74,99 €
Mehr erfahren.
- Herausgeber: Anthemis
- Kategorie: Fachliteratur
- Sprache: Französisch
Les Éditions Anthemis vous proposent un outil complet pour comprendre le Règlement Général sur la Protection des Données.
Le Règlement Général sur la Protection des Données, en abrégé le GDPR, sera d’application dès mai 2018. Son objectif est double. D’une part, moderniser les réglementations européennes sur la protection des données personnelles, afin de les adapter aux transformations de la société liées notamment aux nouvelles technologies. D’autre part, mettre fin à l’application hétérogène du droit à la protection des données à travers l’Union, en harmonisant les législations en ce domaine. Ce règlement sera directement applicable en droit national, sans transposition.
Les entreprises ont tout intérêt à se préparer activement aux nouvelles obligations qui découlent du GDPR et qui appellent des adaptations techniques, informatiques et organisationnelles importantes. Elles doivent être sensibilisées, de même que ceux qui y travaillent, à cette nouvelle donne.
Pour aider les entreprises à s’y retrouver dans ce texte complexe de 99 articles et plus de 130 considérants, la FEB a organisé un cycle d’ateliers pratiques sur les principales dispositions du GDPR. Cet ouvrage rassemble les textes des orateurs qui ont, tout au long du cycle, contribué à expliquer, décortiquer, vulgariser ce GDPR et ont répondu aux nombreuses questions des participants. Ces spécialistes dans le domaine de la Data Protection commentent les nouveautés introduites par le GDPR et abordent de multiples questions pratiques utiles aux entreprises.
Le secrétaire d’État, Philippe De Backer, a soutenu cette initiative et préface cet ouvrage. La Commission de la Protection de la vie privée nous y fait part de ses conclusions sur la mise en oeuvre du GDPR.
De Algemene Verordening Gegevensbescherming, afgekort GDPR, treedt in mei 2018 in werking. Ze heeft een dubbele doelstelling. Enerzijds de Europese regelgevingen inzake de bescherming van persoonsgegevens moderniseren om ze te doen aansluiten bij de maatschappelijke transformaties die o.m. het gevolg zijn van nieuwe technologieën. Anderzijds komaf maken met de heterogene toepassing van gegevensbeschermingsregels in de verschillende EU-landen, door de wetgevingen op dit domein te harmoniseren. De verordening is rechtstreeks toepasselijk in de lidstaten en hoeft niet te worden omgezet.
De ondernemingen hebben er alle belang bij zich actief voor te bereiden op de nieuwe verplichtingen die voortvloeien uit de GDPR en die aanzienlijke technische, IT- en organisatorische aanpassingen vereisen. Voor werkgevers én werknemers is het van belang om vertrouwd te raken met de nieuwe situatie.
Om de ondernemingen hun weg te helpen vinden in deze ingewikkelde tekst van 99 artikelen en meer dan 130 overwegingen, heeft het VBO een cyclus praktische seminars georganiseerd over de belangrijkste bepalingen van de GDPR. Deze uitgave bundelt de teksten van de sprekers die zich doorheen de hele cyclus hebben toegelegd op het toelichten, ontleden en begrijpelijk maken van de GDPR en op het beantwoorden van de vele vragen van de deelnemers. Deze specialisten op het vlak van gegevensbescherming becommentariëren de nieuwigheden die er zitten aan te komen en zoomen in op talrijke praktische zaken die nuttig zijn voor de ondernemingen.
Staatssecretaris Philippe De Backer ruggensteunde dit initiatief en schreef het voorwoord van deze publicatie. De Privacycommissie schreef zijn conclusies neer over de uitvoering van de GDPR.
Un ouvrage écrit par des professionnels, pour des professionnels.
À PROPOS DES ÉDITIONS ANTHEMIS
Anthemis est une maison d’édition spécialisée dans l’édition professionnelle, soucieuse de mettre à la disposition du plus grand nombre de praticiens des ouvrages de qualité. Elle s’adresse à tous les professionnels qui ont besoin d’une information fiable en droit, en économie ou en médecine.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 483
Veröffentlichungsjahr: 2017
Ähnliche
© 2017, Anthemis s.a.
Place Albert I, 9 B-1300 LimalTél. 32 (0)10 42 02 90 – [email protected] – www.anthemis.be
La version en ligne de cet ouvrageest disponible sur la bibliothèquedigitale Jurisquare à l’adressewww.jurisquare.be.
De online versie van ditboek is beschikbaar in deJurisquare Bibliotheek opwww.jurisquare.be.
Toutes reproductions ou adaptations totales ou partielles de ce livre,par quelque procédé que ce soit et notamment par photocopie, réservées pour tous pays.
Alle rechten voorbehouden. Behoudens uitdrukkelijk bij wet bepaalde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt, op welke wijze ook, zonder de uitdrukkelijke voorafgaande toestemming van de uitgevers.
D/2017/10.622/2
ISBN : 978-2-8072-0413-3
SOMMAIRE/INHOUD
VOORWOORDPHILIPPE DE BACKER
PRÉFACEPHILIPPE DE BACKER
WOORDVOORAFPHILIPPE LAMBRECHTEN NATHALIE RAGHENO
AVANT-PROPOSPHILIPPE LAMBRECHTET NATHALIE RAGHENO
DROITSFONDAMENTAUXETSOCIÉTÉNUMÉRIQUE :LAVIEPRIVÉEEXISTE-T-ELLEENCORE ?NATHALIE RAGHENO
CONSENTEMENTETINTÉRÊTLÉGITIMEDANSLESECTEURPRIVÉBENJAMIN DOCQUIR
DEPRIVACYTUINVAN IOTIVAN VANDERMEERSCH
HERBESTEMMINGVANVERZAMELDEPERSOONSGEGEVENSVOORANDEREDOELEINDENPROF. DR. PATRICK VAN EECKEEN CHARLOTTE SUFFYS
THEDATAPROCESSOR’SNEWOBLIGATIONSUNDERTHE GDPR:ARESTOREDBALANCEORASHIFTOFRESPONSIBILITIES?ROXANE TAMAS
DE DPO OFFUNCTIONARISVOORGEGEVENSBESCHERMINGINDE AVG – GEVOLGENVOORDE BELGISCHEPRAKTIJKDIRK DE BOT
LALICÉITÉDUTRAITEMENTDEDONNÉESPERSONNELLESDUTRAVAILLEURAUREGARDDUNOUVEAU RÈGLEMENT (UE) N° 2016/679 SURLAPROTECTIONDESDONNÉESEMMANUEL PLASSCHAERT
DEAANSPRAKELIJKHEIDVANDEWERKGEVERINHETLICHTVANZIJNNIEUWEVERPLICHTINGENONDERDE ALGEMENE VERORDENING GEGEVENSBESCHERMINGCHRIS VAN OLMENEN CECILIA LAHAYE
GEGEVENSBESCHERMINGEN AVG INPRAKTIJK:IMPACTENAANSPRAKELIJKHEIDBIJEEN M&A-TRANSACTIECAROLYNE VANDE VORST
TRANSBORDERDATAFLOW: TODAYANDTOMORROWTANGUY VAN OVERSTRAETEN
CLOUDCOMPUTING – STATUSENIMPACTVANDE GDPRFREDERIK VAN REMOORTEL
LESTROISPREMIERSGUIDESD’IMPLÉMENTATIONDU GDPR PUBLIÉSPARLE G29THIERRY LÉONARD, DIDIER CHAUMONTET OLIVIA GUERGUINOV
DEDRIERICHTSNOERENVANDE WERKGROEP ARTIKEL 29OLIVIER VANDEPUTTE
GDPR: HOWTOGETPREPAREDBYTHE 25THOF MAY 2016? THE BELGIAN DPA URGESYOUTOTAKE 13 STEPSNOWJOËLLE JOURETAND VALÉRIE VERBRUGGEN
Voorwoord
Dit werk is essentieel voor de dialoog over de uitvoering van de nieuwe Europese regelgeving over de bescherming van persoonsgegevens. De bijdragen in dit boek werden geschreven door gerenommeerde specialisten. Voor de gelegenheid zijn ze de uitdaging aangegaan om hun kennis op een creatieve en transparante manier te delen. Daarom vind ik het een eer om het voorwoord hierbij te mogen schrijven.
De laatste jaren is het begrip ‘privacybescherming’ steeds belangrijker geworden, op verscheidene vlakken: de achterliggende verplichtingen en bezorgdheden, de focus op grondrechten door nieuwe belangenverenigingen, en de steeds hogere eisen van burgers en consumenten.
Zoals geldt voor veel grondbeginselen, is de impact van de bescherming van het privéleven en de diverse aspecten ervan anders op individueel, maatschappelijk en normatief niveau. Iedereen bepaalt geval per geval zijn eigen benadering – professioneel, privé, volgens zijn eigen belang… – soms ten nadele van de samenhang van het geheel.
Om de ingewikkelde en soms tegenstrijdige visies te kunnen begrijpen, moet de privacybescherming niet als een abstract – juridisch, economisch of maatschappelijk – begrip worden beschouwd, maar als een bron van inkomsten, een methodisch en gecontroleerd beheer van een van de meest kostbare hulpbronnen van de hedendaagse economie: persoonsgegevens. Als je ervan uitgaat dat persoonsgegevens een nieuw eldorado zijn, is het logisch om ze te beschermen en waarderen.
Daar waar vroeger privacy en gegevensbescherming aparte begrippen waren, is de bescherming van het privéleven tegenwoordig een nog grotere uitdaging geworden door de toename van de digitaliserings-, opslag-, verwerkings-, verspreidings- en uitwisselingscapaciteiten van gigantische hoeveelheden gegevens.
Kunnen burgers en bedrijven samen deze hulpbron benutten?
De nieuwe Algemene Verordening Gegevensbescherming dient als basis voor de uitwerking van een digitale strategie.
En hoewel deze verordening voor meer verantwoordelijkheden zorgt, mag men niet uit het oog verliezen dat haar oorspronkelijke doel erin bestaat de Europese digitale markt toegankelijker te maken.
De verordening is uiteraard bindend, maar ze wil vooral de 28 verschillende praktijken in de Europese Unie harmoniseren. Ze moet dus het verkeer van digitale gegevens en diensten stimuleren. Dit betekent een grote stap vooruit voor bedrijven, want die zullen zich niet meer moeten aanpassen aan verschillende wetgevingen en zullen dus op Europees niveau gestroomlijnde digitale strategieën kunnen uitwerken voor en met gegevensverwerking.
De eerste uitdaging is dus de gegevensbescherming, die nu een zaak is van iedereen.
De toekomstige gegevensbeschermingsautoriteit zal zich op haar centrale rol moeten toespitsen, namelijk het doen naleven van het recht op gegevensbescherming. De verwerkingsverantwoordelijken moeten de privacynormen dan weer toepassen.
In dit opzicht zou het mijns inziens het beste zijn dat de sanctie een hefboom is, maar geen doel op zich. Dit is de geest van de hervorming van de organieke wetgeving die ik voorbereid.
