1. Le RGPD ne concerne que les citoyens européens !
L’une des nouveautés du règlement européen est son effet extraterritorial. En effet, ce texte est non seulement applicable aux entreprises et organismes établis sur le territoire de l’Union européenne, mais également « à des personnes concernées qui se trouvent sur le territoire de l’Union », si les traitements mis en œuvre portent sur une offre de biens ou de services à des personnes dans l’Union ou sur le suivi de leur comportement, toujours au sein de l’Union. C’est donc l’ensemble des résidents européens qui bénéficient de cette protection et non les seuls citoyens européens. Ainsi, un Américain vivant à Paris bénéficiera de cette protection ; inversement, le fait de traiter des données de citoyens français installés aux États-Unis n’aura pas pour effet d’entraîner l’application du règlement européen.
2. Un responsable de traitement ou un sous-traitant sera régulé par une seule Autorité de contrôle !
Le règlement européen prévoit la possibilité de désigner une autorité chef de file, mais uniquement pour ce qui concerne les traitements transfrontaliers. En outre, l’article 55 précise que « lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, § 1, point c) (respect d’une obligation légale) ou e) (exécution d’une mission d’intérêt public), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 (concernant l’autorité chef de file) n’est pas applicable. » Les traitements mis en œuvre pour satisfaire une obligation légale étant relativement courants, en particulier dans le secteur financier (par exemple en matière de lutte antiblanchiment et contre les sanctions financières, score bâlois, etc.), la simplification promise et devant résulter de la désignation de cette autorité chef de file semble assez réduite. Ces dispositions pourraient même aboutir, pour un responsable de traitement qui ne serait pas par ailleurs l’établissement principal (critère utilisé pour déterminer l’autorité chef de file), à relever de la compétence de plusieurs autorités de contrôle : l’une pour ses traitements transfrontaliers par l’intermédiaire de son établissement principal, et l’autre pour les traitements nécessaires au respect d’une obligation légale. Cette situation pourrait s’avérer fréquente dans le cadre des groupes de sociétés où certains traitements (y compris ceux permettant de respecter une obligation légale) sont mis en œuvre par la maison mère et déployés dans l’ensemble de ses filiales. Elles pourraient donc à l’usage se révéler un facteur de complexification de la gouvernance des données.
Par ailleurs, les autres autorités de contrôle restent compétentes notamment pour traiter les plaintes qui leur sont adressées. En cas de dépôt d’une plainte auprès d’une autorité locale, celle-ci devra interroger l’autorité chef de file afin de savoir si celle-ci souhaite régler le litige. Or on peut imaginer que l’autorité chef de file ne souhaite pas traiter le cas, à la charge pour l’autorité initialement saisie de le faire.
3. Le consentement est nécessaire pour tous les traitements de données !
Comme la loi Informatique et Libertés, le règlement prévoit que chaque traitement de données personnelles repose sur un ou plusieurs fondements dont la liste est énumérée à l’article 6 du RGPD. Le consentement est l’un de ces fondements au même titre que le respect d’une obligation légale, l’exécution de mesures contractuelles ou l’intérêt légitime du responsable de traitement. Dès lors, le consentement n’est pas un fondement exclusif. Il est à manier avec précaution car il doit être libre, spécifique et informé, et résulter d’une action non ambiguë de la personne concernée. La condition de liberté peut en particulier susciter des interrogations, le règlement s’y attachant particulièrement (cf. considérant 43). Il ne doit pas être forcé. Ainsi, dans l’hypothèse où des données seraient nécessaires à une prestation de service, leur collecte ne serait pas libre. En effet, en cas de refus, la personne ne pourrait bénéficier du service en question. Dès lors, il semble opportun de privilégier un autre fondement.
4. La désignation d’un Data Protection Officer est obligatoire pour les entreprises employant plus de 250 collaborateurs !
