vie privée

Protection de vos données médicales

La question de la mise en conformité au RGPD se pose dans tous les domaines et notamment dans le domaine de la santé.

Qu’est-ce qu’une donnée à caractère personnelle ? L’article 4.1 du RGPD donne la définition suivante de la « donnée à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le traitement des données personnelles nécessite au préalable d’obtenir le consentement libre et éclairé de la personne concernée (article 5.1.a RGPD) et (article 6 RGPD).

En outre, en ce qui concerne les données personnelles de santé, l’impératif de la protection s’est accru à l’occasion de l’informatisation des structures de santé et de la dématérialisation des supports et des flux.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant vos données personelles en passant par le formulaire ! 

À cette occasion, tant le législateur que l’autorité de protection des données personnelles, la Commission nationale de l’informatique et des libertés (CNIL), ainsi que l’État et ses agences, ont développé un corpus de règles et de recommandations destiné à assurer la protection des données de santé, non seulement du point de vue des garanties juridiques, mais également de la sécurité des systèmes d’information

Par ailleurs, le secret médical a un caractère absolu précise la Cour de cassation, chambre criminelle du 5 juin 1985, n° 85-90.322. Le caractère secret et absolu dans le domaine médical permet de s’interroger sur comment sont protégées les données personnelles des personnes concernées.

Les données de santé ont toujours été considérées comme au cœur de l’intimité des personnes, dès lors que traditionnellement, elles se confondaient avec les données issues du dossier médical. À ce titre, elles bénéficient d’un haut niveau de protection, à la fois grâce à la protection de la vie privée (Code civil, article 9), du secret professionnel qui les protège (CSP, art. L. 1110-4) «Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles a droit au respect de sa vie privée et du secret des informations la concernant » et de la législation relative à la protection des données personnelles.

Les fichiers comportant des données à caractère personnel sont soumis à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique et aux libertés, ainsi qu’au règlement général de protection des données (RGPD), sous le contrôle de la CNIL.


 

Besoin de l’aide d’un avocat pour un problème de vie privée ou de données personnelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Enfin, cette protection s’est accrue du fait que les données personnelles de santé sont devenues un véritable trésor très convoité par les géants de l’informatique en vue d’une monétisation. Il se pose une de plus la question de la sécurité des données de santé.

I. Approche définitionnelle de la donnée médicale

A) La définition des données de santé par l’article 4.15 du RGPD

Selon l’article 4.15 du RGPD les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;

Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

B) L’importance ou le caractère précieux des données de santé

Les données de santé se trouvent dans la grande famille des données dites sensibles telles qu’énoncées à l’article 9 RGPD.

En effet, l’article 9 RGPD dispose que : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ». Cet article souffre néanmoins de quelques exceptions.

Elles sont précieuses en ce qu’elles concernent la vie privée de la personne concernée. L’information à délivrer aux personnes concernées par un traitement de données de santé est soumise au régime de droit commun de l’information des personnes, prévu aux articles 12, 13 et 14 du RGPD.

La nature sensible des données de santé impose néanmoins aux responsables de traitement une particulière vigilance, notamment au regard de l’obligation de transparence de l’article 12.

De plus dans le considérant numéro 1 du RGPD, le parlement européen élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée « Charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant ».

Conscient du caractère sensible des données médicales, la CNIL a été saisie par le ministre des Solidarités et de la Santé d’une demande d’avis concernant un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2.

En effet, le projet de décret dont a été saisie la Commission prévoyait la création d’un système d’information pour la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19 dénommé « Vaccin Covid » (ci-après, le SI « Vaccin Covid »), sous la responsabilité conjointe de la direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM), fondé sur les articles 6.1 e et 9.2 i du RGPD.

II. Applicabilité du Règlement européen sur la protection des données dans le secteur médical

A) Les finalités

Lorsqu’un traitement de données personnelles de santé bénéficie d’une exception à l’interdiction prévue par l’article 9-1 du RGPD et de l’article 44 de la loi informatique et Liberté, ce traitement doit par ailleurs justifier de l’existence d’un intérêt public, sauf exceptions prévues par la loi informatique et Libertés.