Door sancties te voorzien, vergroot de Europese verordening ook de verantwoordelijkheden. Maar om de draagwijdte daarvan goed te begrijpen, moet iedereen worden begeleid en gecoacht door de toekomstige gegevensbeschermingsautoriteit. Deze tweezijdige benadering – begeleiding en controle – zal het werk van de verwerkingsverantwoordelijken die met het oog op compliance de nodige inspanningen leveren en de nodige hulpmiddelen inzetten, ten volle valoriseren.
Compliance is dus de noodzakelijke randvoorwaarde voor een efficiënte digitale strategie.
Daarmee komen we dan tot de tweede uitdaging: de gegeven kansen benutten.
Naast de naleving van de wetten moeten de bedrijven er namelijk ook voor zorgen dat hun processen en gegevensverwerkingen de best mogelijke resultaten opleveren.
De verwerking van persoonsgegevens biedt inderdaad veel mogelijkheden om zinnige en nuttige dingen te realiseren; de technologische vooruitgang heeft nog steeds een aanzienlijk potentieel waarvan we de limieten niet kennen. Er bestaan talrijke toepassingen: een vlotte mobiliteit, gezondheidszorg op maat, een betere luchtkwaliteit enzovoort.
Om dit potentieel te ontdekken en realiseren, moet elk bedrijf zich voortaan buigen over zijn eigen gegevens en verwerkingsprocessen, op een transversale en interdisciplinaire manier.
Goed nieuws dus voor de gegevensbescherming en alle democratische garanties die dit recht met zich meebrengt. Maar ook goed nieuws voor de bedrijven, die dit nieuwe tijdperk en kader kunnen benutten om hun gegevensverwerkingen te analyseren, te overdenken en te optimaliseren en zo te werken aan kwaliteitsvollere producten en diensten, meer vertrouwen bij hun klanten en efficiëntere processen.
Naar aanleiding van het colloquium en het verslagboek ervan nodig ik u uit om deze toekomstgerichte materie te gebruiken om de digitale cultuur binnen uw bedrijf te ontwikkelen.
Veel leesplezier!
Philippe DE BACKERStaatssecretaris voor Privacy
Préface
Le présent recueil d’écrits émane des plus grands spécialistes ; pour l’occasion, ils ont relevé le défi de produire de la connaissance et de la partager sous une forme créative et claire.
Il s’agit d’un travail essentiel pour le dialogue autour de la mise en œuvre de la nouvelle règlementation européenne en matière de protection des données personnelles. C’est donc un honneur, pour moi, d’en assurer la préface.
La notion de protection de la vie privée n’a cessé de gagner en importance au cours des dernières années. Dans une multiplicité de dimensions : les obligations qu’elle entraîne et les craintes que cela déclenche, l’étendard des droits fondamentaux brandi par des groupements d’intérêts d’un nouveau genre ou, encore, l’exigence de plus en plus ferme du citoyen et du consommateur.
À l’image de bien d’autres concepts fondamentaux, la protection de la vie privée et ses rouages ne fonctionnent pas de la même manière à l’échelle individuelle, à l’échelle sociétale ou encore au niveau normatif. Chacun détermine son approche au cas par cas – professionnel, privé, selon les enjeux… – au détriment, parfois, de la cohérence.
Pour sortir des visions complexes et parfois contradictoires, je vous invite à considérer la protection de la vie privée non pas comme une notion abstraite – juridique, économique ou sociétale –, mais pour les bénéfices qu’elle apporte : une gestion méthodique et maîtrisée d’une des ressources les plus précieuses de l’économie d’aujourd’hui, les données personnelles. Si l’on souscrit à l’adage selon lequel les données personnelles constituent le nouvel eldorado, il est logique de vouloir les protéger et les valoriser.
De plus, si vie privée et protection des données étaient auparavant des concepts distincts, la protection de la vie privée est devenue un défi encore plus grand aujourd’hui, à la suite de l’augmentation des capacités de numérisation, de stockage, de traitement, de diffusion ou, encore, d’échange d’énormes masses de données.
Citoyens et entreprises peuvent-ils, ensemble, tirer parti de cette ressource ?
Le nouveau Règlement européen est une base pour concevoir sa stratégie numérique.
S’il est vrai qu’il entraîne plus de responsabilités, il faut néanmoins garder à l’esprit que le Règlement a pour but initial de faciliter le marché numérique européen.
Tout contraignant soit-il, il est d’abord l’harmonisation de vingt-huit pratiques différentes au sein de l’Union européenne. Aussi, le Règlement doit stimuler la circulation des données et des services numériques. C’est un grand pas en avant pour les entreprises, qui ne devront plus s’adapter à différentes législations.
Revenons sur le premier enjeu : la protection des données. Désormais, celle-ci est l’affaire de tous.
La future autorité de la protection des données, pour sa part, devra se concentrer sur son rôle clé : faire respecter le droit relatif à la protection des données. Les responsables de traitement, pour leur part, doivent appliquer les normes en matière de vie privée.
Cependant, il est important, et c’est mon souhait, que la sanction soit le levier et pas l’objectif. C’est dans cet esprit que se fait la réforme de la législation organique que j’engage.
Le Règlement européen, en prévoyant des sanctions, accroît les responsabilités. Mais, pour en saisir la portée, chacun pourra être accompagné et coaché par la future autorité de la protection des données. C’est cet axe double, accompagnement et contrôle, qui valorisera réellement le travail des responsables de traitement qui déploient les efforts et les ressources nécessaires pour être en conformité.
La conformité est, en cela, le préalable nécessaire d’une stratégie numérique efficace.
Et cela nous emmène au second enjeu : la valorisation.
Car, au-delà du respect des lois, il revient à chaque entreprise d’interroger ses processus et ses traitements de données pour que ceux-ci soient les plus profitables.
En effet, les possibilités qu’offre le traitement de données personnelles pour réaliser des choses sensées et utiles ne manquent pas ; le progrès technologique recèle encore un potentiel considérable dont nous sommes loin de connaître les limites. Les applications sont légion : une mobilité fluide, des soins de santé sur mesure, une meilleure qualité de l’air, etc.
Aussi, pour découvrir et réaliser ce potentiel, chaque entreprise doit désormais s’intéresser à ses données et à ses processus de traitement. Et ceci, de manière transversale et interdisciplinaire.
Une bonne nouvelle pour la protection des données et toutes les garanties de démocratie que ce droit porte en lui. Mais une bonne nouvelle aussi pour les entreprises, qui peuvent utiliser cette nouvelle ère et ce nouveau cadre pour analyser, réfléchir, optimiser leurs traitements de données. Gagner en qualité dans leurs produits et services, en confiance des clients, en efficacité des processus.
À l’image du colloque et de ses actes, dont je vous souhaite une lecture fructueuse, je vous invite à saisir cette matière d’avenir pour développer la culture numérique de votre entreprise.
Philippe DE BACKERSecrétaire d’État à la Protection de la vie privée
Woord vooraf
De Algemene Verordening Gegevensbescherming (in het Engels: General Data Protection Regulation of GDPR) trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018.
Met deze verordening wil de EU de bescherming van de privacy en, in samenhang daarmee, de bescherming van persoonsgegevens moderniseren. De GDPR is meer dan zomaar een nieuw stuk regelgeving. Ze luidt een nieuwe manier van werken in: een nieuwe manier om gegevens te beheren, een nieuwe manier om met het doorspelen ervan aan derden om te gaan en met mogelijke onderlinge verbondenheid tussen deze gegevens. Voor de ondernemingen vormt de GDPR tegelijk een mooie gelegenheid om hun bestanden en verwerkingen nauwkeurig in kaart te brengen. Of om de maatregelen die ze al hebben genomen of nog moeten nemen om gegevens te beveiligen, goed tegen het licht te houden.
De nieuwe regelgeving betekent meer verantwoordelijkheid voor ondernemingen en overheden die gegevens registreren en verwerken. In het licht van de omvang van de hervorming wilde het VBO daarom proactief zijn, en deed dat door in de loop van het voorbije jaar in zijn lokalen een reeks interactieve informatiesessies te houden. Die Data Protection-ateliers konden telkens op veel belangstelling rekenen. De opzet was de deelnemers te sensibiliseren rond de onmiddellijke en praktische gevolgen van de verordening. De sprekers waren niet enkel uitstekende experts, maar ook gerenommeerde practici. Doordat de ondernemingen met veel vragen zaten, gaven deze ateliers vaak aanleiding tot een levendig debat.
Een eerste atelier was opgebouwd rond de vraag: “Hoe zich voorbereiden om compliant te zijn met de verordening?”. Het tweede was gewijd aan de netelige kwestie van de rechtsgrond. Er werd bekeken onder welke voorwaarden gegevens geregistreerd en bewaard mogen worden, hoe toestemming correct wordt verkregen en wanneer die toestemming geldig is. In het derde atelier van de cyclus werd ingezoomd op de kwestie van het gebruik en de bescherming van gegevens binnen een onderneming.Zowel in hoofde van de werknemer als van de werkgever gelden er heel wat verplichtingen inzake privacy, beveiliging van gegevens en vertrouwelijkheid die vaak slecht gekend zijn. Het voorlaatste atelier boog zich over de aansprakelijkheid en sancties en de verdeling van de verplichtingen tussen de verantwoordelijke voor de verwerking en de onderaannemer. Tot slot werd het vijfde en laatste atelier gewijd aan data security en praktische tips and tricks over hoe men persoonsgegevens goed beveiligt en ‘data breaches’ voorkomt.
Dit boek biedt een samenvatting van de uiteenzettingen die in het kader van de Data Protection-cyclus werden gegeven. Het maakt deel uit van de werkinstrumenten die het VBO de ondernemingen wil aanreiken in hun voorbereiding op de GDPR. Het VBO heeft ook een brochure1 uitgegeven die bedoeld is voor een ruimer publiek, met daarin een aantal zeer eenvoudige aanbevelingen voor de ondernemingen.
Een goed begrip en een correcte toepassing van de nieuwe verordening is van cruciaal belang. De ondernemingen hebben nog ruim een jaar om zich voor te bereiden om compliant te zijn met de nieuwe regels. Een werk van lange adem, waarmee je liever vandaag dan morgen begint!
Het VBO wenst de bevoegde staatssecretaris, dhr. Philippe De Backer, te bedanken voor de initiatieven die hij nam, zoals het Private Privacy Platform, een forum waar de stakeholders en betrokken partijen hun bezorgdheden, maar ook mogelijke oplossingen met het oog op de nieuwe verordening, met elkaar kunnen delen. Onze dank gaat ook uit naar de Privacycommissie voor haar samenwerking met de bedrijfswereld in het kader van de implementering van de GDPR. En, last but not least, een welgemeend woord van dank aan alle sprekers die hebben deelgenomen aan de Data Protection-ateliers en aan de auteurs voor hun bijdrage aan dit boek.
Philippe LAMBRECHTBestuurder-Secretaris-generaal VBO
Nathalie RAGHENOEerste Adviseur VBO
1. http://www.vbo-feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf.
Avant-propos
Le Règlement général sur la protection des données (General Data Protection Regulation ou GDPR, en anglais) est entré en vigueur le 24 mai 2016 et sera intégralement d’application à partir du 25 mai 2018.