Les critères à prendre en compte pour la désignation obligatoire d’un Data Protection Officer (DPO) ont été discutés tout au long des débats entourant l’adoption du RGPD, évoluant d’une notion quantitative (le nombre de salariés du responsable de traitement ou le nombre de personnes concernées par le traitement) à une notion plus qualitative, relative à la sensibilité des traitements mis en œuvre. Conscient du fait que le nombre de personnes concernées ou de personnes mettant en œuvre le traitement est indifférent aux risques qu’il comporte (une violation de données exposant des milliers de personnes pouvant survenir dans n’importe quel contexte), le législateur européen a finalement retenu un critère qualitatif. Ainsi, doivent désigner un DPO :
- les autorités et organismes publics ;
- les responsables de traitement et les sous-traitants dont l’activité de base consiste en des opérations de traitement qui, du fait de leur nature, portée et/ou finalités, impliquent un suivi régulier des personnes concernées ;
- les responsables de traitement et les sous-traitants dont l’activité de base consiste en un traitement à grande échelle de données sensibles au sens de l’article 9 (données de santé, etc.) et de données relatives à des condamnations pénales.
5. Le RGPD supprime l’obligation de notification des traitements : donc la charge administrative sera réduite !
À cette date, l’ensemble des traitements de données à caractère personnel doivent faire l’objet d’une déclaration ou d’une autorisation de la Commission nationale de l’Informatique et des Libertés. Le règlement supprime cette notification qu’il remplace par l’obligation de tenir un registre et de réaliser des analyses d’impact pour les traitements de données les plus sensibles (dont la liste figure à l’article 35). En outre, il intègre en droit positif la notion d’Accountability : chaque responsable de traitement doit être en mesure de prouver à tout moment qu’il respecte l’ensemble des obligations du RGPD. Dès lors, la documentation à produire en interne, à maintenir et à actualiser apparaît plus importante que la simple déclaration à effectuer auprès de la CNIL. À noter, que l’obligation de tenir un registre incombe également au sous-traitant et au représentant pour les responsables de traitement établis hors Union européenne.
Une exception a cependant été introduite pour les entreprises employant moins de 250 salariés qui sont exonérées de cette obligation sous réserve qu’elles ne mettent pas en œuvre de traitements de données comportant des risques pour les personnes ou des données sensibles.
6. Tout profilage nécessite un consentement !
L’article 22 du RGPD précise que les personnes concernées ont le droit de ne pas être soumises à une décision automatisée produisant des effets juridiques la concernant ou l’affectant de manière significative. Une disposition similaire figurait déjà l’article 15 de la Directive 95/46/CE, même si elle ne visait pas explicitement le profilage. Certaines exceptions sont prévues notamment lorsque la décision est nécessaire à la conclusion ou à l’exécution d’un contrat, si elle est prévue par une disposition législative ou, sous réserve que celle-ci prévoie des mesures appropriées pour la sauvegarde des droits des personnes et si le responsable de traitement a recueilli le consentement de la personne concernée. Dès lors, seules les mesures de profilage produisant des effets juridiques pour la personne ou l’affectant de manière similaire et qui ne pourraient bénéficier de ces exceptions doivent faire l’objet d’un recueil de consentement.
Le débat se déplace alors sur la notion d’effet juridique pour la personne concernée. On peut imaginer qu’une mesure de profilage conduisant à l’exclusion d’une personne du bénéfice d’un droit ou d’un contrat pourrait rentrer dans cette catégorie. Cette question est tout à fait prégnante en matière de marketing où l’objet de la segmentation peut se limiter à proposer à un client un produit en fonction de ses goûts et ne conduit pas nécessairement à un mécanisme d’exclusion. Ce type de profilage pourrait ainsi être soumis à un droit d’opposition, conformément aux dispositions de l’article 21.
7. Le droit à l’oubli est un droit absolu !
Déjà consacré dans l’affaire Google c/ Spain, le RGPD introduit un droit à l’oubli au bénéfice des personnes concernées. Souvent identifié comme l’une des nouveautés majeures du règlement, il convient d’examiner ses conditions d’exercice.
L’article 17 fixe une liste de cas dans lesquels le responsable de traitement a l’obligation d’effacer des données. On constate notamment que ce droit s’applique lorsque les données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées », ou si les données « ont fait l’objet d’un traitement illicite ». Or, ces deux hypothèses constituent des manquements à d’autres dispositions du règlement. En effet, l’article 5 précise que les données sont « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Chaque responsable de traitement doit donc fixer et appliquer des durées de conservation adaptée. En outre, les traitements illicites sont proscrits car par définition, ils ne respectent pas les dispositions du règlement. Ces deux cas d’application du droit à l’effacement semblent donc plus résulter de l’application de mesures correctives relatives à des traitements qui violent les droits et libertés de la personne concernée.
Le retrait du consentement et l’exercice fructueux d’un droit d’opposition sont deux autres cas dans lesquels la personne concernée peut solliciter l’oubli. Or, en l’espèce, l’effacement est la conséquence logique de l’exercice de ces deux autres droits et non un droit autonome. Un cinquième cas est celui dans lequel les données « doivent être effacées pour respecter une obligation légale ». Or, le législateur a plutôt tendance à fixer une durée de conservation des données (ce qui peut engendrer une obligation de suppression à échéance) qu’une obligation d’effacement. En tout état de cause, une telle disposition aurait dû être prise en compte dans la définition de la politique de durées de conservation mentionnée supra. Ce cas se rapproche donc plus de l’application d’une mesure corrective. Enfin, le droit à l’effacement est ouvert lorsque les données ont été collectées « dans le cadre de l’offre de services de la société de l’information visée à l’article 8 ». Pour faire simple, il s’agit des réseaux sociaux et des mineurs, c’est sûrement ici que réside l’apport majeur du règlement.
Comme mentionné ci-dessus, le droit à l’oubli est donc loin d’être absolu, surtout à la lecture de la longue série d’exceptions qui doit également être combinée avec ses conditions d’application et qui inclut notamment l’exercice du droit à la liberté d’expression et d’information.
8. Le droit à la portabilité concerne l’ensemble des traitements !
L’article 20 précise que la personne concernée a le droit de recevoir communication des données qui la concerne dans un « format structuré, couramment utilisé et lisible par machine » lorsque le traitement automatisé est fondé sur le recueil de son consentement ou sur un contrat. Dès lors, l’ensemble des traitements mis en œuvre par un responsable ne rentre pas dans le périmètre des traitements éligibles au droit à la portabilité, notamment ceux mis en œuvre sur la base d’un intérêt légitime ou visant à satisfaire une obligation légale.
La détermination des fondements de chaque traitement appelle donc à l’adoption d’une approche globale afin d’en évaluer les conséquences notamment en termes de droits des personnes.
9. Le montant des sanctions administratives est plafonné à 10 ou 20 millions d’euros !
L’article 83 fixe le montant des sanctions administratives imputables en cas de violations du RGPD, le montant variant en fonction de la gravité. Le texte fixe une liste de violation faisant l’objet « d’amendes administratives pouvant s’élever jusqu’à 10 000 000 euros, ou dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ». La rédaction est la même pour la seconde série de manquements identifiés comme plus grave et exposant leur auteur à une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Le montant des sanctions pour une entreprise dépend donc directement de son chiffre d’affaires et n’est pas plafonné. Pour Facebook, cela pourrait par exemple représenter 990 millions d’euros !
Quant à savoir quel sera le chiffre d’affaires à prendre en compte pour déterminer le montant de la sanction notamment en cas de contentieux impliquant plusieurs sous-traitants ou responsables de traitement, il semble de bon sens d’affirmer que chacun sera individuellement responsable à la hauteur de son chiffre d’affaires pour la partie des manquements qui lui serait imputable.
