notamment aux

droits des personnes ou encore en cas de transfert des

données dans un Etat n’assurant pas un niveau de protection

des données suffisant

32

Transfert de données

Rappel de la problématique: US: Safe harbor et privacy shield

Principes (art. 44) :

Décision d’adéquation de la Commission européenne

A défaut, règles d’entreprises contraignantes (BCR : Binding

Corporate Rules)

Clauses types de protection adoptées par la Commission ou

par une autorité de contrôle

33

Conclusion

Des points positifs / protection des personnes physiques

Mais difficulté d’application:

Mise en place très délicate (et coûteuse?)

Problème de l’effectivité de la protection pour les opérateurs

hors UE

• Elément de compétition économique entre entreprises et

Etats

34