La conformité dans le règlement UE n° 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
L’entrée en vigueur du règlement n° 2016/679 du 27 avril 2016 marque une rupture. Une logique d’autorégulation se substitue à des formalités préalables et à un contrôle a posteriori. La protection des données personnelles doit désormais être assurée de manière continue, car le responsable du traitement de données personnelles est soumis à une obligation de conformité.
Les données personnelles sont devenues des richesses convoitées, exploitées, parfois même pillées sans scrupule. Éléments essentiels de la personnalité et de l’identité, elles doivent néanmoins rester sous la maîtrise de la personne qu’elles concernent. L’entrée en vigueur du traité de Lisbonne a ainsi fait du droit à la protection des données personnelles un droit fondamental. L’article 8 de la charte des droits fondamentaux consacre donc le droit pour toute personne au respect des données personnelles la concernant. L’entrée en vigueur le 25 mai 2018 du règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est donc essentielle. Il abroge la directive n° 95/46/CE, qu’il fallait moderniser. Le choix d’un règlement directement applicable évite les incertitudes et les retards d’une transposition. Tous les traitements de données doivent être mis en conformité avec ce nouveau règlement. Maintenue symboliquement, la loi Informatique et libertés du 6 janvier 1978 subit une révision importante avec la loi n° 2018/493 du 21 juin 2018. Le règlement laisse en effet aux États membres une marge d’appréciation, pour préciser son application ou parfois même pour en limiter la portée.
L’objectif de la réforme est double : renforcer la protection des individus et favoriser la circulation des données. Fixer un cadre commun au sein de l’Union européenne était indispensable pour construire progressivement un marché unique du numérique. La protection des données est généralisée1. Elle est surtout pensée à l’échelle de l’Union européenne. D’une part, le domaine d’application du règlement est vaste, puisque le champ d’application territorial de la protection est redéfini. Tout responsable de traitement qui propose des biens ou des services à des personnes se trouvant au sein de l’Union européenne ou qui observe leurs comportements doit respecter le règlement, même s’il est établi en dehors de l’Union2.
La régulation est, d’autre part assurée par un réseau d’autorités nationales, dont le travail est coordonné par le Comité européen de la protection des données, avec l’aide subsidiaire de la Commission européenne. Cette transformation répond aux besoins de l’économie numérique, ouverte sur le monde. Le règlement préserve en cela les droits fondamentaux, qui risquaient d’être mis à mal par la libéralisation de l’économie des données. Un cadre juridique commun est mis en place, là où les frontières n’existent plus. Le règlement marque une rupture en consacrant le concept de conformité. Les anciennes formalités préalables laissent place à une logique d’autorégulation continue. La notion de conformité (I) et les outils de conformité (II) devront donc être précisés.
I – Le concept de conformité
Les organismes doivent transformer leurs structures et leurs organisations pour intégrer les concepts nouveaux issus du règlement. L’autorégulation et l’accountability sont au cœur du dispositif (A). Les acteurs de la conformité en sont bouleversés (B).
A – L’autorégulation et l’accountability
Le concept d’accountability fait son entrée en droit français. Il constitue l’une des principales innovations du règlement, mais sa traduction est peu aisée. Le terme de « responsabilité » ne l’exprime que partiellement3. L’accountability correspond à l’affirmation de la responsabilité de l’organisme, mais également à sa faculté d’établir qu’il a bien respecté ses obligations en matière de protection des données. La protection des données n’est plus abandonnée aux seuls juristes, dont le rôle se limitait souvent à accomplir quelques formalités préalables, le plus souvent alléguées. Désormais, déceler les manquements ne relève plus uniquement de l’autorité de contrôle. L’organisme doit lui-même démontrer que ses traitements de données personnelles sont conformes au règlement. Il devient ainsi le principal garant de la protection des données, car la protection des données repose sur l’autorégulation4. Plus précisément, l’article 24 du règlement fait peser sur le responsable du traitement une obligation de conformité, qui est toute à la fois juridique et éthique. Toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles doivent être mises en place, dès la conception du produit ou du service. Ces mesures sont ensuite régulièrement réexaminées et actualisées, notamment pour intégrer les évolutions technologiques. Des procédures formalisées doivent être mises en place, de la conception du traitement à sa mise en œuvre.
L’article 25 du règlement précise ensuite le contenu de l’obligation de conformité. Il introduit le concept de privacy by design. La protection des données doit être envisagée dès l’origine et par défaut. L’article 25 consacre alors notamment le principe de minimisation dans son paragraphe 1, tout en restant très vague sur les moyens à mettre en œuvre. Le responsable doit prendre les « mesures techniques et organisationnelles appropriées » pour protéger les données. L’accès aux données doit également être limité. L’usage qui est fait des données est donc limité, car elles ne doivent pas être « accessibles à un nombre indéterminé de personnes physiques ». Le texte reconnaît que ces mesures sont par essence variables, car les risques que présente le traitement pour les droits et libertés des personnes physiques sont eux-mêmes variables, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ». Le texte cite notamment « la pseudonymisation » comme l’une des mesures pouvant être prises par le responsable du traitement. Elle est définie par l’article 4, paragraphe 5, comme le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. L’article 25, paragraphe 2, reprend ensuite le principe de pertinence : seules les données nécessaires au regard de chaque finalité spécifique du traitement sont traitées. La notion de finalité devient centrale. Tout traitement doit répondre à une finalité déterminée et légitime. Le responsable doit clairement définir pourquoi les données sont traitées. Les acteurs du traitement doivent donc eux-mêmes être désignés : le responsable qui décide de ces finalités, les éventuels sous-traitants qui mettent en œuvre les moyens du traitement et les destinataires qui reçoivent les données. La finalité conditionne toute la licéité du traitement des données. Cela s’applique aussi à la quantité de données collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. Le règlement étant très général quant aux moyens pouvant être utilisés par le responsable, l’article 25, paragraphe 3 permet de recourir au mécanisme de certification de l’article 42, pour démontrer le respect des exigences des paragraphes 1 et 2. Cette responsabilisation des acteurs justifie la suppression de la plupart des obligations déclaratives. Par exception, le régime d’autorisation peut cependant être maintenu par le droit national, par exemple en matière de santé. En contrepartie, le règlement entend responsabiliser les acteurs des traitements de données.
B – Les acteurs de la conformité
Le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.
Le règlement envisage avec précision la responsabilité des différents acteurs. Par exemple, lorsque le responsable du traitement de données est établi hors de l’Union européenne, mais qu’il y propose des biens ou des services ou qu’il observe le comportement de personnes qui s’y trouvent, il doit nommer par écrit un représentant au sein de l’Union, c’est-à-dire une personne physique ou morale établie dans l’UE pour qu’elle accomplisse en son nom les obligations imposées par le règlement. Sa responsabilité reste toutefois identique. De même, deux ou plusieurs personnes qui déterminent conjointement les finalités et les moyens d’un traitement sont responsables conjoints. Elles doivent alors toutes respecter l’obligation de conformité5. Le règlement précise plus généralement leurs obligations. Les co-responsables doivent notamment définir leurs rôles respectifs et leurs relations vis-à-vis des personnes concernées.
L’article 28 du règlement constitue ensuite une innovation, car il précise les obligations et les responsabilités du sous-traitant, qui jouissait jusqu’alors d’une quasi-impunité6. Il est défini par l’article 4, paragraphe 8, comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Le choix du sous-traitant est encadré. Le responsable du traitement doit uniquement faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée. Le recours à un sous-traitant doit ensuite être régi par un contrat ou un autre acte juridique soumis au droit de l’Union ou au droit d’un État membre, y compris sous forme électronique. Cet acte lie le sous-traitant à l’égard du responsable du traitement, définit l’objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les droits et obligations des parties. La Commission et les autorités de contrôle peuvent alors établir des clauses contractuelles-types. Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et d’accountability. Il est notamment soumis à une obligation de conseil auprès du responsable de traitement. Il doit établir un registre des traitements et désigner un délégué à la protection des données dans les mêmes conditions qu’un responsable de traitement.
Le règlement européen conforte ensuite le rôle de l’autorité de contrôle en lui consacrant neuf articles7. Il garantit en particulier son indépendance. Désormais, l’article 52, paragraphe 4, oblige chaque État à lui garantir « des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs ». Le règlement renforce considérablement les pouvoirs de l’autorité de contrôle, notamment en matière de sanctions8. La licéité de ce pouvoir ne fait plus aucun doute en droit français, car le Conseil constitutionnel l’a validé, sous réserve de respecter les droits de la défense et le principe de proportionnalité de la sanction9. L’article 83 permet aux États membres d’établir des règles pour déterminer, si et dans quelle mesure, des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur leurs territoires. Désormais, outre des avertissements publics, l’autorité de contrôle peut prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou, pour une entreprise, 4 % de son chiffre d’affaires mondial. L’article 83 du règlement précise que les amendes doivent être « effectives, proportionnées et dissuasives »10. L’importance de ces sanctions appelle toutefois à s’interroger sur leur nature administrative. Leur montant les apparente en effet à de véritables sanctions pénales. Les sanctions peuvent néanmoins être modulées en fonction du comportement du responsable du traitement, notamment des mesures prises pour protéger les données ou de sa coopération avec les autorités. Un critère de modulation doit être particulièrement souligné. L’article 83, paragraphe 2, k, du règlement permet à l’autorité de contrôle de se fonder sur « toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ». Le texte évoque ainsi des dommages et intérêts punitifs. Une difficulté subsiste néanmoins quant au domaine exact des sanctions. Le règlement ne vise que les « entreprises ». Le considérant 150 précise alors que ce terme « doit être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne ». Il s’agit donc d’une entité qui exerce une activité économique, indépendamment de son statut juridique ou de son mode de financement11. Ce renvoi au droit de la concurrence n’est toutefois guère justifié. Il ne s’agit pas en effet de protéger le bon fonctionnement du marché, mais de garantir les droits et libertés des personnes.
Les autorités nationales sont réunies au sein d’un Comité européen de la protection des données, qui veille à l’application uniforme du droit. Ce comité a vocation à remplacer l’ancien G29, mais le règlement en fait pratiquement une autorité de régulation, même s’il ne lui reconnaît pas ce titre. Doté de la personnalité juridique12 et indépendant13, le Comité européen à la protection des données réunit les chefs des autorités de contrôle de chaque État membre ainsi que le contrôleur européen de la protection des données. La Commission européenne participe à ses réunions et ses activités, mais elle ne dispose d’aucun droit de vote. Son président est élu pour 5 ans, renouvelable une fois. Le Comité européen est un régulateur chargé d’assurer le bon fonctionnement, au niveau européen, du dispositif mis en place par le règlement. Il coordonne l’action des autorités nationales, mais dispose surtout d’un pouvoir normatif. Il publie en effet « des lignes directrices, des recommandations et des bonnes pratiques ». Son rapport annuel d’activités, sur la protection des personnes physiques, est également publié et communiqué au Parlement européen, au Conseil et à la Commission. Dans ce contexte, la Commission occupe à présent une place secondaire, puisqu’elle se contente d’accompagner les activités du Comité européen de protection des données. Les États membres sont pareillement écartés du dispositif. Le règlement limite au maximum leur pouvoir d’intervention. En particulier, les dérogations, parfois autorisées aux États, ne portent ni sur les principes du règlement ni sur les pouvoirs des régulateurs. Les États ont donc perdu l’essentiel de leurs pouvoirs.
La coopération entre les autorités nationales est en revanche renforcée, pour tenir compte du caractère international du traitement des données14. L’autorité « chef de file » propose, par exemple, des mesures ou décisions constatant la conformité d’un traitement ou proposant une sanction. Les autorités européennes concernées par le traitement disposent alors d’un délai de 4 semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas suivie, la question est portée devant le Comité européen de la protection des données qui rend alors un avis contraignant. Que le Comité européen de la protection des données soit ou non saisi, l’autorité « chef de file » porte la décision ainsi partagée par ses homologues. Une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file », est adoptée. Ce mécanisme permet aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement. Il conforte la sécurité juridique en assurant une réponse unique sur l’ensemble du territoire de l’Union, ce qui simplifie également la tâche des responsables de traitement de données présents dans plusieurs États membres, puisqu’ils ont alors un interlocuteur unique.
Le règlement marque une fois encore une rupture. Les entreprises ne peuvent plus se contenter d’accomplir quelques formalités administratives préalables. Elles doivent développer une nouvelle culture de la conformité. La régulation ne relève plus de l’État, ni même seulement des autorités de contrôle. Elle devient l’affaire de tous, entreprises, organismes, personnes concernées. Il est d’ailleurs significatif que l’article 80 du règlement reconnaisse aux associations de larges pouvoirs pour introduire des réclamations devant les autorités de contrôle. Plus encore, le règlement met en place divers outils de conformité.
II – Les outils de conformité
Les outils de conformité retenus par le règlement rendent nécessaires de nouvelles pratiques, ce qui implique une réorganisation des systèmes d’information. Leur typologie peut être dressée (A). Le délégué à la protection des données occupe alors un rôle central (B).
A – Typologie des outils de conformité
Le règlement européen envisage la suppression quasi-totale des anciennes formalités préalables15. Un ensemble d’outils est proposé au responsable du traitement pour garantir la conformité avec le règlement. L’autorégulation est privilégiée, mais elle ne s’exerce que dans un cadre législatif contraignant. Il faudra toutefois rester vigilant, pour que le responsable du traitement ne se contente pas d’utiliser formellement les différents outils mis à sa disposition. Un effort important est nécessaire pour que le principe d’accountability devienne effectif.
En pratique, l’article 30 du règlement régit le registre des traitements mis en œuvre. Ce registre répertorie chaque traitement et en contient la fiche d’identité. Il permet de vérifier que la protection des données a bien été prise en compte par l’organisme16. L’éventuel sous-traitant doit tenir un registre comparable. Ces registres, véritables synthèses documentaires, se présentent sous une forme écrite, y compris électronique. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle. Le contrôle est donc profondément modifié. Il ne s’agit plus d’un contrôle préventif, mais d’un contrôle a posteriori de conformité.
Ensuite, l’analyse d’impact sur la vie privée, exigée par l’article 35 du règlement, constitue l’une des innovations les plus importantes du règlement. Elle devient obligatoire lorsqu’un « type de traitement (…) est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les formalités préalables n’ont donc pas totalement disparu. Elles sont désormais assurées par l’organisme lui-même, non plus par l’autorité de contrôle. L’analyse d’impact n’est exigée que si le traitement automatisé présente des risques importants pour les droits des individus. Le règlement l’impose, en particulier, dans les cas suivants :
-
l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
-
le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
-
la surveillance systématique à grande échelle d’une zone accessible au public.
Cette liste n’est cependant pas limitative. L’autorité de contrôle est donc appelée à préciser le domaine de cette obligation. Elle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise. Cette liste complémentaire permet d’étendre l’obligation à d’autres catégories de traitements de données potentiellement dangereux. Le G29 a d’ailleurs déjà dégagé plusieurs critères permettant d’identifier ces traitements à risques17. Le doute doit en outre conduire à réaliser une analyse d’impact. Réciproquement, l’autorité de contrôle peut établir et publier une liste des types d’opérations de traitement ne nécessitant pas une analyse d’impact. De la même façon, le Comité européen de la protection des données peut publier des lignes directrices relatives aux opérations de traitement considérées comme peu susceptibles d’engendrer un risque élevé et indiquer les mesures de protection cependant nécessaires.
L’article 35 met ensuite une série d’obligations à la charge du responsable. Il doit obligatoirement consulter le délégué à la protection des données, lorsqu’il a été désigné. L’analyse d’impact doit être complète et faire apparaître les caractéristiques du traitement, les risques pour les droits et libertés des personnes concernées et les mesures envisagées pour faire face à ces risques. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite prévu par l’article 40 est pris en compte lors de l’évaluation de l’impact des opérations de traitement. L’article 36 du règlement régit ensuite les traitements automatisés qui présentent les risques les plus élevés. Le responsable doit alors consulter l’autorité de contrôle. Celle-ci peut alors s’y opposer en tenant compte de ses caractéristiques et de ses conséquences.
Les obligations du responsable du traitement se manifestent ensuite au fil du temps. Les analyses d’impact doivent être mises à jour régulièrement. Plus encore, les failles de sécurités doivent faire l’objet d’une déclaration à l’autorité de contrôle, mais aussi à la personne concernée. La logique est une fois encore renversée. Le responsable qui manque à ses obligations est désormais tenu de se dénoncer lui-même. L’obligation se dédouble.
D’une part, les failles de sécurité doivent être notifiées avec diligence à l’autorité de contrôle, de manière détaillée et documentée : description de la nature de la violation, catégorie et nombre de personnes concernées, coordonnées du délégué à la protection des données, conséquences de la violation, mesures prises pour y remédier18. Ces informations peuvent être communiquées de manière échelonnée, en fonction des circonstances. La rapidité et le sérieux du responsable du traitement dans l’accomplissement de ses obligations seront ensuite pris en compte au moment de prononcer une éventuelle sanction.
D’autre part, l’article 34 du règlement oblige le responsable du traitement à notifier la faille de sécurité directement aux personnes concernées, lorsque la violation des données présente un risque élevé pour les droits et libertés. Cette communication doit intervenir « dans les meilleurs délais », dans des termes « clairs et simples » : nature de la violation, coordonnées du délégué à la protection des données, conséquences probables de la violation, description des mesures prises ou à prendre pour y remédier. L’autorité de contrôle dispose en outre du pouvoir d’exiger du responsable qu’il réalise cette notification. L’article 34, paragraphe 3 du règlement apporte toutefois une exception, lorsque le responsable du traitement a pris soit les mesures de protection techniques ou organisationnelles appropriées, tel le chiffrement des données, soit des mesures garantissant que le risque pour les droits et libertés des personnes n’est plus susceptible de se matérialiser, soit enfin si la communication individuelle exige des « efforts disproportionnés ». L’autorité de contrôle peut, en toutes hypothèses, prononcer une amende administrative en complément ou en substitut des mesures correctives19. Tout sera fonction des circonstances.
Pour exécuter ses obligations, le responsable des traitements de données dispose d’outils d’autorégulation. Les codes de bonne conduite, rédigés par les associations et les syndicats professionnels, peuvent fixer des règles pratiques pour se conformer au règlement20. Ils peuvent être approuvés par l’autorité de contrôle, voire par la Commission européenne. Ils permettent, pour chaque secteur d’activité, de fixer des règles communes applicables à tous les professionnels concernés. En d’autres termes, les codes de conduite définissent l’état de l’art en matière de protection des données et de conformité au règlement. Ils décrivent également « les mécanismes (…) permettant (…) de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants »21. Ces codes sont élaborés avec avis de l’autorité de contrôle. Leur mise en œuvre peut ensuite être contrôlée par un « organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code » et qui a été agréé par l’autorité de contrôle22. Il est donc intéressant de relever que le contrôle de la conformité ne relève pas exclusivement de l’autorité de contrôle. La conformité pourra également être contrôlée par des experts, des avocats, des cabinets d’audit.
La certification est, par ailleurs, une démarche volontaire par laquelle un organisme fait constater que ses procédures en matière de protection des données sont conformes à une norme avalisée par l’autorité de contrôle23. La certification relève donc exclusivement d’organismes de certification, ayant eux-mêmes été déjà agréés par l’autorité de contrôle. Le recours aux codes de bonne conduite et à la certification se rattache au principe d’accountability. Il permet d’établir que l’organisme se conforme à ses obligations. Il peut également autoriser un transfert de données vers l’étranger. L’usage de ces procédés d’autorégulation est pareillement pris en compte par l’autorité de contrôle, notamment lors du choix d’une éventuelle sanction administrative. En acceptant ces nouveaux outils, l’organisme fait preuve de bonne volonté et montre son intérêt pour la protection des données.
B – Le délégué à la protection des données
Héritier direct du Correspondant informatique et libertés, le délégué à la protection des données devient un outil de conformité privilégié. Le règlement définit avec précision les modalités de sa nomination et encadre l’exercice de ses missions.
Alors que la désignation du Correspondant informatique et libertés était toujours facultative la désignation d’un délégué devient obligatoire pour :
-
les autorités ou les organismes publics ;
-
les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, ce qui vise notamment le secteur bancaire ;
-
les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions24.
Même lorsque la désignation du délégué n’est pas obligatoire, elle est encouragée par le règlement. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut également être mutualisé, c’est-à-dire désigné pour plusieurs organismes.
Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques. Il doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions25. La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir de multiples qualités et compétences. Son indépendance est essentielle, car les conflits d’intérêts sont proscrits. En particulier, les autres missions du délégué au sein de l’organisme ne doivent pas le conduire à déterminer les finalités et les moyens d’un traitement de données26. Le délégué doit évidemment être un spécialiste de la protection des données personnelles, ce qui implique une parfaite connaissance du droit applicable. De solides bases techniques sont également requises, car le délégué doit avoir une bonne connaissance de l’organisme et de son secteur d’activité. Il n’existe donc pas de profil-type, le délégué pouvant être issu du domaine technique ou juridique.
Le délégué doit bénéficier d’une protection suffisante dans l’exercice de ses missions. Le règlement prévoit ainsi qu’il ne peut être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit, pour autant qu’elle soit utilisée pour sanctionner le délégué. Le délégué n’est toutefois pas un salarié protégé au sens du Code du travail. Dès lors, il pourrait être licencié légitimement, comme tout autre salarié, pour des motifs autres que l’exercice de ses missions de délégué.
Néanmoins, le délégué n’est pas responsable du non-respect du règlement. L’article 24 du règlement prévoit que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions. « Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés, de contrôler le respect du règlement et du droit national en matière de protection des données et de conseiller l’organisme sur la réalisation et l’exécution d’une analyse d’impact. Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné. Le délégué est également le point de contact de l’autorité de protection des données et doit coopérer avec elle. Par exemple, il doit faciliter l’accès par l’autorité aux documents et informations.
Pour conclure, la protection des données change de visage et manifeste une évolution des sources du droit Elle n’est plus administrée par l’État, mais régulée par les acteurs eux-mêmes, sous la surveillance d’une autorité de contrôle et dans le cadre d’une coopération européenne.
Notes de bas de pages
-
1.
Peu de traitements de données sont exclus du règlement : activités liées à la sécurité nationale, activités des États membres ayant trait à la politique étrangère et de sécurité commune de l’Union, traitement mis en œuvre par des personnes physiques dans le cadre d’une activité personnelle ou domestique, traitements des autorités compétentes aux fins de prévention, détection et poursuite des infractions pénales, traitements des institutions, organes, organismes et agences de l’Union.
-
2.
Art. 3, § 2.
-
3.
Jouffin E., Lemarteleur X. et Gibon M.-N., « Le règlement sur la Protection des données : les 10 commandements à connaître pour passer de la théorie à la pratique », RD bancaire et fin. 2016, n° 4, étude 18, spéc. n° 44.
-
4.
Métallinos N. « Le principe d’Accountability : des formalités préalables aux études d’impact sur la vie privée (EIVP) », Comm. com. électr. 2018, étude, dossier 11.
-
5.
Art. 26, § 1.
-
6.
Métallinos N., « Les critères de qualification des acteurs (responsables de traitement, responsables de traitement conjoints, sous-traitants) », Comm. com. électr. 2018, fiche pratique, dossier 8.
-
7.
Art. 51 à 59.
-
8.
Les missions des autorités de contrôle incluent le contrôle de l’application du règlement la sensibilisation du public, le conseil des autorités nationales l’information des personnes physiques sur leurs droits et le traitement de leurs réclamations, l’adoption de clauses contractuelles-types, l’établissement des listes liées à l’obligation d’effectuer une étude d’impact, l’appui dans l’adoption de codes de conduite, de mécanismes de certification et d’agrément.
-
9.
Déc. Cons. const.,13 mars 2014, n° 2014-690 DC : Dr. pén. 2014, comm. 94, comm. Robert J.-H.
-
10.
Leur montant sera donc fixé en tenant compte de multiples critères, notamment la nature, la durée et la gravité de la violation, la catégorie des données, les éventuels antécédents du responsable du traitement, les mesures correctives ayant été prises, la coopération avec l’autorité de contrôle, le caractère délibéré ou non de la violation…
-
11.
En ce sens : CJCE, 23 avr.1991, n° C-41/90, Höfner : Rec. CJCE 1991, I, p. 1979.
-
12.
Art. 68, § 1.
-
13.
Art. 69.
-
14.
Deroulez J., « Les autorités de contrôle en droit des données personnelles », Comm. com. électr. 2018, étude, dossier 7, spéc. 12.
-
15.
La loi française pourra toutefois prévoir un cadre spécifique pour certaines données sensibles (données biométriques, de santé, sur l’origine ou les appartenances politiques, religieuses, la santé et la vie sexuelle), ou traitements répondant à des missions d’intérêt public (par exemple pour la protection sociale ou la santé publique) ou encore pour les situations particulières de traitement (numéro de sécurité sociale, relations de travail).
-
16.
Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes : le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ; les finalités du traitement ; une description des catégories de personnes concernées et des catégories de données à caractère personnel ; les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ; dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
-
17.
Lignes directrices du G29 adoptées le 4 avril 2017 concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé aux fins de règlement UE n° 2016/679, WP248, rév. 01, p. 15. Système de notation ou d’évaluation, prise de décision automatisée au sens de l’article 22 du règlement, surveillance systématique, traitement de données sensibles ou à caractère « hautement » personnel, croisement ou combinaison de données, données concernant certaines personnes vulnérables comme les mineurs, utilisations innovantes ou imprévues de solutions technologiques ou organisationnelles, traitement empêchant la personne d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
-
18.
Articles 33-34 du règlement.
-
19.
Article 83 du règlement.
-
20.
Article 40 du règlement.
-
21.
Art. 40, § 4.
-
22.
Article 41 du règlement.
-
23.
Article 42 du règlement.
-
24.
Desgens-Pasanau G., « Délégué à la protection des données, pierre angulaire du principe de responsabilité (accountability) », Comm. com. électr. 2018, étude, dossier 8, spéc. 4.
-
25.
Article 37-5 du règlement.
-
26.
Il pourrait ainsi y avoir conflit d’intérêt avec les fonctions de directeur général, de responsable des ressources humaines ou bien encore de responsable des services informatiques.