rgpd

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD  nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.


Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Protection de la vie privée

La protection de la vie privée est un principe essentiel aujourd’hui. Cependant, l’arrivée d’internet a complètement modifié les mœurs, c’est pourquoi il est nécessaire de s’arrêter sur la protection de la vie privée dans le cadre d’internet.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

La protection de la vie privée est un principe essentiel aujourd’hui. A l’ère du numérique la vie privée peut être menacée par une variété de facteurs, tels que les réseaux sociaux, les caméras de surveillance, les drones, les employeurs, les gouvernements et les pirates informatiques. Les préoccupations liées à la vie privée ont été amplifiées avec l’augmentation de la quantité de données personnelles autorisées en ligne et la facilité avec laquelle ces données peuvent être pondérées, analysées et partagées.

Il existe plusieurs lois et normes qui sont destinées à protéger la vie privée des individus. Il est possible de citer le Règlement européen sur la protection des données (RGPD) entrée en vigueur le 25 mai 2018 qui a permis d’instaurer un cadre européen harmonisé qui contribue au respect de la vie privée des utilisateurs en ligne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Est-il légal d’adresser un e mail (ou un SMS) à un prospect qui n’a a priori pas fait de démarches pour recevoir ces messages ?

En France, les responsables de traitement, c’est-à-dire tous les organismes ou entreprises qui traitent des données à caractère personnel (RGPD) sont soumises au respect des dispositions du Règlement européen à la protection des données.

Le RGPD requiert que tout traitement de données à caractère personnel respecte un socle de principes fixés en son article 5 et soit fondé sur une des bases légales prévues à l’article 6 pour être licites.

La prospection commerciale par courriel est possible, mais la personne concernée doit d’abord en être informée. En effet, le consentement de la personne est systématiquement requis préalablement s’il s’agit de particuliers ou pouvoir s’y opposer s’il s’agit de professionnels (L34-5 du code des postes et télécommunications). Si le consentement n’a pas été requis, la prospection électronique sera considérée comme du spam.

Le consentement requiert pour être valable de respecter les dispositions de l’article 7 du RGPD. D’une part il doit être libre, éclairé et univoque. D’autre part, il requiert, pour être valable, une action positive et spécifique de la personne concernée. La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher.

Pour rappel, l’utilisation d’une case précochée est interdite en matière de recueil du consentement. Il est donc recommandé d’utiliser une case décochée par défaut pour permettre aux personnes de s’opposer.

Par ailleurs chaque message électronique devra comprendre des mentions obligatoires. D’une part il conviendra de préciser l’identité de l’annonceur et d’autre part, d’intégrer un moyen de s’opposer à la réception de nouvelles sollicitations en vertu du droit de retrait.

Un fichier de prospects dit « qualifié » peut-il être revendu à un tiers ? (par exemple, une société vient de racheter une start up qui vient de déposer le bilan afin d’utiliser son fichier, est ce légal ?)

Un fichier de prospects dit « qualifié » est une liste de contacts potentiels pour une entreprise qui ont été évalués et classés en fonction de leur intérêt et de leur capacité à acheter les produits ou services de l’entreprise. L’avantage d’un fichier de prospects qualifiés est qu’il permet de se concentrer sur les contacts les plus pertinents et les plus susceptibles de générer des ventes.

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises. La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte certaines règles. Pour se faire, plusieurs conditions sont requises.

Pour commencer, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale, autrement dit, à partir de la dernière action du client.

Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.

Comme le rappelle la CNIL, les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

Le nouveau responsable de traitement devra par conséquent assurer le respect de l’ensemble des obligations posées par le RGPD. Il s’agira par exemple de s’assurer du respect des durées de conservation des données, d’assurer la sécurité des données ou encore de garantir le respect des demandes d’exercice de droit de la personne concernée.

Par ailleurs, elle indique que la partie qui acquiert les données devra informer les personnes, dès que possible. Elle recommande de le faire dès le premier contact avec la personne concernée et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires.

 

Ou en est le droit français à l’heure actuelle sur la protection des données ? (et notamment sur la revente des fichiers)

En France, la loi « Informatique et Libertés », adoptée en 1978 et modifiée à plusieurs reprises au cours des vingt dernières années, a longtemps été considérée comme le texte fondamental régissant le droit des données personnelles. Elle a notamment institué la Commission nationale de l’informatique et des libertés (CNIL) chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Les dispositions de la LIL ont été renforcées en 2004 suite à la transposition de la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne sont soumises à la réglementation indépendamment de leur localisation. Le choix d’un règlement se justifie par une forte volonté d’harmoniser le volet de la protection des données sur le territoire de l’Union européenne.

Une partie de cette réglementation a donc radicalement remplacé certaines dispositions de la loi « Informatiques et Libertés » et a par conséquent conduit à l’abrogation de la directive 95/46/CE.

Cependant, il convient de rappeler que le RGPD ne couvre pas la totalité du droit des données (lutte contre les infractions pénales et menaces à la sécurité publique par exemple) et laisse des marges de manœuvre nationales sur certains points (majorité numérique par exemple).

En 2018, le législateur a procédé à la modification de la loi « Informatiques et Libertés » ce qui a permis de réorganiser l’ensemble de la loi en cinq titres différents.

Pour lire une version plus compète de cet article sur la protection de la vie privée, cliquez

SOURCES :

https://www.cnil.fr/fr/la-prospection-commerciale-par-sms-mms
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
https://www.cnil.fr/fr/reglement-europeen-protection-donnees

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :