Règlement général sur les données personnelles (GDPR)

Print Friendly, PDF & Email

En adoptant la directive 95/46/CE, l’Union Européenne a voulu encadrer le droit aux protections des données. Les États avaient cependant une marge pour appliquer cette directive. L’Union a donc décidé aujourd’hui en avril 2016, par le règlement GDPR, d’uniformiser le droit des données personnelles en Europe.

Le Parlement Européen a adopté le 14 avril 2016 le règlement GDPR qui entrera en vigueur le 24 mai 2018. Il contient la nouvelle législation européenne en matière de données personnelles . Il abroge la directive 95/46/CE qu’il remplace.

Les données représentent toutes les informations relatives à une personne identifiée ou pouvant être identifiée. Elles comprennent tant les noms et prénoms que les numéros de sécurité sociale des individus. De par leur importance, il est évident qu’elles doivent faire l’objet d’une protection spécifique.

Le législateur français a très vite protégé les données personnelles par une ” Loi relative à l’informatique, aux fichiers et aux libertés ” de 1978. Cette loi pose les principes de base de la protection des données personnelles en créant notamment la Commission Nationale de l’informatique et des libertés, la CNIL, et en citant les droits principaux des individus concernés, comme le droit d’opposition .

Plus tard, ça sera la directive européenne 95/46/CE, transposée par une loi de 2004, qui constituera le droit applicable en la matière, harmonisant ainsi le droit des données en Europe.

C’est aujourd’hui le règlement européen GDPR qui va constituer le droit positif européen. En tant que règlement, il s’appliquera directement sans transposition dans tous les 27 États membres de l’Union. Il a pour vocation principale d’étendre les droits des citoyens, ainsi que la fonction de contrôle de la CNIL et des différentes autorités de protection européennes.

I. L’impact du GDPR sur les sujets de droit

A. L’impact sur les citoyens

Le règlement GDPR a pour ambition première d’étendre les droits des citoyens européens en matière de donnée personnelle.

Pour ce faire, il pose les bases d’un encadrement des données personnelles des enfants de moins de 16 ans. Ceux-ci devront désormais obtenir une autorisation parentale pour s’inscrire sur les différents réseaux sociaux comme Facebook. Cette innovation parait logique, si bien que la plupart des États européens s’étaient déjà dotés d’une législation similaire. Ainsi, pour ne pas brusquer ces lois, le règlement permet aux États de baisser la limite d’âge jusqu’à 13 ans.

En second lieu, le règlement tend à renforcer les droits du citoyen. Il impose ainsi de donner un ” consentement explicite et positif “. En fait, pour chaque traitement de données, le consommateur devra donner explicitement son consentement . Son accord ne saurait être déduit de son comportement.
Ce droit au consentement s’accompagne de la consécration du droit à l’oubli. Grâce à ce droit, un individu peut demander le retrait, l’effacement de toute information nuisant à sa vie privée, à moins que le responsable de traitement n’invoque un ” motif légitime “, qui s’apparente à l’intérêt général.
Le GDPR oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L’utilisateur pourra donc prendre les mesures nécessaires pour se protéger.

Enfin, il ouvre la voie à la ” class-action “, à l’action collective en cas de violations de données personnelles. Comme pour les consommateurs, ce seront des associations qui seront habilitées à mener tels recours.

B. L’impact sur les entreprises et les professionnels

Le règlement a aussi pour ambition de responsabiliser les entreprises qui traitent les données. D’abord procéduralement. Le droit des données s’appliquera en effet tant aux responsables de traitement qu’aux sous-traitants, à partir du moment où ils sont établis sur le territoire de l’Union.

Le second moyen de responsabiliser les entreprises est par l’établissement de protections conformes et adéquates, qui peuvent être contrôlées à tout moment. Pour aider les entreprises dans cette tâche, le règlement leur impose de désigner un ” DPO “, Délégué à la protection des données (http://www.murielle-cahen.com/publications/p_cnil.asp) qui a pour rôle la mise à jour constante des protections pour qu’elles répondent aux exigences européennes.

Les entreprises doivent aussi informer l’utilisateur du piratage et de la violation de ses données par une notification qui doit être envoyée dans les 72 heures suivant la violation.

Le règlement pose aussi la limite des ” données sensibles “, qui sont celles traitant par exemple de l’orientation politique ou religieuse d’un individu. Pour éviter un effet de “profilage “, les responsables de traitement doivent réaliser une étude d’impact pour déterminer si les données sensibles sont prépondérantes.

II. L’impact du GDPR sur les organismes de contrôle

 A. Le renouvellement des prérogatives des ” CNIL ” européennes

C’est d’abord géographiquement que le GDPR révolutionne les autorités de protection. En effet, les citoyens pourront dorénavant saisir l’organisme de leur propre État, quel que soit le lieu d’établissement de l’entreprise de traitement, pour n’importe quelle violation.

Les autorités de protection se voient aussi dotées d’un pouvoir de sanction administrative  agrandi. Ils pourront ordonner la rectification ou l’effacement des données aux entreprises de traitement des données.
Mais principalement, ils pourront infliger des amendes administratives pouvant être comprises entre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise, ou de 10 à 20M si l’amende est dirigée contre un organisme.

Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d’opérations transnationales, c’est-à-dire qu’il concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une ” autorité-chef de fil ” qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.

B. La création d’un organisme de contrôle au niveau européen, le CEPD

Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.
Le G29 est l’organe européen indépendant qui s’occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises. Pour 2016, il s’est fixé quatre objectifs principaux, dont l’un est la préparation de la mise en place du CEPD en lui fixant des lignes directrices.

Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s’assurant de l’uniformité sur le territoire de l’Union Européenne du droit de la protection des données.

D’abord, les différentes autorités de protections nationales comme la CNIL seront toutes représentées au sein du CEPD.
Aussi, dans les opérations de coopération, l’autorité ” chef de file ” propose les mesures et les décisions. Si celles-ci font l’objet d’objection, l’affaire est portée devant le CEPD qui rendra un avis contraignant, c’est-à-dire que l’autorité ” chef de file ” aura l’obligation de suivre cet avis.

Concrètement, le CEPD représentera l’autorité suprême européenne en matière de protection des données, comme le Conseil d’État ou la Cour de cassation pour le droit français. En effet, le citoyen s’adresse en premier lieu à l’autorité nationale en cas de litige, et celle-ci s’adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu’a actuellement le G29.

Articles en relation :

Données
Vie privée
Spamming
Consentement
Non concurrence
Cnil

Sources :

– https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
– http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes