Règlement Général sur la Protection des Données (RGPD)

A. Pourquoi une nouvelle loi ?

Le nouveau Règlement Général sur la Protection des Données 2016/679 (« RGPD » ou « Règlement ») a été signé le 27 avril 2016, plus de 20 ans après la signature, le 24 octobre 1995, de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dite la Directive sur la protection des données personnelles).

Cette Directive 95/46/CE visait à concilier la protection des droits fondamentaux des individus avec la libre circulation des données d’un état membre à un autre, en adéquation avec les articles 8 et 10 de la Convention Européenne des Droits de l’Homme de 1950.

Cependant, les Etats membres n’ont pas tous systématiquement mis en œuvre et appliqué la Directive sur la protection des données personnelles, avec pour conséquence aujourd’hui qu’il existe des différences importantes entre les lois nationales en matière de vie privée des états membres. Ces différences ont compliqué le travail des organisations multinationales pour se mettre en conformité dans plusieurs Etats membres, augmentant la paperasse et les coûts pour les entreprises mais aussi les incertitudes pour les personnes.

Avec les développements technologiques rapides et nouveaux (informatique dématérialisée, réseaux sociaux, Smartphones) depuis 1995, une revue complète de la législation sur la protection des données personnelles était plus que nécessaire.

La Commission a commencé le processus de révision en 2011, débouchant le 27 avril 2016 sur l’adoption du nouveau Règlement Général sur la Protection des Données.

Cette fois-ci, le législateur a opté pour un Règlement, qui devrait fournir le même niveau de protection aux personnes dans tous les états membres et les mêmes obligations et responsabilités aux responsables du traitement et aux sous-traitants.

Le nouveau Règlement est aussi connu comme étant le texte qui a fait l’objet du lobbying le plus intense dans l’histoire de l’Union européenne. Il entrera en vigueur en Belgique et dans les autres états membres de l’UE le 25 mai 2018.

B. Que devez-vous savoir ?

1. Il s’agit d’un Règlement, pas d’une Directive

Une directive est une loi définissant un résultat qui doit être atteint par les états membres au moyen de leurs lois nationales de la manière qu’ils jugent appropriée (multiples sources de droit).

Cela conduit à des différences d’interprétation et d’application entre les états membres. Les états membres publient des lignes directrices différentes et développent de la jurisprudence donnant du contenu à leur législation nationale, qui peut différer de manière importante de la loi nationale telle que transposée dans les autres états membres.

De tels problèmes n’existent pas avec un règlement : un règlement est une loi (une source de loi) adressée à tous les états membres, entièrement et directement applicable. Il n’est pas nécessaire de le mettre en œuvre.

Cependant, ce RGPD contient un grand nombre de dispositions qui laissent la place à l’interprétation nationale des états membres et aux approches nationales dépendant de la culture, de l’intérêt et des priorités des autorités de contrôle.

2. Des données concernant une personne physique identifiée ou identifiable

Ce Règlement s’applique à toutes les informations concernant une personne physique identifiée ou identifiable, en ce compris les données personnelles indirectes. Sont inclus les identifiants en ligne qui peuvent être des données personnelles.

Par exemple, une adresse IP (spécialement avec le nouvel IPv6), un device ID unique (personnel) et les numéros de carte de crédit pourraient tous être considérés comme des informations sur une personne identifiable.

Des données pseudonymisées pourraient être des données personnelles, en fonction du niveau de difficulté de rattacher le pseudonyme à un individu particulier (par exemple au moyen d’informations additionnelles).

Les données anonymes, c’est-à-dire les données qui ne se rapportent pas à une personne identifiée ou identifiable, ou les données qui sont rendues anonymes de telle manière que la personne n’est pas ou plus identifiable, pourraient tomber en dehors du champ des données personnelles. Le test pour le déterminer devrait tenir compte de tous les moyens raisonnablement susceptibles d’être utilisés, en prenant compte de tous les facteurs objectifs tels que leurs coûts et le temps requis pour identifier, et prenant en considération la technologie disponible au moment du traitement. Ce n’est que lorsque ce test est réussi que les données anonymes sont exemptées du Règlement.

La pseudonymisation sera décisive, puisqu’une fois pseudonymisées, le Règlement a des règles plus assouplies entourant la notification en cas de violation.

3. Aspect extraterritorial

Le Règlement s’applique principalement aux entreprises établies dans l’Union européenne.

Si une entreprise hors UE vise des clients européens, cette action pourrait être soumise au RGPD

Cependant, si une entreprise hors UE vise des clients européens (par exemple, offrir des biens et services à des clients européens, même gratuitement, suivre le comportement des clients européens, offrir un changement de langue et accepter des commandes, appliquer des cookies, E-Commerce, services de la société de l’information), cela pourrait être soumis au Règlement (règle du pays de destination).

L’idée est que si vous voulez profiter du marché de l’UE, vous devez respecter les règles de l’UE.

Dans tous les cas, le Règlement s’appliquera seulement aux données personnelles des individus dans l’UE ; leur nationalité ou leur résidence habituelle ne sont pas pertinentes.

4. Responsables du traitement et sous-traitants

Le Règlement étend considérablement la responsabilité des responsables du traitement pour l’activité de traitement, et met en place des règles spécifiques pour la répartition des responsabilités entre le responsable du traitement et le sous-traitant.

Les règles sur la protection des données n’ont traditionnellement pas soumis les sous-traitants (fournisseurs de service) à de lourdes obligations ; ils avaient une obligation de confidentialité et de sécurité. Les sous-traitants agissent en accord avec les instructions de leurs clients (le responsable du traitement) et doivent prévoir des mesures techniques et administratives appropriées pour protéger les données personnelles.

En raison de la complexité actuelle du traitement des données, il n’est plus exact de dire que les fournisseurs sont en dehors du traitement des données. Les fournisseurs de Cloud, par exemple, jouent un rôle essentiel pour la protection des données.

En vertu de ce Règlement, le sous-traitant fera face à une responsabilité pour non-respect du Règlement ou pour avoir agi en dehors des instructions et autorités accordées par le client/responsable du traitement.

Ces nouvelles responsabilités auront un impact sur les négociations contractuelles

On espère que ces nouvelles responsabilités auront un impact sur les négociations contractuelles (conditions, prix et responsabilités) entre les responsables du traitement et les sous-traitants et spécialement entre les sous-traitants et les sous-traitants ultérieurs. Par exemple, les acteurs majeurs de l’industrie du Cloud ou un très petit sous-traitant (ultérieur) peuvent être réticents à accepter des conditions ou responsabilités additionnelles.

La majorité des responsabilités et obligations reposent encore sur les responsables du traitement.

5. Responsabilité

La responsabilité a toujours fait partie de la législation sur la protection des données. Cependant, ce principe de responsabilité a pris davantage d’importance sous le Règlement. Le principe de responsabilité du Règlement requiert que vous démontriez que vous respectez les principes et déclare explicitement que cela est votre responsabilité.

Pour démontrer la responsabilité, les organisations doivent :

• Mettre en œuvre des mesures techniques et organisationnelles appropriées qui assurent et démontrent la conformité (par exemple, formation du personnel, audits internes des activités de traitement, examen des politiques RH, politiques internes de protection des données) (1) ;
• Récolter et conserver des enregistrements détaillés des activités de traitement (2) ;
• Nomination d’un DPD (délégué à la protection des données) si nécessaire (3) ;
• Mettre en œuvre des mesures qui rencontrent les exigences de protection des données par défaut :

- Créer et améliorer les dispositifs de sécurité sur une base continue (vie privée dès la conception) (4) 

- Transparence (5) 

- Minimisation des données (6) 

- Pseudonymisation 

- Permettre aux personnes de surveiller le traitement ; 

- Utiliser les analyses d'Impact relative à la Protection des Données quand cela est approprié (7) 

- Codes des conduite/certification (8)

(1) Les entreprises sont supposées concevoir dans le respect des obligations légales. Les entreprises doivent comprendre qu’elles sont responsables de ce qu’elles font avec les données. Elles devront montrer qu’elles prennent des mesures appropriées. La sécurité doit être assurée en prenant des mesures techniques et organisationnelles raisonnables de pointe et à un coût raisonnable.

(2) Conserver les enregistrements des activités de traitement : sous la Directive, les sociétés étaient supposées notifier aux autorités de protection des données qu’elles traitaient des données.

Cette obligation de notification a été abolie et remplacée par une obligation pour les responsables du traitement et les sous-traitants de tenir des registres détaillés du traitement des mêmes informations à peu près (types de listes de données, information sur le traitement, lieu du traitement, personnes, catégories, but du traitement, mesures de sécurité).

(3) Délégué à la protection des données : les autorités publiques, les organisations dont les activités principales impliquent une surveillance régulière et systématique de catégories spéciales de données, doivent nommer un délégué à la protection des données.

Le projet antérieur du RGPD limitait la nomination d’un délégué à la protection des données aux sociétés de plus de 250 employés mais cette disposition n’a pas été maintenue dans la version finale du RGPD.

Les sociétés qui traitent les données d’un grand nombre d’employés, mais dont l’activité principale n’est pas le traitement des données, ne sont pas prises en compte.

Il est conseillé que le DPD rapporte et se trouve dans les rangs du niveau le plus élevé d’autorité (Chef de la conformité ou Conseiller général).

Le DPD devrait mettre en premier l’intérêt des clients/personnes, ce qui ne correspondra pas toujours avec les intérêts économiques de l’organisation.

Le DPD devrait mettre en premier l’intérêt des clients/personnes avant les intérêts économiques de l’organisation

(4) Vie privée dès la conception : c’est le fait de penser à la vie privée pendant et avant la mise en œuvre d’un nouveau produit.

La vie privée doit être intégrée directement dans la technologie et les systèmes à la phase de conception, étant son élément le plus essentiel et assurant ainsi l’existence de la vie privée dès le début. La vie privée dès la conception anticipe et empêche les violations de la vie privée avant qu’elles ne se produisent, plutôt que d’attendre que la violation ait lieu.

La vie privée dès la conception signifie que la vie privée est activée comme paramètre par défaut et incorporée dans le système : ainsi, aucune action ne devrait être requise de la part des personnes pour conserver leur vie privée.

La vie privée dès la conception attend également des organisations qu’elles réfléchissent sur le cycle de vie entier des données ; les données devraient être protégées du début à la fin.

(5) Transparence : Cela signifie que les parties prenantes devraient en être assurées peu importe la pratique commerciale ou la technologie concernée. Les organisations doivent fonctionner de manière ouverte et visible et selon les politiques de vie privée promises et des procédures soumises à des vérifications indépendantes.

(6) La minimisation des données : les organisations doivent privilégier l’intérêt des personnes en offrant des mesures comme des paramètres par défauts stricts de vie privée, des avis appropriés, qui sont tous user-friendly. Les organisations devraient donner la priorité à la minimisation des données, aux restrictions d’utilisation et à la non-distribution des données à d’autres personnes sans une vérification des intérêts. Ce principe peut être contraire au concept de « big data ».

(7) Les entreprises peuvent avoir besoin de lancer un système d’analyse de l'impact sur la vie privée. Dans le cas où un traitement est impliqué et qu’il y a un risque élevé avec une nouvelle technologie ou que le nouveau produit est conçu, une analyse de l’impact sur la vie privée doit être faite avant le lancement du nouveau produit.

(8) Adhérer aux codes de conduite approuvés et/ou aux plans de certifications : il est prévu que des recommandations, certifications et codes de bonne conduite soient publiés pour aider les organisations à se conformer.

6. Consentement

Le consentement reste une base légale pour le transfert de données personnelles sous le RGPD. Cependant, la définition du consentement a été restreinte.

On parle maintenant de consentement « libre, spécifique, éclairé et univoque ».

Sous la Directive, les responsables du traitement pouvaient compter sur le consentement implicite et le consentement présumé dans certaines circonstances. Désormais, le Règlement requiert que la personne indique son accord pour le traitement par une déclaration ou un acte positif clair. S’il y a des doutes sur le fait que le consentement a été donné, les circonstances sont interprétées contre le responsable du traitement. Cela peut être nécessaire, bien que lourd, de conserver les archives administratives des consentements donnés par les personnes. Il ne fait aucun doute que le consentement doit être donné avant tout acte de traitement. Il y a de plus en plus de demandes en retrait du consentement, ce qui peut engendrer des problèmes pratiques pour les activités des organisations, pour arrêter le traitement ultérieur et ainsi garantir aux personnes que les données ne seront plus traitées.

Le consentement n’est pas la seule justification pour traiter les données personnelles d’une personne. Le consentement restera seulement utile au cas où le traitement est optionnel, c-à-d. que vous pouvez facilement ne pas traiter les données personnelles quand la personne refuse son consentement ou retire son consentement.

‘Libre’ signifie que la personne doit avoir un véritable choix. ‘Libre’ signifie aussi que la personne doit avoir une possibilité de retirer son consentement sans subir de préjudice, en d’autres mots, sans qu’il n’y ait de conditions.

7. Les droits des personnes sont renforcés

Une personne a le droit d’accéder, de corriger, de supprimer et de bloquer ses données. Une personne a également le droit de s’opposer au marketing direct. Le Règlement préserve ces droits et introduit le nouveau « droit à l’oubli » et le « droit à la portabilité des données ».

• Le droit à l’oubli :
  la personne a le droit de demander l’effacement et la suppression de ses données personnelles quand il n’y a aucune raison suffisante à son traitement continu (pensez à la personne qui veut retirer ses données des résultats des moteurs de recherche) ou quand la personne s’est opposée au traitement et qu’il n’y a pas de raison légitime impérieuse pour justifier ce traitement. Cela ne concerne pas seulement les moteurs de recherche ; toute personne peut vous écrire et vous demander de supprimer ses données personnelles. Les organisations peuvent refuser de supprimer les données pour des raisons particulières, telles que pour exercer le droit de liberté d’expression et d’information, pour se conformer avec une obligation légale pour la réalisation d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ; pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public et pour l'exercice ou la défense de droits en justice.
• La portabilité des données :
  le droit à la portabilité des données autorise les personnes à obtenir et à réutiliser leurs données personnelles à des fins qui leur sont propres dans des services différents (ex. de Facebook vers un autre fournisseur). Les organisations devront fournir les données personnelles dans un format structuré, couramment utilisé, lisible par machine. Les organisations devraient répondre en principe dans un délai d’un mois. Il peut être demandé à une organisation de transmettre les données directement à une autre organisation si cela est techniquement possible.
• Profilage et décision automatisée :
  les personnes ont le droit de ne pas être soumises à des décisions automatisées qui produisent des effets légaux ou affectent considérablement la personne. Le consentement sera requis si les décisions automatisées résultant du profilage ont un impact légal ou tout aussi important. Les organisations seront obligées d’assurer qu’un individu obtienne une intervention humaine, puisse exprimer son point de vue, reçoive une explication et conteste la décision. Un tel consentement et de tels droits ne sont pas applicables aux décisions automatisées basées sur le profilage et (i) nécessaires à la conclusion ou à l'exécution d'un contrat entre l’organisation et la personne, (ii) autorisées par la loi et (iii) fondées sur le consentement explicite.
  
  Pour réduire ou même baisser le risque au niveau zéro, les décisions automatisées ne peuvent pas concerner les enfants et ne peuvent pas causer des effets discriminatoires (par exemple, montrer différents prix à différentes personnes). Pour des catégories spéciales de données, l’organisation doit avoir le consentement explicite de la personne.

8. Nouvelle approche proactive de notification

Avant le Règlement, il n’y avait pas d’exigence générale de reporting. Certains états membres avaient déjà des règles de notification (l’Allemagne par exemple).

Ce Règlement introduit une obligation pour toutes les organisations de rapporter certains types de violations de données à l’autorité de contrôle compétente et dans certains cas aux personnes concernées. Une violation est davantage que la simple perte de données personnelles ; cela signifie également une violation de la sécurité menant à la destruction, la perte, la modification, l’accès ou la divulgation non autorisés des données personnelles.

L’autorité de protection des données (Commission belge pour la vie privée) doit être avertie lorsqu’il est probable que la violation conduise à un risque pour les droits et libertés des personnes (par exemple, un risque de vol d’identité, de discrimination, d’atteinte à la réputation, de pertes financières, perte de confidentialité ou tout autre désavantage économique ou social conséquent). La notification devrait normalement être faite dans les 72 heures. Certaines organisations peuvent envisager de ne pas notifier car elles craignent les réclamations des personnes. Elles devraient penser aux dommages plus importants pour les personnes si celles-ci ne sont pas averties de la violation des données.

Malgré les précautions, il est important d’anticiper une violation de la sécurité car même avec des protections raisonnables, des violations de données se produisent. Il est également important de revoir la couverture d’assurance de l’entreprise pour déterminer si un incident lié à la violation des données est couvert par une police.

9. Les exportations de données ne vont pas être plus simples

Sous le RGPD, les données personnelles peuvent seulement être transférées à des pays avec un « niveau adéquat de protection » des données personnelles. L’UE n’a pour l’instant pas estimé que les USA fournissaient un niveau adéquat de protection.

L’accord Safe Harbor était une création par laquelle les entreprises américaines pouvaient volontairement accepter de respecter un ensemble de règles imposées par le Département du Commerce américain. L’étudiant Schrems trouvait que le Safe Harbor n’offrait pas des restrictions appropriées à la surveillance gouvernementale des données personnelles par le gouvernement américain. Dès lors, la Court Européenne de Justice a invalidé l’accord Safe Harbor.

Après la mort du Safe Harbor UE-USA, un nouveau Privacy Shield UE-USA a été adopté le 12 juillet 2016. Le Privacy Shield n’est ni une révolution ni une nouvelle solution miracle, et il ne contient aucun nouveau mécanisme. (L'article concernant le Privacy Shield ou bouclier de données adopté peut être consulté en cliquant ici)

Sauf (i) le consentement, (ii) les règles d’entreprise contraignantes, (iii) le Privacy Shield UE-USA, le (iv) le régime des clauses contractuelles types est encore privilégié.

10.  Amendes importantes

Les amendes en cas de violation du RGPD seront de 4% du chiffre d'affaires annuel mondial total de l'exercice précédent ou de 20 millions euros, le montant le plus élevé étant retenu.