Cette exigence est issue de la nouvelle section 3 (L. n° 78-17, 6 janv. 1978, mod., art. 65 et s.), qui prévoit que les traitements de données à caractère personnel de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent.

Elle découlerait du « principe rappelé par le règlement européen, que les traitements de données de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent », ce qui paraît renvoyer aux termes du considérant 53 du RGPD.

Certaines finalités de traitement peuvent être intrinsèquement constitutives d’un intérêt public. Les dispositions du RGPD permettent d’identifier des domaines dans lesquels des finalités d’intérêt public peuvent être identifiées, notamment :

La santé publique, tout particulièrement la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (règl. (UE) 2016/679, 27 avr. 2016, cons. 45 et 73 ; art. 9 (2) i) ; art. 23 (1) e)). La loi informatique et Liberté a repris exactement ces termes (L. n° 78-17, 6 janv. 1978, mod., art. 66) ;

La gestion des services et systèmes de soins de santé et de protection sociale, y compris les retraites, notamment à des fins de sécurité, de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé (règl. (UE) 2016/679, 27 avr. 2016, cons. 45, 52, 53 et 73) ;

Les finalités humanitaires (règl. (UE) 2016/679, 27 avr. 2016, cons. 73) ;

Dans le cadre des transferts, les échanges internationaux de données entre services chargés des questions de sécurité sociale ou relative à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport (règl. (UE) 2016/679, 27 avr. 2016, cons. 112).

Au regard des dossiers de demande d’accès au SNDS, l’INDS a identifié comme finalités générales d’études présentant un intérêt public :

L’amélioration des soins et de la santé publique ;

L’amélioration du système de santé ;

La recherche et l’augmentation des connaissances ;

La contribution potentielle à l’intérêt général d’une étude poursuivant des finalités d’intérêt privé.

En somme, l’article 17 du RGPD mentionne toutes les exceptions au principe de la collecte et du traitement des données à caractère personnel.

B) Désignation dans le cadre de traitements de données de santé

À ce titre, les établissements publics de santé, de par leur nature publique, sont ainsi dans l’obligation de désigner un délégué à la protection des données. (Dit DPO)

Le G 29 a par ailleurs confirmé que devaient être considérées comme traitant des données de santé à grande échelle, dans le cadre de leur activité de base, tous les établissements de santé (G 29, 5 avr. 2017, Lignes directrices concernant les délégués à la protection des données (DPD), WP 243 rév. 01, p. 8 et 25), et la CNIL a par ailleurs visé les maisons de santé, les centres de santé, ainsi que les professionnels de santé exerçant au sein d’un réseau de professionnels, ou dans le cadre de dossiers partagés entre plusieurs professionnels de santé.

C) Les droits des personnes concernées

Les droits des personnes concernées par un traitement de données de santé, à savoir les droits d’accès, de rectification, d’effacement et de portabilité des données personnelles, de limitation ou d’opposition au traitement, le droit de ne pas faire l’objet d’une décision automatisée (règl. (UE) 2016/679, 27 avr. 2016, art. 15, 16, 17, 18, 20, 21 et 22), ainsi que le droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données personnelles après le décès, prévu par la loi informatique et Liberté (L. n° 78-17, 6 janv. 1978, mod., art. 85), sont des droits qui s’appliquent à tout traitement de données à caractère personnel, quelle que soit la nature des données.

La nature sensible de ces traitements implique cependant une attention particulière. La CNIL a par exemple prononcé une sanction pécuniaire d’un montant de 10 000 euros à l’encontre d’un professionnel de santé libéral, pour défaut de réponse dans les délais à la demande de communication de son dossier médical par un patient. Cette sanction est intervenue après que la CNIL a envoyé plusieurs courriers, puis mis une première fois en demeure le professionnel de communiquer le dossier.

La CNIL a ainsi prononcé cette sanction au regard également du défaut de réponse à ses courriers, en rappelant par ailleurs que « le secret médical ne saurait s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical » (CNIL, délib. n° SAN-2017-008, 18 mai 2017).

III. Le principe du consentement préalable assorti d’exceptions dans le cadre de la collecte des données des personnes concernées dans le domaine médical

A) Le principe

Par principe, les traitements de données personnelles de santé sont interdits, comme tout traitement de catégories particulières de données (règl. (UE) 2016/679, 27 avr. 2016, art. 9. – L. n° 78-17, 6 janv. 1978, art. 6, mod.).

Une série d’exceptions, pour la plupart inspirées de celles prévues par la directive, fournissent cependant un fondement pour déroger à l’interdiction. De plus, depuis la loi du 20 juin 2018, s’ajoute une obligation générale de justifier d’un intérêt public pour traiter des données de santé, sauf dans certains cas énumérés de façon limitative (L. n° 2018-493, 20 juin 2018, art. 16. – Ord. n° 2018-1125, 12 déc. 2018, art. 1 : JO 13 déc. 2018, texte n° 5).

Telle n’est pas la solution proposée par l’un des pays voisins européens en l’occurrence l’Espagne. En effet, face à la méfiance de la population européenne sur les vaccins Pfizer et BioNTech sortis plus tôt que prévu de ne pas se faire vacciner, car considérant qu’elle ne serait pas un objet d’essai clinique voire de cobayes cliniques, l’Espagne a décidé de répertorier les données personnelles des personnes ne voulant pas se faire vacciner.

Dans une interview à la chaîne de télévision La Sexta, Salvador Illa a souligné que la vaccination contre le coronavirus, qui a débuté dimanche en Espagne comme dans de nombreux autres pays de l’UE, ne serait pas obligatoire.

En ce qui concerne les personnes qui ne voudront pas se faire vacciner, « ce qu’on va faire, c’est un registre qui, de plus, sera partagé avec d’autres pays européens », a-t-il poursuivi, précisant qu’il se référait « aux personnes auxquelles on l’aura proposé (de se faire vacciner, NDLR) et qui, tout simplement, l’auront refusé ».

Alors la question serait de savoir si l’Espagne en tant que pays européen et soumis au RGPD est en droit de collecter les données personnelles des personnes ne souhaitant pas se faire vacciner ? Telle est la question de droit à résoudre.

D’autres questions seraient de savoir comment ces données personnelles seront collectées ? Qui sera le responsable du traitement ? Quels seront les sous-traitants ? Quelles seront les garanties apportées pour la confidentialité des données ? À quelles finalités se résume cette collecte ? Que risquent les personnes ne souhaitant pas donner leur consentement à la collecte de leurs données personnelles ?

Pourquoi partager les données des personnes ne souhaitant pas se faire vacciner entre pays européens ? Toutes ces nombreuses questions devraient être résolues pour éclairer les personnes concernées. Ces questions feront l’objet d’un autre article.

B) L’exception : l’obtention du consentement préalable à la collecte des données personnelles

Le consentement explicite de la personne concernée peut permettre, dans une certaine mesure, de déroger à l’interdiction de traitement des données de santé (règl. (UE) 2016/679, 27 avr. 2016, art. 9, (2).

Le consentement au sens de l’article 9 doit être conforme à la définition qu’en donne le RGPD, à savoir constituer une “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” (règl. (UE) 2016/679, 27 avr. 2016, art. 4 (11)), et respecter les conditions de l’article 7.

À cela s’ajoute l’exigence spécifique que le consentement soit explicite.

Pour lire une version plus longue de cet article sur la protection des données médicales, cliquez  

SOURCES :

https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Les%20données%20à%20caractère%20personnel,de%20santé%20de%20cette%20personne.

https://www.lemonde.fr/sciences/article/2020/03/02/les-donnees-de-sante-un-tresor-mondialement-convoite_6031572_1650684.html

https://healthcare.orange.com/fr/dossiers/securite-des-donnees-de-sante/#:~:text=Les%20trois%20grands%20types%20de,sur%20le%20traitement%20du%20patient.

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Jouets connectés : la CNIL intervient au sujet des poupées « Cayla » et du robot « i-Que »

En décembre 2016, l’association de consommateur « UFC-Que-Choisir » écrivait à la CNIL au sujet de la poupée « My Friend Cayla » et du robot « i-Que », deux jouets connectés présentant d’importantes failles techniques. La CNIL, par un rapport du 04 décembre 2017 , a mis en demeure la société à l’origine des produits.

On peut définir l’objet connecté  comme celui dont « la connexion à un réseau plus large, que ce soit directement par Wi-Fi par exemple, par l’intermédiaire du smartphone de l’utilisateur (souvent via une connexion Bluetooth) ou grâce à des protocoles de communications qui leur sont propres » va permettre de « répondre » à l’usager en cherchant la réponse adéquate sur ces réseaux.

Les jouets connectés « Cayla » et « i-Que », comme l’indique la CNIL, « répondent aux questions posées par les enfants […] sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets? ».

Néanmoins, les informations issues des échanges vocaux entre l’enfant et le jouet connecté, ou encore celles issues du formulaire d’inscription de l’application « My Friend Cayla App » sont des données qui sont récoltées par la société basée à Hong-Kong. Il s’avère que l’entreprise n’a intégré aucun dispositif de sécurité quant à l’usage de ces jouets connectés par les consommateurs.

La question se pose donc de savoir quels risques fait encourir l’usage des jouets connectés « Cayla » et « i-Que » aux enfants et à leurs parents, aussi bien au regard de leur propre sécurité (I) qu’au regard de la confidentialité de leurs données (II).

I. Le risque d’un usage détourné des jouets connectés lié au défaut de sécurité

Le risque réside ici dans l’usage détourné des fonctionnalités des jouets (A), sans qu’aucun système sécuritaire ne puisse prévenir une telle manœuvre (B).

A) Un risque lié au détournement des fonctionnalités du produit

Pour rappel, une application mobile  permet d’interagir avec les jouets, par le biais de commandes vocales auxquelles les jouets vont répondre, par le biais d’une connexion Bluetooth établie.

Cependant, il s’avère qu’une connexion aux jouets peut être établie à plus de 9 mètres. La présence d’obstacles, comme un mur ou une fenêtre, ne pose d’ailleurs aucun souci à un tel appariement.

Le domicile, tout autant que les lieux publics, demeure donc un lieu à risque, au regard de cette distance d’accessibilité du produit.

La CNIL a également pu constater que l’application permettait non seulement l’enregistrement des « conversations », mais aussi de dialoguer directement avec l’enfant par le biais de messages enregistrés ou par l’utilisation du jouet en « kit mains libres ».

Ces atteintes constituent une atteinte grave à la sécurité et la vie privée  des personnes concernées, « ?L’absence de sécurisation des jouets, permettant à toute personne de possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants ou des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical (…)? »? », comme l’indique le rapport de la CNIL.

Ces questions de sécurité se posent d’autant plus que l’entreprise fabricante n’a pas pris soin de doter ses produits de systèmes d’authentification.

B) Un risque accru par manque de système d’authentification

Aucun dispositif d’identification n’est rattaché aux jouets en question, si bien que « l’intrusion » dans le système sera la plupart du temps indétectable pour l’enfant comme pour les parents.

Les contrôleurs de la CNIL constatent ainsi « qu’une personne peut connecter un téléphone mobile aux jouets […] sans avoir à s’identifier (par exemple, avec un code PIN ou un bouton sur le jouet) ».

Aujourd’hui le nombre d’objets connectés est en forte croissance, et la question reste entière de savoir si un enfant en bas-âge s’avère capable ou non de discerner le fonctionnement « normal » du robot de l’utilisation « malveillante » qui peut en être faite.

À la vue de ces risques, l’Allemagne avait d’ailleurs interdit la commercialisation de ces jouets sur le territoire . En France, la présidente de la CNIL a « mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation [des] jouets connectés à destination d’enfants ».

Par ailleurs, la CNIL a également soulevé le « défaut d’information des utilisateurs des jouets ».

II. Le risque d’un usage détourné des données collectées par les jouets en question

La collecte des données à l’insu des consommateurs constitue non seulement une violation des dispositions en vigueur concernant la protection des données (A), mais également un risque du fait de la fragilité de la protection accordée à ces données (B).

A) Le problème de la collecte et de la gestion des données à l’insu des consommateurs

L’association de consommateurs, dans son rapport du 06 décembre 2016, soulignait que « les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». Elle soutient également que « ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés (…) hors de l’Union européenne, sans le consentement des parents ».

De plus, les jouets en question sont également utilisés à des fins de publicités ciblées par l’entreprise, prononçant « ?régulièrement des phrases préprogrammées, faisant la promotion de certains produits […] les conditions contractuelles [supposant] que le simple fait de visualiser une publicité ciblée constitue un accord express à recevoir de telles publicités ciblées? ».

Toutes ces informations violent évidemment et non seulement la loi Informatique et Libertés, mais également le Règlement général sur la protection des données, nouveau grand texte européen en la matière, amené à entrer en vigueur en mai prochain.

B) Le problème du vol des données à l’insu des entreprises

En effet, quand on sait qu’aucun système de traitement des données n’est complètement sécurisé, et à l’heure où de grandes compagnies basant leur modèle économique sur la donnée (Uber par exemple) font l’objet de fuites massives, le souci d’une gestion fiable de nos données par des entreprises aussi peu soucieuses de la sécurité et des lois en vigueur se pose.

Des produits similaires ont déjà fait l’objet de fuites : en début d’année 2017, l’entreprise américaine « Spiral Toys » a été victime d’une cyberattaque à l’origine du vol de plus de 800?000 messages vocaux enregistrés par les poupées « Cloudpets » sur deux bases de données  non sécurisées.

Cette affaire ne manque donc pas d’alarmer au regard des problèmes posés par la poupée Cayla et du robot i-Que, et porte à s’interroger sur la façon dont le droit français pourrait venir réguler ces questions.
L’association de consommateur précitée a, en 2016, saisi la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (« DGCCRF ») dans le but d’obtenir des sanctions « pour tout manquement aux dispositions légales et réglementaires ».
La mise en demeure de la CNIL est un premier pas en ce sens. Reste à voir comment les entreprises à l’origine de ces produits réagiront non seulement face à cette alerte, mais aussi et surtout dans les faits face à l’exploitation de plus en plus récurrente de ces failles.

Pour lire l’article sur les jouets connectés en version plus complète

SOURCES :

https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Règlement général sur les données personnelles (GDPR)

En adoptant la directive 95/46/CE, l’Union Européenne a voulu encadrer le droit aux protections des données. Les États avaient cependant une marge pour appliquer cette directive. L’Union a donc décidé aujourd’hui en avril 2016, par le règlement GDPR, d’uniformiser le droit des données personnelles en Europe.

Le Parlement Européen a adopté le 14 avril 2016 le règlement GDPR qui entrera en vigueur le 24 mai 2018. Il contient la nouvelle législation européenne en matière de données personnelles . Il abroge la directive 95/46/CE qu’il remplace.

Les données représentent toutes les informations relatives à une personne identifiée ou pouvant être identifiée. Elles comprennent tant les noms et prénoms que les numéros de sécurité sociale des individus. De par leur importance, il est évident qu’elles doivent faire l’objet d’une protection spécifique.

Le législateur français a très vite protégé les données personnelles par une  » Loi relative à l’informatique, aux fichiers et aux libertés  » de 1978. Cette loi pose les principes de base de la protection des données personnelles en créant notamment la Commission Nationale de l’informatique et des libertés, la CNIL, et en citant les droits principaux des individus concernés, comme le droit d’opposition .

Plus tard, ça sera la directive européenne 95/46/CE, transposée par une loi de 2004, qui constituera le droit applicable en la matière, harmonisant ainsi le droit des données en Europe.

C’est aujourd’hui le règlement européen GDPR qui va constituer le droit positif européen. En tant que règlement, il s’appliquera directement sans transposition dans tous les 27 États membres de l’Union. Il a pour vocation principale d’étendre les droits des citoyens, ainsi que la fonction de contrôle de la CNIL et des différentes autorités de protection européennes.

I. L’impact du GDPR sur les sujets de droit

A. L’impact sur les citoyens

Le règlement GDPR a pour ambition première d’étendre les droits des citoyens européens en matière de donnée personnelle.

Pour ce faire, il pose les bases d’un encadrement des données personnelles des enfants de moins de 16 ans. Ceux-ci devront désormais obtenir une autorisation parentale pour s’inscrire sur les différents réseaux sociaux comme Facebook. Cette innovation parait logique, si bien que la plupart des États européens s’étaient déjà dotés d’une législation similaire. Ainsi, pour ne pas brusquer ces lois, le règlement permet aux États de baisser la limite d’âge jusqu’à 13 ans.

En second lieu, le règlement tend à renforcer les droits du citoyen. Il impose ainsi de donner un  » consentement explicite et positif « . En fait, pour chaque traitement de données, le consommateur devra donner explicitement son consentement . Son accord ne saurait être déduit de son comportement.
Ce droit au consentement s’accompagne de la consécration du droit à l’oubli. Grâce à ce droit, un individu peut demander le retrait, l’effacement de toute information nuisant à sa vie privée, à moins que le responsable de traitement n’invoque un  » motif légitime « , qui s’apparente à l’intérêt général.
Le GDPR oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L’utilisateur pourra donc prendre les mesures nécessaires pour se protéger.

Enfin, il ouvre la voie à la  » class-action « , à l’action collective en cas de violations de données personnelles. Comme pour les consommateurs, ce seront des associations qui seront habilitées à mener tels recours.

B. L’impact sur les entreprises et les professionnels

Le règlement a aussi pour ambition de responsabiliser les entreprises qui traitent les données. D’abord procéduralement. Le droit des données s’appliquera en effet tant aux responsables de traitement qu’aux sous-traitants, à partir du moment où ils sont établis sur le territoire de l’Union.

Le second moyen de responsabiliser les entreprises est par l’établissement de protections conformes et adéquates, qui peuvent être contrôlées à tout moment. Pour aider les entreprises dans cette tâche, le règlement leur impose de désigner un  » DPO « , Délégué à la protection des données (http://www.murielle-cahen.com/publications/p_cnil.asp) qui a pour rôle la mise à jour constante des protections pour qu’elles répondent aux exigences européennes.

Les entreprises doivent aussi informer l’utilisateur du piratage et de la violation de ses données par une notification qui doit être envoyée dans les 72 heures suivant la violation.

Le règlement pose aussi la limite des  » données sensibles « , qui sont celles traitant par exemple de l’orientation politique ou religieuse d’un individu. Pour éviter un effet de « profilage « , les responsables de traitement doivent réaliser une étude d’impact pour déterminer si les données sensibles sont prépondérantes.

II. L’impact du GDPR sur les organismes de contrôle

 A. Le renouvellement des prérogatives des  » CNIL  » européennes

C’est d’abord géographiquement que le GDPR révolutionne les autorités de protection. En effet, les citoyens pourront dorénavant saisir l’organisme de leur propre État, quel que soit le lieu d’établissement de l’entreprise de traitement, pour n’importe quelle violation.

Les autorités de protection se voient aussi dotées d’un pouvoir de sanction administrative  agrandi. Ils pourront ordonner la rectification ou l’effacement des données aux entreprises de traitement des données.
Mais principalement, ils pourront infliger des amendes administratives pouvant être comprises entre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise, ou de 10 à 20M si l’amende est dirigée contre un organisme.

Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d’opérations transnationales, c’est-à-dire qu’il concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une  » autorité-chef de fil  » qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.

B. La création d’un organisme de contrôle au niveau européen, le CEPD

Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.
Le G29 est l’organe européen indépendant qui s’occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises. Pour 2016, il s’est fixé quatre objectifs principaux, dont l’un est la préparation de la mise en place du CEPD en lui fixant des lignes directrices.

Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s’assurant de l’uniformité sur le territoire de l’Union Européenne du droit de la protection des données.

D’abord, les différentes autorités de protections nationales comme la CNIL seront toutes représentées au sein du CEPD.
Aussi, dans les opérations de coopération, l’autorité  » chef de file  » propose les mesures et les décisions. Si celles-ci font l’objet d’objection, l’affaire est portée devant le CEPD qui rendra un avis contraignant, c’est-à-dire que l’autorité  » chef de file  » aura l’obligation de suivre cet avis.

Concrètement, le CEPD représentera l’autorité suprême européenne en matière de protection des données, comme le Conseil d’État ou la Cour de cassation pour le droit français. En effet, le citoyen s’adresse en premier lieu à l’autorité nationale en cas de litige, et celle-ci s’adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu’a actuellement le G29.

Articles en relation :

Données
Vie privée
Spamming
Consentement
Non concurrence
Cnil

Sources :

– https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
– http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes