La protection des données personnelles. À propos de l’entrée en vigueur du règlement général de protection des données
Le 25 mai 2018 doit marquer le début d’un nouvel âge des droits numériques de chacun. Le règlement général de protection des données, dont la préparation remonte à plusieurs années, doit en effet entrer en vigueur en mai 2018. Il tire les conséquences de plusieurs décennies de progrès du numérique et vise à assurer, dans un cadre technique inédit à l’échelle de l’histoire de la communication, une protection renforcée des données. Les obligations sont nombreuses, il n’est pas certain que les acteurs concernés soient en mesure de garantir l’ensemble de ces droits dans le délai imparti. Le nouveau droit fondamental de la protection des données personnelles est sans doute un des défis juridiques majeurs des années à venir pour nos sociétés.
Un nouveau règlement européen consacré à la protection des données doit entrer en vigueur le 25 mai 2018. En France, comme dans d’autres États membres, et même si le règlement est d’effet direct, la législation doit être adaptée. Le projet de loi relatif à la protection des données a été déposé en décembre 2017 sur le bureau de l’Assemblée nationale. Il est encore en cours de navette législative fin avril 20181. Ces textes sont décisifs en ce qu’ils viennent préciser et mettre en application le droit fondamental à la protection des données personnelles.
La charte des droits fondamentaux de l’Union européenne érige la protection des données personnelles en tant que droit fondamental. L’article 8, paragraphe 1, de la charte et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Cet article 16 donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation des données à caractère personnel. Le développement exponentiel du numérique, dans toutes les facettes de la vie sociale et personnelle, a appelé, depuis plusieurs années déjà, des textes de protection, à l’échelle nationale et européenne, sous le contrôle et avec les précisions apportées par les juges.
Le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)2 abroge la directive n° 95/46/CE du 24 octobre 1995 du même nom. Il est d’une ampleur sans précédent sur le sujet, il comporte 99 articles et 173 points d’exposé des motifs. Il est ainsi sans commune mesure avec les 34 articles de l’ancienne directive.
En France, les années 1970 sont marquées par la création des premières autorités administratives indépendantes, au centre desquelles, à la suite d’une polémique et de craintes suscitées par le fichier dit SAFARI3, la Commission nationale de l’informatique et des libertés (Cnil), a été mise en place. Depuis ces premières applications, le numérique a pris une place essentielle, utile dans maints domaines mais aussi envahissante et porteuse de risques pour nos droits, dans certains cas. La dimension transnationale du numérique a conduit les instances européennes à adopter des textes protecteurs. Ainsi, la directive de 19954 fixait déjà une série d’objectifs à atteindre pour les États membres. Le règlement adopté en 2016, et devant entrer en vigueur le 25 mai 2018 se substitue à la directive et vise à une approche à la fois plus globale et mieux harmonisée, vu l’effet direct du texte. Le point 9 de l’exposé des motifs du RGPD l’exprime ainsi : « Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive n° 95/46/CE n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive ». Deux arrêts de la Cour de justice de l’Union européenne5 sont aussi pris en compte par le règlement de 2016.
Le titre même du règlement, dit général de protection des données6 (RGPD) annonce une ambition majeure. Il s’agit d’englober le plus largement possible la protection des données, tout en garantissant le principe cardinal de la libre circulation, y compris des données, ainsi que le rappelle le point 3 de l’article 1 du RGPD. Il reste que ce sont effectivement les deux termes, de « protection » et « données » qui sont essentiels dans l’intitulé du règlement. Il faut dès lors définir ce que sont les données, avant même de se préoccuper de leur protection.
Le terme de « données » dans ce texte, renvoie aux données qui concernent autrui et pouvant se trouver sur des fichiers informatiques. Le RGPD en donne les définitions, ainsi que celles des termes corollaires et inhérents, tels le consentement, le traitement ou encore le profilage.
Sans reprendre de manière exhaustive l’ensemble des définitions que le règlement comporte, il convient de mentionner au préalable la définition des données personnelles. En vertu de l’article 4 du règlement : entre dans la catégorie « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Cette définition est nécessairement englobante et l’identification est fondée sur un large spectre. Cette approche était nécessaire compte tenu des évolutions technologiques, où nos faits et gestes, si anodins puissent-ils nous sembler, par l’envoi de messages à autrui, par des achats en ligne, ou encore par des inscriptions à telle formation ou conférence, sont autant d’indices permettant notre identification à tout moment et potentiellement par un nombre important de tiers.
S’agissant du traitement, selon le point 2 de l’article 4 du RGPD, il se définit comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Le point 3 de ce même article définit la « limitation du traitement », comme le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur.
La notion de consentement, étant une notion centrale, jalonne l’ensemble du RGPD. Il faut retenir que le consentement doit être à la fois éclairé, signifiant que chacun doit savoir ce qu’il accepte lorsqu’il coche la case réservée au consentement, et explicite, signifiant que le consentement, sauf exceptions, ne peut pas être présumé, et enfin, que ce droit n’est pas absolu.
Enfin le profilage est un terme moins couramment usité alors même qu’il correspond à une pratique déjà développée et en plein essor. De manière schématique, ce sont toutes les analyses de données d’une personne qui permettent d’identifier ses habitudes, tel choix de consommation courante, ou encore tel déplacement sur le territoire. Selon le point 71 de l’exposé des motifs du RGPD, le « profilage » consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. Selon l’article 4, point 4, du RGPD, il s’agit de toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Le point 5 de l’article 4 définit la « pseudonymisation », comme le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable.
À travers ces définitions, il est aisé de mesurer, certes les apports majeurs de l’arrivée du numérique et de ses richesses dans la vie des citoyens, mais aussi les risques majeurs qui pèsent sur la vie privée, la confidentialité de certaines données dites sensibles, ou encore sur les enfants. La protection reprend des avancées jurisprudentielles, telles l’arrêt Google de la Cour de justice de l’Union européenne datant de 2014, sur le « droit à l’oubli7 ».
Le règlement prend la suite de textes préalablement adoptés, tels la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, texte adopté à un moment où les richesses, mais aussi les risques du numérique, n’étaient pas encore pleinement connus. D’ailleurs, nul doute que de nouveaux défis ne manqueront de se présenter, exigeant de nouvelles mises à jour des textes. Le règlement général sur la protection des données, adopté en 2016, au terme de plusieurs années de discussions, se présente comme un texte répondant à de nombreux défis inhérents aux sociétés du numériques, dans lesquelles chaque acte ou presque de la vie quotidienne, peut mener à ce que tout un chacun soit inscrit dans une base de données personnelles, et dans lesquelles la dimension souvent ludique, ou utile, des réseaux sociaux dissimule souvent une réalité, qui n’est pas seulement virtuelle, dans laquelle, sans que l’on en ait pleinement conscience, nos données, de tous ordres, liées à notre vie privée et affective, mais aussi à nos caractéristiques physiques, mentales ou professionnelles, circulent. C’est ainsi à un nouvel âge de l’équilibre entre la liberté – celle de garder une certaine maîtrise sur les données qui nous caractérisent – et la collectivité – à laquelle nous aspirons sans pour autant accepter un blanc-seing aux auteurs de fichiers de données – que nous assistons et auquel le RGPD propose d’apporter des garanties.
Le RGPD propose ainsi une approche globale, au stade actuel des connaissances scientifiques, de la protection des données personnelles (I). Le texte organise aussi un système de sanction en cas de non-respect des principes européens de protection des données (II).
I – La protection approfondie des données personnelles
La protection des données personnelles a ceci de particulier qu’elle fait intervenir un nombre de protagonistes difficilement quantifiable a priori, qu’il s’agisse des personnes faisant l’objet de traitement de données personnelles, des auteurs directs ou indirects de fichiers de données, mais aussi des acteurs dont la mission est de s’assurer de la bonne marche du tout. De même, parler de la protection des données ne saurait correspondre à une approche monolithique. Car chaque donnée n’en vaut pas une autre. En d’autres termes, une donnée neutre comme une adresse par exemple ou un numéro de téléphone, n’a rien à voir avec une donnée concernant une opinion politique ou une conviction religieuse, lesquelles sont, elles aussi, sans commune mesure, quant à la nécessité de protection, avec des données portant sur des éléments médicaux par exemple. Le règlement s’attache donc à mettre en place un système qui s’organise à la fois autour des acteurs de cette protection (A) et des contenus multiples de ces protections (B).
A – Les acteurs et données multiples concernés par les protections
Lorsque l’on évoque les acteurs de la protection des données personnelles, ce terme fait référence à la fois aux personnes devant être bénéficiaires de la protection (1) et aux auteurs de la collecte et du traitement de données personnelles (2).
1 – Les personnes devant être protégées
S’agissant des personnes devant être protégées, il faut noter d’emblée que le règlement ne concerne que les personnes physiques et non les personnes morales. Le règlement vise par ailleurs à apporter une protection générique pour les adultes (a) et une protection spécifique pour les enfants (b).
a – Les protections génériques
Le règlement vise à assurer une protection la plus globale possible. Cependant, et conformément à la fois aux principes d’attribution des compétences entre les États membres et l’Union européenne et de souveraineté des États sur les questions essentielles de sécurité, le règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.
Le texte prévoit une approche territoriale large, qui ne saurait être conditionnée par des éléments techniques. Il pose ainsi le principe que la protection des données doit être garantie pour les personnes, indépendamment de leur nationalité ou de leur lieu de résidence. En outre, le texte précise que la protection ne saurait dépendre d’éléments techniques au sens où d’éventuelles difficultés techniques ne sauraient porter atteinte à la protection des données.
Dans le même sens, le texte précise que les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l’exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d’enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne doivent pas être considérées comme des destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l’intérêt général, conformément au droit de l’Union ou au droit d’un État membre. Les demandes de communication adressées par les autorités publiques doivent toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne doivent pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question doit être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement8. Il s’agit de protections génériques, complétées par des protections spécifiques pour les mineurs.
b – Les protections spécifiques pour les mineurs
Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique doit, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l’utilisation de services proposés directement à un enfant. Le consentement du titulaire de la responsabilité parentale ne doit pas être nécessaire dans le cadre de services de prévention ou de conseil proposés directement à un enfant9. Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, doivt être rédigée en des termes clairs et simples que l’enfant peut aisément comprendre10.
L’article 8 du RGPD, qui apporte des précisions sur la notion de consentement, précise que lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en dessous de 13 ans. Il précise encore que le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
Au miroir des personnes faisant l’objet de traitement de données personnelles, doivent être étudiées les obligations pesant sur les auteurs de collectes et de traitement de données personnelles.
2 – Les auteurs de collectes et de traitement de données personnelles
Le règlement cherche à englober largement le territoire sur lequel les obligations s’appliquent. Il est ainsi applicable dès lors qu’un responsable du traitement ou un sous-traitant est établi sur le territoire de l’Union ou qu’un résident européen est directement visé par un traitement de données.
Ainsi, l’établissement principal d’un responsable du traitement dans l’Union doit être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement doit être considéré comme étant l’établissement principal. L’établissement principal d’un responsable du traitement dans l’Union doit être déterminé en fonction de critères objectifs et doit supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d’un dispositif stable. Ce critère ne doit pas dépendre du fait que le traitement a lieu à cet endroit. La présence et l’utilisation de moyens techniques et de technologies de traitement de données à caractère personnel ou d’activités de traitement ne constituent pas, en elles-mêmes, un établissement principal et ne sont, dès lors, pas des critères déterminants pour un établissement principal.
L’établissement principal du sous-traitant doit être le lieu de son administration centrale dans l’Union ou, s’il ne dispose pas d’une administration centrale dans l’Union, le lieu où se déroule l’essentiel des activités de traitement dans l’Union. Lorsque le responsable du traitement et le sous-traitant sont tous deux concernés, l’autorité de contrôle de l’État membre dans lequel le responsable du traitement a son établissement principal doit rester l’autorité de contrôle chef de file compétente, mais l’autorité de contrôle du sous-traitant doit être considérée comme étant une autorité de contrôle concernée et cette autorité de contrôle doit participer à la procédure de coopération prévue par le règlement. En tout état de cause, les autorités de contrôle du ou des États membres dans lesquels le sous-traitant a un ou plusieurs établissements ne doivent pas être considérées comme étant des autorités de contrôle concernées lorsque le projet de décision ne concerne que le responsable du traitement. Lorsque le traitement est effectué par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle doit être considéré comme étant l’établissement principal du groupe d’entreprises, excepté lorsque les finalités et les moyens du traitement sont déterminés par une autre entreprise11. De plus, un groupe d’entreprises doit couvrir une entreprise qui exerce le contrôle et ses entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres entreprises du fait, par exemple, de la détention du capital, d’une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées doit être considérée comme formant avec ces dernières un groupe d’entreprises12.
Selon l’exposé des motifs, il y a lieu d’engager la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures doivent tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques13. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du règlement, notamment en ce qui concerne l’identification du risque lié au traitement, leur évaluation en termes d’origine, de nature, de probabilité et de gravité, et l’identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque14. Les articles 24 et suivants du RGPD posent les obligations relatives au responsable du traitement et au sous-traitant.
Les personnes concernées, les auteurs sont donc, pour chaque catégorie, définies largement. Le RGPD prévoit enfin une série d’acteurs protecteurs et en assure les principes de coordination.
3 – Les acteurs protecteurs
Un acteur essentiel apparaît dans le RGPD : le comité européen de la protection des données (ci-après le comité). L’article 68 du RGPD précise les conditions d’organisation et de fonctionnement du comité. Il est institué en tant qu’organe de l’Union. Il est doté de la personnalité juridique. L’article 69 du règlement pose le principe de l’indépendance du comité. Il se compose du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs. Le règlement prévoit la présence d’un représentant de la Commission européenne, en tant que garante de l’intérêt général européen, mais sans voix délibérative (article 68-5 du RGPD).
Il convient encore de mentionner le délégué à la protection des données. L’article 37 du RGPD apporte une série de précisions sur le délégué, sa définition et ses missions. Il a la charge d’assurer la protection des données lorsque : le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ; les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Le RGPD précise qu’un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
Dans les cas autres que ceux mentionnés ci-dessus, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.
L’article 38 du RGPD définit la fonction du délégué à la protection des données de la manière suivante : le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer ses missions en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées.
Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement un rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le règlement. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
L’article 39 définit les missions du délégué à la protection des données de la manière suivante : informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ; contrôler le respect du règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ; donner des conseils et coopérer avec l’autorité de contrôle. Le RGPD précise encore que le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Le RGPD prévoit aussi l’existence d’un représentant lorsque le responsable du traitement des données est établi en dehors de l’Union européenne. Ainsi, lorsqu’un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans l’Union, qu’un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l’Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n’implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public. Le représentant doit agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant doit être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui lui incombent en vertu du règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du règlement. Ce représentant doit accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du règlement. Le représentant désigné doit faire l’objet de procédures coercitives en cas de non-respect du règlement par le responsable du traitement ou le sous-traitant15. Le règlement apporte aussi une série de précisions sur les autorités indépendantes au niveau national qui seront abordées en deuxième partie de cette étude, sur les autorités de contrôle du respect de la protection des données. Cette dernière se voit nettement approfondie par le RGPD.
B – Les contenus approfondis des protections
Plusieurs éléments sont impliqués par les protections. Il en est ainsi du principe cardinal mais non absolu, du consentement (1), du droit d’accès et de rectification (2), du droit dit « droit à l’oubli (3), du droit à la portabilité (4) ainsi que des données particulièrement sensibles (5).
1 – Le consentement, la licéité et la loyauté
L’article 7 du RGPD décrit les conditions dans lesquelles le consentement doit s’exprimer. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées doivent être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relative au traitement de ces données à caractère personnel soit aisément accessible, facile à comprendre, et formulée en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques doivent être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel doivent être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne doivent être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais doivent être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement16.
Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement doit fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée doit être informée de l’existence d’un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s’expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles doivent être lisibles par machine17.
Le corollaire du consentement est celui de l’opposition, qui est définie à l’article 21 du RGPD. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive n° 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. Le consentement n’est cependant pas un droit absolu. Le RGPD apporte des précisions qui seront étudiées plus bas, en ce qu’elles ne concernent pas exclusivement le consentement. D’autres droits sont en effet prévus par le texte, sans être pour autant absolus. Il en est ainsi du droit d’accès et de rectification.
2 – L’accès et la rectification
Des modalités doivent être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. Le responsable du traitement doit également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l’objet d’un traitement électronique. Le responsable du traitement doit être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’1 mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes18.
Une personne concernée doit avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés.
Ainsi, pour illustrer le propos, sur le sujet sensible de la médecine, dès le 25 mai 2018, chaque praticien traitant et sauvegardant des données personnelles (informatiques ou papier) devra être en mesure de les sécuriser, les conserver au minimum 20 ans et tenir un registre prouvant le respect de la réglementation. « Les traitements de données sont les opérations du type collecte, enregistrement, conservation, modification, consultation, transmission… Les données à caractère personnel sont les informations qui concernent une personne physique et qui permettent soit de l’identifier, soit qu’elle soit identifiable – identité, numéro de Sécurité sociale, adresse – (…) ». Quelques règles sont nécessaires concernant le verrouillage du clavier d’ordinateur, le changement des mots de passe deux fois par an (et leur protection) ou l’envoi de mails. « Aucune personne autre que les assistantes médicales ne peut avoir accès aux informations relatives au patient, prévoyez une clause de confidentialité dans leur contrat de travail ». Les médecins devront être capables de démontrer qu’ils respectent le RGPD. À cet égard, il est conseillé de retracer dans un document type « registre » mis en ligne par la Cnil : « la façon dont vous protégez votre mot de passe, les règles relatives au verrouillage du clavier et à l’envoi des mails. Il convient aussi de prévoir comment le cabinet va s’organiser en cas de piratage informatique ou de destruction accidentelle de données19 ».
En conséquence, toute personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Lorsque c’est possible, le responsable du traitement doit pouvoir donner l’accès à distance à un système sécurisé permettant à la personne concernée d’accéder directement aux données à caractère personnel la concernant. Ce droit ne doit pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne doivent pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il doit pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte20.
L’article 16 du règlement synthétise ces éléments en disposant que : « La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ». Le texte consacre encore le droit dit « droit à l’oubli ».
3 – L’oubli ou le droit à l’effacement
L’exposé des motifs insiste sur ce que les personnes concernées doivent avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d’un « droit à l’oubli » lorsque la conservation de ces données constitue une violation du règlement ou du droit de l’Union ou du droit d’un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées doivent avoir le droit d’obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu’elles s’opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur internet. La personne concernée doit pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel doit être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice.
Afin de renforcer le « droit à l’oubli » numérique, le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée21.
L’article 17 est consacré au droit à l’effacement (« droit à l’oubli ») et précise que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs que l’on a cité plus haut est présent22. Il prévoit cependant des exceptions à ce droit à l’effacement dans la mesure où ce traitement est nécessaire : à l’exercice du droit à la liberté d’expression et d’information ; pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; ou encore pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ou encore à la constatation, à l’exercice ou à la défense de droits en justice.
4 – Le droit à la portabilité
Le droit à la portabilité offre aux personnes la possibilité d’obtenir et de réutiliser leurs données personnelles pour répondre à leurs propres besoins, à travers différents services. Ce droit permet à une personne de récupérer les données la concernant traitées par un organisme, pour son usage personnel, et de les stocker sur un appareil ou un cloud privé par exemple. Ce droit permet de gérer plus facilement et par soi-même ses données personnelles, de transférer ses données personnelles d’un organisme à un autre. Les données personnelles peuvent ainsi être transmises à un nouvel organisme : soit par la personne elle-même, soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ». Les responsables du traitement doivent porter ce nouveau droit à la connaissance des personnes concernées « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
Au miroir de ce droit, sans aucun doute, utile, à la portabilité, doit être mentionnée la question de la communication des données. Le principe selon lequel elle ne peut se faire qu’avec l’autorisation de la personne est repris. L’article 44 du règlement apporte quant à lui des précisions sur les transferts vers un État tiers ou une organisation internationale. Il précise ainsi qu’un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.
Il convient encore de mentionner les données dites sensibles, auxquelles le règlement apporte une protection particulière.
5 – Les protections spécifiques sur les données sensibles
Le champ de la santé apparaît ici central, de même que les questions liées à la génétique par exemple. L’exposé des motifs souligne que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel doivent comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression « origine raciale » dans le règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne doit pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. De telles données à caractère personnel ne doivent pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le règlement, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du règlement doivent s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel doivent être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales23.
Le RGPD met en somme en place un solide corpus normatif, que l’on peut qualifier d’englobant, rassurant et pragmatique, dans le sens où une dimension concrète des données et de leur protection est présente dans les articles présentés ci-dessus. Il met en place, au miroir de ces droits et obligation, les conditions de sanctions en cas de non-respect du droit des données personnelles.
II – Les sanctions du non-respect du droit des données personnelles
Le règlement organise une charge de la preuve protectrice imposant une gradation dans les sanctions (A) et faisant intervenir des autorités non juridictionnelles et juridictionnelles (B).
A – La gradation des sanctions et la charge de la preuve
Les textes visent à une dissuasion en mettant en place des sanctions financières importantes, en cas de manquement aux obligations inhérentes à la protection des données personnelles. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement doit être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties doivent exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive n° 93/13/CEE du Conseil24, une déclaration de consentement rédigée préalablement par le responsable du traitement doit être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne doit contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée doit connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne doit pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice25.
Afin de démontrer qu’il respecte le règlement, le responsable du traitement ou le sous-traitant doit tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant doit être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement26.
Afin de mieux garantir le respect du règlement lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit assumer la responsabilité d’effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le règlement. Lorsqu’il ressort de l’analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l’autorité de contrôle soit consultée avant que le traitement n’ait lieu27.
Le responsable du traitement doit communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent. La communication doit décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec l’autorité de contrôle, dans le respect des directives données par celle-ci ou par d’autres autorités compétentes, telles que les autorités répressives. Par exemple, la nécessité d’atténuer un risque immédiat de dommage pourrait justifier d’adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données à caractère personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication28.
Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du règlement, chaque autorité de contrôle doit avoir le pouvoir d’imposer des amendes administratives. Le règlement définit les violations, le montant maximal et les critères de fixation des amendes administratives dont elles sont passibles, qui doivent être fixés par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l’autorité de contrôle doit tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour favoriser une application cohérente des amendes administratives. Il doit appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques doivent faire l’objet d’amendes administratives. L’application d’une amende administrative ou le fait de donner un avertissement ne portent pas atteinte à l’exercice d’autres pouvoirs des autorités de contrôle ou à l’application d’autres sanctions en vertu du règlement29.
B – Les acteurs non juridictionnels et juridictionnels des sanctions
Le rôle des acteurs non juridictionnels comme juridictionnels en matière de contrôle du respect de la protection des données personnelles évolue nécessairement à la faveur du nouveau règlement. Ce dernier fait en effet passer d’un régime d’autorisation, pour un grand nombre de traitements de données, à un régime de responsabilisation des entreprises et administrations30.
La mise en place d’autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les États membres doivent pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative31.
L’indépendance des autorités de contrôle ne doit pas signifier que celles-ci ne peuvent être soumises à des mécanismes de contrôle ou de suivi de leur gestion financière ni à un contrôle juridictionnel.
Lorsqu’un État membre met en place plusieurs autorités de contrôle, il doit établir par la loi des dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la cohérence. Il doit en particulier désigner l’autorité de contrôle qui sert de point de contact unique, permettant une participation efficace de ces autorités au mécanisme, afin d’assurer une coopération rapide et aisée avec les autres autorités de contrôle, le comité et la Commission. Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à l’assistance mutuelle et à la coopération avec d’autres autorités de contrôle dans l’ensemble de l’Union. Chaque autorité de contrôle doit disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.
Les conditions générales applicables au(x) membre(s) de l’autorité de contrôle doivent être fixées par la loi dans chaque État membre et doivent prévoir notamment que ces membres sont nommés, selon une procédure transparente, par le parlement, le gouvernement ou le chef d’État de cet État membre, sur proposition du gouvernement ou d’un membre du gouvernement, ou du parlement ou d’une chambre du parlement, ou par un organisme indépendant qui en a été chargé en vertu du droit d’un État membre. Afin de garantir l’indépendance de l’autorité de contrôle, il convient que le membre ou les membres de celle-ci agissent avec intégrité, s’abstiennent de tout acte incompatible avec leurs fonctions et n’exercent, pendant la durée de leur mandat, aucune activité professionnelle incompatible, rémunérée ou non. Chaque autorité de contrôle doit disposer de ses propres agents, choisis par elle-même ou un organisme indépendant établi par le droit d’un État membre, qui doivent être placés sous les ordres exclusifs du membre ou des membres de l’autorité de contrôle32.
L’autorité chef de file doit être compétente pour adopter des décisions contraignantes concernant les mesures visant à mettre en œuvre les pouvoirs qui lui sont conférés conformément au règlement. En sa qualité d’autorité chef de file, l’autorité de contrôle doit associer de près les autorités de contrôle concernées au processus décisionnel et assurer une coordination étroite dans ce cadre. Lorsqu’il est décidé de rejeter, en tout ou en partie, la réclamation introduite par la personne concernée, cette décision doit être adoptée par l’autorité de contrôle auprès de laquelle la réclamation a été introduite33. Lorsque l’autorité de contrôle auprès de laquelle la réclamation a été introduite n’est pas l’autorité de contrôle chef de file, l’autorité de contrôle chef de file doit coopérer étroitement avec l’autorité de contrôle auprès de laquelle la réclamation a été introduite conformément aux dispositions relatives à la coopération et à la cohérence prévues par le règlement. Dans de tels cas, l’autorité de contrôle chef de file doit, lorsqu’elle adopte des mesures visant à produire des effets juridiques, y compris des mesures visant à infliger des amendes administratives, tenir le plus grand compte de l’avis de l’autorité de contrôle auprès de laquelle la réclamation a été introduite, laquelle doit rester compétente pour effectuer toute enquête sur le territoire de l’État membre dont elle relève, en liaison avec l’autorité de contrôle chef de file34.
Le chapitre VI du RGPD est consacré aux autorités de contrôle indépendantes. Ainsi, il pose le principe selon lequel chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée « autorité de contrôle »). Il précise que chaque autorité de contrôle contribue à l’application cohérente du règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII. Lorsqu’un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l’article 63. Chaque État membre doit notifier à la Commission les dispositions légales qu’il adopte en vertu du présent chapitre, au plus tard, le 25 mai 2018 et, sans tarder, toute modification ultérieure les affectant. Les dispositions suivantes du règlement apportent des précisions sur les garanties d’indépendance.
Selon l’article 47 du RGPD, des mécanismes sont mis en place au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir le contrôle du respect des règles d’entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle doivent être communiqués à la personne ou à l’entité visée au point h) et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et doivent être mis à la disposition de l’autorité de contrôle compétente sur demande ; les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle ; le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l’autorité de contrôle les résultats des contrôles des mesures visés au point précédent ; les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes et la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.
Il faut encore préciser que la Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, préciser la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
L’article 60 du RGPD pose aussi le principe de la coopération entre les autorités de contrôle. Des actions de contrôle conjointes peuvent aussi être organisées. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.
Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. L’autorité de contrôle qui est compétente en vertu de l’article 56, paragraphe 1 ou 4, invite l’autorité de contrôle de chacun de ces États membres à prendre part aux opérations conjointes concernées et donne suite sans tarder à toute demande d’une autorité de contrôle souhaitant y participer.
Le texte précise encore qu’une autorité de contrôle peut, conformément au droit d’un État membre, et avec l’autorisation de l’autorité de contrôle d’origine, conférer des pouvoirs, notamment des pouvoirs d’enquête, aux membres ou aux agents de l’autorité de contrôle d’origine participant à des opérations conjointes ou accepter, pour autant que le droit de l’État membre dont relève l’autorité de contrôle d’accueil le permette, que les membres ou les agents de l’autorité de contrôle d’origine exercent leurs pouvoirs d’enquête conformément au droit de l’État membre dont relève l’autorité de contrôle d’origine. Ces pouvoirs d’enquête ne peuvent être exercés que sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil. Les membres ou agents de l’autorité de contrôle d’origine sont soumis au droit de l’État membre de l’autorité de contrôle d’accueil.
Lorsque, conformément au point précédent, les agents de l’autorité de contrôle d’origine opèrent dans un autre État membre, l’État membre dont relève l’autorité de contrôle d’accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu’ils causent au cours des opérations dont ils sont chargés, conformément au droit de l’État membre sur le territoire duquel ils opèrent. L’État membre sur le territoire duquel les dommages ont été causés répare ces dommages selon les conditions applicables aux dommages causés par ses propres agents. L’État membre dont relève l’autorité de contrôle d’origine dont les agents ont causé des dommages à des personnes sur le territoire d’un autre État membre rembourse intégralement à cet autre État membre les sommes qu’il a versées aux ayants-droit.
Lorsqu’une opération conjointe est envisagée et qu’une autorité de contrôle ne se conforme pas dans un délai d’1 mois à l’obligation, les autres autorités de contrôle peuvent adopter une mesure provisoire sur le territoire de l’État membre dont celle-ci relève, conformément à l’article 55. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont présumées être réunies et nécessitent un avis ou une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.
Il faut encore préciser, sur le plan juridictionnel, que toute personne physique ou morale a le droit de former un recours en annulation des décisions du comité devant la Cour de justice dans les conditions prévues à l’article 263 du traité sur le fonctionnement de l’Union européenne. Dès lors qu’elles reçoivent de telles décisions, les autorités de contrôle concernées qui souhaitent les contester doivent le faire dans un délai de 2 mois à compter de la notification qui leur en a été faite, conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne. Lorsque des décisions du comité concernent directement et individuellement un responsable du traitement, un sous-traitant ou l’auteur de la réclamation, ces derniers peuvent former un recours en annulation de ces décisions dans un délai de 2 mois à compter de leur publication sur le site internet du comité, conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne. Sans préjudice de ce droit prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne, toute personne physique ou morale doit disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle. Les actions contre une autorité de contrôle doivent être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions doivent disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.
Lorsqu’une réclamation a été rejetée ou refusée par une autorité de contrôle, l’auteur de la réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le cadre des recours juridictionnels relatifs à l’application du règlement, les juridictions nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à l’article 267 du traité sur le fonctionnement de l’Union européenne, doivent demander à la Cour de justice de statuer à titre préjudiciel sur l’interprétation du droit de l’Union, y compris le règlement. En outre, lorsqu’une décision d’une autorité de contrôle mettant en œuvre une décision du comité est contestée devant une juridiction nationale et que la validité de la décision du comité est en cause, ladite juridiction nationale n’est pas habilitée à invalider la décision du comité et doit, dans tous les cas où elle considère qu’une décision est invalide, soumettre la question de la validité à la Cour de justice, conformément à l’article 267 du traité sur le fonctionnement de l’Union européenne tel qu’il a été interprété par la Cour de justice. Toutefois, une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du comité à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne35.
L’article 84 du RGPD précise les sanctions applicables comme suit. Il précise en premier lieu que les États membres déterminent le régime des autres sanctions applicables en cas de violations du règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. Chaque État membre doit notifier à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.
Outre ces éléments, le RGPD prévoit une coopération juridictionnelle accrue. Lorsqu’une juridiction saisie d’une action contre une décision prise par une autorité de contrôle a des raisons de croire que des actions concernant le même traitement, portant par exemple sur le même objet, effectué par le même responsable du traitement ou le même sous-traitant, ou encore la même cause, sont introduites devant une juridiction compétente d’un autre État membre, il convient qu’elle contacte cette autre juridiction afin de confirmer l’existence de telles actions connexes. Si des actions connexes sont pendantes devant une juridiction d’un autre État membre, toute juridiction autre que celle qui a été saisie en premier peut surseoir à statuer ou peut, à la demande de l’une des parties, se dessaisir au profit de la juridiction saisie en premier si celle-ci est compétente pour connaître de l’action concernée et que le droit dont elle relève permet de regrouper de telles actions connexes. Sont réputées connexes, les actions qui sont à ce point étroitement liées qu’il y a intérêt à les instruire et à les juger en même temps afin d’éviter que ne soient rendues des décisions inconciliables, issues de procédures séparées36.
Il faut enfin souligner que ces droits ne sont pas absolus. Ainsi l’article 23 du RGPD apporte les précisions suivantes, autour de la notion de limitations à ces principes. Est ainsi précisé que le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir : la sécurité nationale ; la défense nationale ; la sécurité publique ; la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ; la protection de l’indépendance de la justice et des procédures judiciaires ; la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ; une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, la protection de la personne concernée ou des droits et libertés d’autrui ; l’exécution des demandes de droit civil. Le RGPD prévoit ainsi que toute législation nationale sur ces sujets comporte des dispositions sur ces limitations.
Ce règlement est riche de nombreuses définitions, protections et sanctions. Les autorités nationales se sont déjà largement préparées et offrent une série de guides à l’attention des acteurs que nous avons exposés plus haut. Ainsi, en France, la Commission nationale informatique et libertés propose notamment une préparation en six étapes pour les opérateurs, auteurs de traitements de données personnelles, qui insiste sur l’importance de tenir à jour une documentation afin de pouvoir démontrer, si nécessaire, la conformité de ses traitements de données personnelles37. Le temps de mise en œuvre sera sans doute le moment d’interrogations et de précisions. Certaines peuvent déjà se dessiner et devront faire l’objet soit de précisions jurisprudentielles soit textuelles de la part des États membres. Il en est ainsi par exemple de la distinction entre le fichier à usage professionnel, soumis aux exigences du règlement, et du fichier à strict usage personnel, non soumis. Même si l’exposé des motifs (point 19) précise que l’usage de fichiers professionnels à des fins personnelles sera soumis aux exigences du règlement, l’on voit déjà poindre des zones d’ombre, ou au moins d’interrogations.
De manière plus générale, la charge pesant sur les opérateurs devient essentielle. La loi française qui devrait être adoptée avant le 25 mai 2018 vise à assurer une sécurité juridique pour chaque acteur. Dans son avis, rendu public sur le projet de loi, le Conseil d’État insistait ainsi en affirmant que : « Ces évolutions significatives invitent à la plus grande vigilance d’abord dans la charge qui est désormais transférée sur les responsables de traitement : le coût économique de celle-ci, comme la responsabilité accrue qui leur est donnée, avec les risques qu’elle comporte, demandent que la loi soit la plus précise et la plus claire pour assurer un environnement robuste à leur prise de décision. Il faut assurer en même temps le maintien d’un standard élevé de protection, non seulement par l’usage, le cas échéant, des facultés reconnues aux États par leur droit interne de renforcer les contrôles (par exemple par des autorisations a priori), mais aussi par l’adoption des règles qui, pour relever du droit souple, doivent être claires et rigoureuses : les évolutions permises par le contrôle juridictionnel en la matière contribueront à l’atteinte de cet objectif38. Les travaux parlementaires en France sur ce sujet tendent à penser que le RGPD est un texte hybride, qui laisse plus d’une cinquantaine de points offrant une grande marge de manœuvre nationale. Il est en tout cas un texte qui se veut protecteur. Étant d’effet direct, la loi française, qui devrait être prochainement votée ne pourra que respecter les bases essentielles de cette protection39.
Notes de bas de pages
-
1.
V. les numéros : Assemblée nationale (15e législ.) : 1re lecture : 490, 592, 579 et T.A. 84. C.M.P. : 855. Nouvelle lecture : 809, 860 et T.A. 110.
-
2.
Sénat : 1re lecture : 296, 344, 350, 351 et T.A. 76 (2017-2018). C.M.P. : 407, 408 (2017-2018). Nouvelle lecture : 425, 441 et 442 (2017-2018). La loi votée fera l’objet d’une prochaine étude dans ces colonnes.
-
3.
Le projet de loi, encore en cours d’examen, au moment de la rédaction du présent article, porte non seulement sur le règlement auquel cette étude est consacrée mais aussi sur la directive (UE) n° 2016/680 du PE et du Conseil du 27 avril 2016.
-
4.
En 1974, éclate l’affaire dite SAFARI (système informatisé pour les fichiers administratifs et le répertoire des individus) qui devait consister en la mise en place de fichiers interconnectés à l’aide du numéro Insee. En réaction à cette affaire, se trouve la mise en place de la commission « Informatique et Liberté » qui rédigea le rapport Tricot à l’origine de la loi du 6 janvier 1978. La loi vise déjà à répondre aux menaces que fait peser l’informatique sur les libertés individuelles : interconnexion des fichiers, facilité d’utilisation de la méthode des profils (par ex., les clients insolvables), déséquilibre des pouvoirs au profit des détenteurs des moyens de traitement de l’information. Source : site internet de la Commission nationale de l’Informatique et des Libertés.
-
5.
Dir. n° 95/46/CE du PE et du Cons., 24 oct. 1995.
-
6.
Arrêt de la CJUE du 8 avril 2014, invalidant la directive n° 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems c/ Data Protection Commissioner.
-
7.
Règl. (UE) n° 2016/679 du PE et du Cons., 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE.
-
8.
En 2012, la Cour de justice de l’Union européenne (CJUE) a été saisie par la juridiction espagnole, dans le cadre d’un litige opposant Google à l’autorité de protection des données personnelles. Celle-ci avait ordonné à Google, à l’occasion de l’instruction d’une plainte, de désindexer les données relatives à deux articles de presse évoquant les dettes passées et réglées par le plaignant, afin qu’elles disparaissent des résultats de la recherche faite sur le nom du plaignant. La Cour de justice a donc été saisie de plusieurs questions portant sur l’interprétation de la directive de 1995 relative à la protection des données Dans sa décision du 13 mai 2014, la Cour juge quatre points essentiels : premièrement, les exploitants de moteurs de recherche sont des responsables de traitement au sens de la directive n° 95/46/CE sur la protection des données personnelles. En effet, l’activité d’un moteur de recherche consiste à indexer automatiquement des informations publiées sur internet et à les mettre à disposition des internautes selon un ordre de préférence donné. Cette activité s’ajoute ainsi à celle des éditeurs de sites web et est susceptible de porter atteinte aux droits des personnes. Deuxièmement, la CJUE retient une conception large de la notion d’établissement, et, de ce fait, que la directive s’applique à Google. En l’espèce, les droits et obligations prévus par la directive européenne s’appliquent donc à Google en Espagne, puisque la filiale de Google en Espagne assure, dans cet État membre, la promotion et la vente des espaces publicitaires sur le moteur de recherche, afin de rentabiliser le service offert par le moteur de recherche. Troisièmement, une personne peut s’adresser directement à un moteur de recherche pour obtenir la suppression des liens vers des pages web contenant des informations portant atteinte à sa vie privée. Elle n’a pas à s’adresser préalablement à l’éditeur du site internet. De même, ce droit peut être exercé alors même que la publication des informations sur les sites concernés serait, en elle-même, licite. En effet, un traitement initialement licite peut ne plus l’être lorsqu’avec le temps et l’évolution des finalités pour lesquelles les données ont été traitées, les informations ont perdu leur caractère adéquat et pertinent ou apparaissent désormais excessives. Enfin, quatrièmement, un tel droit n’est cependant pas absolu. Si le droit au respect de la vie privée et à la protection des données personnelles garanti par la charte des droits fondamentaux de l’UE prévaut sur l’intérêt économique du moteur de recherche, la suppression de telles données doit être appréciée au cas par cas. Cette analyse se fera en fonction de la nature de l’information, de sa sensibilité pour la vie privée de la personne concernée et de l’intérêt pour le public à la recevoir, en raison notamment du rôle joué dans la vie publique par cette personne. Source : site internet de la Cnil.
-
9.
Pt 31 de l’exposé des motifs du RGPD.
-
10.
Pt 38 de l’exposé des motifs précité.
-
11.
Pt 58 de l’exposé des motifs précité.
-
12.
Pt 36 de l’exposé des motifs du RGPD.
-
13.
Pt 37 de l’exposé des motifs précité.
-
14.
Pt 74 de l’exposé des motifs précité.
-
15.
Pt 77 exposé des motifs précité.
-
16.
Pt 80 exposé des motifs précité.
-
17.
Pt 39 de l’exposé des motifs du RGPD.
-
18.
Pt 60 de l’exposé des motifs précité.
-
19.
Pt 29 de l’exposé des motifs du RGPD.
-
20.
https://www.lequotidiendumedecin.fr/actualites/article/2018/04/16/protection-des-donnees-personnelles-les-medecins-aussi-doivent-se-preparer-au-rgpd_857077.
-
21.
Pt 63 de l’exposé des motifs précité.
-
22.
Pts 65 et 66 de l’exposé des motifs précité.
-
23.
L’article 17 du RGPD l’énonce ainsi : les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, pt a), ou à l’article 9, paragraphe 2, pt a), et il n’existe pas d’autre fondement juridique au traitement ; la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ; les données à caractère personnel ont fait l’objet d’un traitement illicite ; les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ; les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
-
24.
Pt 51 de l’exposé des motifs précité.
-
25.
Dir. n° 93/13/CEE du Cons., 5 avr. 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs.
-
26.
Pt 42 de l’exposé des motifs précité.
-
27.
Pt 82 de l’exposé des motifs précité.
-
28.
Pt 84 de l’exposé des motifs précité.
-
29.
Pt 86 de l’exposé des motifs précité.
-
30.
Pt 150 de l’exposé des motifs précité.
-
31.
Rapport d’information de la Commission des Affaires européennes, 18 janv. 2018, https://donnees-personnelles.parlement-ouvert.fr/rapport-information-577/travaux-de-la-commission.
-
32.
Pt 117 de l’exposé des motifs du RGPD.
-
33.
Pts 119 à 123 de l’exposé des motifs précité.
-
34.
Pt 125 de l’exposé des motifs précité.
-
35.
Pt 130 de l’exposé des motifs précité.
-
36.
Pt 143 de l’exposé des motifs précité.
-
37.
Pt 144 exposé des motifs précité.
-
38.
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes.
-
39.
http://www.assemblee-nationale.fr/15/pdf/projets/pl0490-ace.pdf.
-
40.
Cette loi fera l’objet d’une prochaine étude.