Il a pour vocation de moderniser le droit de la protection de la vie privée et, partant, des données à caractère personnel. Plus qu’une simple réglementation, le GDPR instaure une nouvelle manière de travailler, de gérer les données, d’envisager leur communication à des tiers et les interconnexions possibles entre elles. Pour les entreprises, il est une belle occasion de procéder à un état des lieux de leurs fichiers et de leurs traitements. Ou d’examiner plus attentivement les mesures de sécurité et de protection des données déjà mises ou à mettre en place.
La nouvelle réglementation fait peser sur les entreprises ainsi que sur les autorités publiques qui enregistrent et traitent des données une responsabilité plus importante. C’est pourquoi, face à l’ampleur de la réforme, la FEB a pris les devants et a, au cours de l’année écoulée, organisé en ses locaux plusieurs séances d’information interactives – les « Ateliers Data Protection » –, qui ont suscité un vif intérêt. L’objectif de ces ateliers était de sensibiliser les participants aux conséquences immédiates et pratiques du règlement. Les orateurs invités étaient de très bons experts, mais aussi de très bons praticiens. Compte tenu des nombreuses questions soulevées par les entreprises, ces ateliers ont souvent donné lieu à un débat animé.
Le premier de ces ateliers abordait la question : « Comment se préparer pour être en conformité avec le règlement ? » Le deuxième était consacré à l’épineuse question des bases légales. On y a examiné les conditions pour pouvoir enregistrer et conserver des données, comment obtenir le consentement des personnes concernées et quand ce consentement est considéré comme valable. Le troisième atelier du cycle abordait la question de l’utilisation et de la protection des données au sein de l’entreprise. Du point de vue du travailleur comme de celui de l’employeur, les obligations en matière de respect de la vie privée, de sécurité des données, de confidentialité sont nombreuses et, souvent, peu ou mal connues. L’avant-dernier atelier, quant à lui, mettait l’accent sur la responsabilité et les sanctions, ainsi que sur la répartition des obligations entre responsable de traitement et sous-traitant. Enfin, le cinquième et dernier atelier était consacré à la sécurité des données et à des conseils pratiques pour bien protéger les données à caractère personnel et éviter les data breaches.
Le présent ouvrage reprend l’essentiel des exposés du cycle des « Ateliers Data Protection ». Il fait partie des outils que la FEB souhaite, dans le cadre du GDPR, mettre à la disposition des entreprises. La FEB a également édité une brochure1 destinée à un public plus large, expliquant le GDPR dans les grandes lignes et adressant aux entreprises quelques recommandations très simples.
La bonne compréhension et la mise en œuvre correcte du nouveau règlement par les entreprises sont essentielles. Ces dernières disposent encore d’une bonne année pour se préparer et se mettre en conformité, un travail de longue haleine, qui doit commencer dès aujourd’hui !
La FEB tient à remercier le secrétaire d’État Philippe De Backer pour les initiatives prises, telles que la Private Privacy Platform, qui permet à toutes les parties prenantes de partager leurs préoccupations et leurs éventuelles solutions concernant le nouveau règlement. Merci aussi à la Commission de la protection de la vie privée pour sa collaboration avec le monde des entreprises dans le cadre de la mise en œuvre du GDPR. Enfin, last but not least, un chaleureux merci à tous les orateurs qui ont participé aux « Ateliers Data Protection » et aux auteurs qui ont contribué à cet ouvrage.
Philippe LAMBRECHTAdministrateur – Secrétaire général FEB
Nathalie RAGHENOPremier Conseiller FEB
1. http://www.feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_fr_web-pdf.pdf.
Droits fondamentaux et société numérique :la vie privée existe-t-elle encore ?
Nathalie RAGHENO
Premier ConseillerFEB-VBO
Big Brother est infaillible et tout-puissant. Tout succès, toute réalisation, toute victoire, toute découverte scientifique, toute connaissance, toute sagesse, tout bonheur, toute vertu, sont considérés comme émanant directement de sa direction et de son inspiration1.
1. La vie privée : un droit fondamental à protéger
Lorsqu’on se replace en 1992, à l’époque où la loi du 8 décembre relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel a été votée en Belgique, nul n’y était vraiment préparé. Non que la vie privée et sa protection soient des nouveautés, mais traduire ces principes dans la réalité économique était complexe. La loi vie privée et les termes qu’elle utilisait – finalité, traitement, données sensibles… – étaient nouveaux et souvent difficiles à transposer dans la pratique. Les entreprises se sont rapidement renseignées auprès de leurs collègues d’autres pays qui connaissaient déjà une telle législation. Interrogés sur leur expérience en ce domaine, les avocats et juristes d’entreprise français, qui étaient déjà soumis à la Loi informatique et libertés depuis 1978, semblaient également avoir eu du mal à s’adapter, à mettre efficacement en œuvre ces termes complexes et à faire cadrer ce droit fondamental avec les procédures techniques des entreprises. Et nous étions bien loin, au début des années 1990, des développements techniques et informatiques qui sont apparus ces deux dernières décennies.
De par l’entrée en vigueur de la loi vie privée, les personnes physiques concernées par cette protection se sont soudain trouvées investies de nouvelles responsabilités, telles que de bien gérer leurs données personnelles ainsi que de surveiller l’usage que des tiers peuvent en faire. Les personnes et entreprises qui collectaient et géraient des fichiers d’informations dites à caractère personnel ont, de leur côté, dû évaluer ce qu’elles détenaient comme données, en faire l’inventaire, voir comment ces données étaient utilisées, croisées, mises à jour, communiquées… Bref, de nouvelles habitudes et manières de gérer les données personnelles avec, comme corollaire, de nouvelles obligations !
Près de vingt-cinq ans plus tard, la situation a-t-elle vraiment changé ? Si l’on met de plus en plus en évidence la nécessaire protection du droit à la vie privée, les personnes concernées semblent souvent peu s’intéresser, voire même se désintéresser de l’usage qui est fait de leurs données et des intrusions possibles dans leur vie privée. Évidemment, quand on les interroge, chacune d’elles confirme souhaiter protéger sa « vie privée ». Néanmoins, peu d’entre elles semblent prendre la mesure de ce droit, le faire valoir, veiller à son respect, le revendiquer. Que du contraire, la vie privée est de plus en plus souvent mise sur la place publique au travers des télé-réalités, des médias sociaux… avec une participation active de ces mêmes personnes qui déclaraient vouloir sauvegarder leur part d’intimité.
Mais que recouvre cette notion de vie privée ?
La définition du concept de vie privée est à géométrie variable. Les limites de la vie privée ainsi que, de manière générale, ce qui est considéré comme privé diffèrent évidemment selon les groupes, les cultures et les individus, selon les coutumes et les traditions, bien qu’il semble exister un certain tronc commun. En outre, le développement d’Internet et surtout des médias sociaux est un nouveau paramètre qui change totalement la donne. Dans ce cadre, la notion de vie privée recouvre également le droit à l’image, la protection des données, la confidentialité des communications électroniques et des systèmes d’information…
La vie privée recouvre une multitude de prérogatives très variées traduites dans de nombreux textes légaux et réglementaires et notamment l’article 8 de la Convention européenne des droits de l’homme (CEDH) et l’article 22 de la Constitution belge. La vie privée est également protégée au niveau international par l’article 12 de la Déclaration universelle des droits de l’homme (DUDH) de 1948 qui prévoit que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur. »
La Convention européenne des droits de l’homme rappelle également le caractère objectif de ces droits. Il ne s’agit pas de droits attribués aux individus par le biais d’un statut juridique particulier, potentiellement révocable, mais de droits qui sont attachés à la seule qualité de personne humaine.
Le concept de vie privée a des origines philosophiques assez anciennes. Ainsi, Aristote, au IVe siècle avant Jésus-Christ, faisait déjà la différence entre deux aspects de la vie : la vie imbriquée dans la sphère publique, appelée polis et associée à la politique, opposée à la vie relative à la sphère privée, l’oikos, associée à la vie domestique2. La notion de vie privée est apparue dans la doctrine juridique sous la plume de deux avocats de Boston, Samuel Warren et Louis Brandeis, auteurs d’un article intitulé « The right to privacy » et publié en 1890 dans la Harvard Law Review. Ils y parlent du droit d’être laissé seul. Ce « right to be let alone » fut emprunté à un ouvrage sur les torts publié quelques années plus tôt par un juge à la Cour suprême des États-Unis, Thomas Cooley3.
Dans son acception actuelle, cette notion n’est certainement pas susceptible d’une définition exhaustive et statique. C’est plutôt un droit aux contours variables, oscillant entre une volonté d’isolement de la personne par rapport à la société dans laquelle elle vit et celle d’une intégration au sein de cette société en contact avec les autres personnes. Dans les relations qu’elle noue avec les autres, la personne concernée n’entend pas protéger son droit d’être laissée seule, mais la liberté d’entretenir avec autrui des rapports placés à l’abri de toute ingérence extérieure non souhaitée.
La vie privée et, partant, la protection de la vie privée ne trouvent leur raison d’être que dans la société. Un individu isolé n’a pas de raison de protéger ce à quoi nul ne portera atteinte. C’est dès lors dans le cadre de la société et des interactions entre les individus que la vie privée se doit d’être protégée.
À côté de la protection du droit à la vie privée, on a vu apparaître la protection des données elles-mêmes qui est plus récente. Elle est notamment liée aux développements informatiques et aux risques collatéraux inhérents à ceux-ci.
C’est, entre autres, pour s’adapter aux nouvelles technologies et notamment aux Facebook, Twitter, LinkedIn, MySpace, YouTube et autres médias sociaux que le Règlement général de protection de données (ci-après, « le GDPR ») a été rédigé au niveau européen. Les auteurs du GDPR avaient pour objectif de moderniser le texte de la directive pour tenir compte des nouvelles technologies et notamment des médias sociaux et de leur impact sur la vie privée des personnes concernées, ainsi que d’harmoniser les règles existant au niveau européen afin que la protection offerte soit comparable, mais surtout que les limites floues de la vie privée soient comprises et appréhendées d’une manière uniforme partout dans l’Union européenne.
Le GDPR témoigne de la volonté politique à tous les niveaux de mieux protéger la vie privée des individus dans une société où le concept de vie privée ne cesse de s’élargir et, à mesure de cet élargissement, d’échapper à toute tentative de définition. Le vote laborieux des dispositions du GDPR, après des années de négociation, s’est accompagné de nouvelles règles permettant au citoyen de mieux maîtriser, en principe, le contrôle de ses données personnelles. Toutefois, ces droits supposent que le citoyen les connaisse et souhaite en faire usage, sous peine de rester lettre morte.
2. Ambiguïté des attentes des personnes concernées
La vie privée ainsi que l’ensemble des données personnelles appartiennent à l’individu et font de lui cette personne unique avec ses aspects d’ombre et d’intimité et sa partie visible.
Chacun décide des limites qu’il souhaite fixer entre cette partie émergée de ses données et celles qu’il décide de conserver dans la sphère privée.
Si les personnes publiques doivent accepter que cette frontière soit plus flexible ou que, du moins, une certaine part de leur intimité puisse, dans certains cas et dans certaines mesures, appartenir à leur vie publique, il n’en va pas de même pour l’individu lambda.
Les époques, les cultures, les religions font fluctuer la limite que chacun fixe entre sa part de personnalité qu’il conserve pour lui, pour ses proches éventuellement, et ce qu’il accepte de dévoiler. Cette ouverture au public, à la société, aux autres se présente comme autant de strates, de couches successives. Ce que l’on dévoile à l’entourage familial, les informations partagées avec les amis, les relations sociales, l’entourage professionnel direct, les relations professionnelles, avec son médecin, son avocat, et même des tiers, rencontrés et/ou connus ou non, sont autant de données qui se cumulent et se chevauchent. L’ensemble de ces informations mises en commun révèle une personne, une personnalité. Vie privée et vie publique ont une frontière floue et flexible, même pour une seule et même personne au fur et à mesure de sa vie et des périodes et circonstances de celle-ci.
Si l’évolution de notre société depuis le siècle passé a, peu à peu, fait reculer les limites de ce que l’on accepte de dévoiler, la révolution d’Internet et les réseaux sociaux ont fait voler en éclat les précédentes frontières entre privé et public.
Permettant à tout individu de s’exprimer, de s’informer et d’informer les autres sur lui et sur d’autres sujets, ces nouveaux canaux de communication offrent d’énormes avantages, mais présentent, en contrepartie, certains risques.
« Le réseau social est le lieu idéal de promotion des libertés : liberté de communiquer, liberté de s’informer et de connaître, liberté de se mouvoir, liberté d’entreprendre, liberté d’association. Ces libertés sont fragilisées par le contrôle et par la multiplication des traces que nous laissons de l’exercice de ces libertés. Ce contrôle permet de mieux nous cerner, nous profiler, nous tracer dans nos déplacements tant virtuels que physiques. »4
Mais il ne s’agit pas uniquement des réseaux sociaux. La société et ses moyens de communication ont fait évoluer les comportements. L’individu s’expose de plus en plus au travers des télé-réalités, des concours radiodiffusés, télévisés, comme sur la Toile. Il y dévoile son lieu de vie, sa famille, ses goûts…
Il existe néanmoins une sphère d’intimité dont chacun doit pouvoir rester maître et pouvoir choisir ce qu’il souhaite montrer ou non. Évidemment, dévoiler certaines données personnelles n’implique pas automatiquement que celles-ci soient utilisées, ni même réutilisées à d’autres fins que celles pour lesquelles on accepte de les communiquer. Le problème sous-jacent est la centralisation des données qui circulent sur le Net. Il est difficile d’avoir un contrôle absolu de toutes les interconnexions, lieux et autres utilisations subséquentes de ses données personnelles.
Dès le début des années 2000, des auteurs traitaient de la mort de la « privacy » avec toutes les informations stockées en ligne et interconnectées. Certains d’entre eux se demandaient si l’on peut encore parler de vie privée pour les données qui circulent librement sur Internet5.
La question centrale est non seulement de savoir si un citoyen a encore la possibilité de conserver, dans ce cadre, une part d’intimité, mais également que souhaite-t-il conserver comme intimité, quelle part de lui-même ne souhaite-t-il pas dévoiler.
Lorsqu’on like sur un blog ou une page Internet, est-on conscient qu’on s’expose également, que l’on fait part de ses goûts, de ses opinions, de ses sensibilités ? Et partant, ces informations sont-elles réellement et essentiellement inintéressantes et/ou inoffensives ? Il en va de même pour les cartes de fidélité et la liste de questions sur ses goûts, ses habitudes d’achat, ses attentes qui sont autant d’occasions de dévoiler ces petites informations qui font partie de la personnalité de chacun et de sa vie privée.
C’est pourquoi les personnes concernées doivent prendre conscience que la communication et/ou la publication, notamment sur le Net, d’informations ont comme conséquence de rendre publics des aspects de la vie privée, et ce, même si les informations publiées ne sont adressées qu’à des amis ou des followers. Il est, en effet, plus que probable qu’elles seront repartagées, et, donc, l’individu en perd la maîtrise. Les transmissions de données représentent toujours un danger potentiel pour l’individu. Des communications successives provoquent, en effet, un éparpillement des données qui rend très difficile le contrôle de leur utilisation ultérieure par la personne concernée.
Un autre exemple de divulgation d’informations concerne l’usage du GPS et du Smartphone qui permet de nous géolocaliser et de retracer notre parcours. Pour les utilisateurs de UBER, bon nombre d’entre eux acceptent explicitement, en cliquant sur allow, sans aucune remarque, d’être géolocalisés par cette application, même après la course terminée. À chaque transaction électronique, le titulaire de la carte bancaire révèle à un tiers sa personnalité, ses projets et ses dépenses.
Je n’ai rien à cacher, donc pourquoi en faire secret ?
Pourquoi vouloir protéger ses données personnelles quand on n’a rien à cacher ? Mais toute information est-elle réellement sans conséquence dans le temps et en fonction de l’évolution des circonstances ?
Il est essentiel de conscientiser et d’éduquer les individus concernés, les former dès le plus jeune âge à ces outils, leur montrer leurs avantages, mais également les risques qui en sont le corollaire obligé. Ce sont les comportements qui doivent changer, liés à une prise de conscience des conséquences inhérentes à cette divulgation d’informations, parfois anodines, mais qui, interconnectées ou utilisées dans certaines circonstances, peuvent s’avérer moins inoffensives, voire même parfois gênantes.
Cependant, dans une société hyperconnectée, numérisée, sachant également que l’ensemble des données communiquées notamment via Facebook, Google, Amazon… est stocké sur des serveurs, et est donc exploitable, est-il encore possible de se protéger ? Y a-t-il encore moyen de se préserver et de protéger une part de sa vie privée ? Un retour en arrière est-il possible, par exemple en se retranchant, dans certains cas, derrière ce fameux droit à l’oubli consacré par le GDPR ?
Le jeune Autrichien Max Schrems, qui a voulu accéder aux données que Facebook stockait sur lui, comme le droit européen l’y autorise, a mis deux ans et une vingtaine de procédures devant différentes juridictions pour y parvenir. Quelle ne fut pas sa surprise de se rendre compte que toutes ses données effacées étaient encore, en réalité, stockées, même si, en principe, non accessibles.
Le GDPR s’est emparé de l’ensemble de ces problématiques, à la suite de la directive de 1995, en modernisant les règles de cette dernière à la lumière de nouvelles technologies et de médias sociaux notamment.
Mais, au-delà du GDPR et de ce qu’il met en place comme protection des données, la première question à se poser n’est-elle pas de savoir ce que souhaite réellement la personne concernée quand elle dévoile volontairement et sans réserve des données personnelles ? Si elle est informée clairement des conséquences et de l’utilisation possibles de ses données, doit-on également la protéger contre elle-même ?
Non que je veuille déresponsabiliser ou blanchir a priori tous les « ficheurs », responsables de traitement (les bien nommés) ou sous-traitants, entreprises ou personnes physiques. Il faut, certes, une déontologie et un cadre légal d’autant plus important que les possibilités de divulguer, de faire circuler, de collecter, d’enregistrer, de copier… des données sont inévitables et se multiplient.
Mais les premiers responsables et garants de leur vie privée ne sont-ils pas les personnes concernées elles-mêmes ? Ne faut-il pas, avant toute chose, les éduquer, faire peser sur elles également une certaine responsabilité quant à la gestion des données qui leur appartiennent et ce, avant de brandir des sanctions à l’égard de ceux qui utilisent, le plus souvent de manière honnête, les données qui leur ont été volontairement fournies ?
Si l’objectif du GDPR de mettre à charge des « ficheurs » une série de règles relatives à la gestion légitime, sécurisante et transparente des données traitées est évidemment indispensable, il ne faut certainement pas négliger le fait qu’il y a, en contrepartie, des personnes qui livrent ces données, ces informations, parfois pour obtenir un avantage, et également parfois avec plus de complaisance ou un manque de discernement contre lesquels on ne peut rendre responsable à 100 % le ficheur. L’éducation des personnes concernées doit être un des premiers objectifs du GDPR.
3. L’équilibre des intérêts :base de la protection de la vie privée
À l’ère de la société ultraconnectée, la tentation de collecter et de recouper un nombre toujours plus important de données personnelles est grande. Pour s’en prémunir, il faut passer par un double garde-fou : d’une part, le principe de finalité des données collectées et, d’autre part, celui de proportionnalité des intérêts lié également à la data-minimisation.
Le droit à l’autodétermination, qui est le droit de tout individu à maîtriser l’image qu’il donne de lui-même dans la société, doit être protégé des risques d’abus résultant des possibilités actuelles et futures de traitements automatisés de l’information. Il ne peut cependant s’entendre de façon absolue. Comme l’avait déjà souligné le Tribunal constitutionnel fédéral allemand dans un jugement de 1985 : « L’individu n’exerce pas une souveraineté absolue sur les faits le concernant ; sa personnalité se développant au sein d’une communauté sociale, il ne peut vivre sans communiquer. L’information, même si elle est nominative, est une représentation de la réalité sociale, qui n’est pas uniquement la propriété de l’individu concerné […]. La Loi fondamentale résout la dichotomie individu-société en considérant la personne comme une entité liée et insérée dans la société. C’est pourquoi, en principe, l’individu doit accepter des restrictions de son droit à l’autodétermination en matière d’information[,] et ce, en faveur de l’intérêt général prépondérant. »6
Le fait de mettre sa vie privée à disposition d’un public, même restreint et choisi, ne peut-il être considéré comme un renoncement à une certaine protection prévue par la loi ? Quand y a-t-il réellement atteinte à la vie privée ? Qui décide qu’il y a atteinte ?
Les principes fondamentaux des lois relatives aux traitements de données à caractère personnel (droit d’accès, principe de finalité…) participent à la construction d’un système de protection à la recherche d’un équilibre entre des intérêts et/ou libertés qui s’opposent.
Ce difficile équilibre est mis en exergue par le contentieux de plus en plus fourni où se mêlent des questions aussi diverses que la photo indiscrète de nos têtes couronnées ou stars de nos petits écrans, la perquisition d’un cabinet d’affaires, la plainte d’un groupe de riverains non informés par l’administration de la présence d’une industrie polluante, la volonté de changer de nom, si ce n’est d’identité sexuelle, la recherche d’une hérédité, etc.7.
Puisque l’individu n’est pas propriétaire des données le concernant, ni même titulaire sur elles d’un droit proche d’un droit réel, puisque c’est de façon spontanée que l’individu projette dans la société une certaine image de lui, cette image précisément peut être captée par autrui, rapprochée d’autres informations et prendre ainsi un sens aux yeux de celui qui la traite. Il ne peut être question a priori de nier à autrui le droit d’utiliser l’image que je donne de moi-même. À ma liberté s’oppose la sienne[,] qu’il s’agisse de la liberté d’association dans le cadre de traitements opérés par un syndicat, de la liberté religieuse dans le cadre de traitements gérés par l’autorité religieuse ou plus fréquemment de la liberté d’entreprendre dans le cas de fichiers d’entreprises. Ce conflit de libertés doit se résoudre par la méthode de pondération des intérêts par laquelle l’autorité chargée de trancher le conflit appréciera les intérêts légitimes respectifs propres à chaque partie exprimant sa liberté. »8
La méthode de pondération des intérêts est ici la clé de voûte permettant un équilibre entre les intérêts des parties concernées. Les législations de protection des données entendent définir certains critères qui permettent de préciser le droit à l’information du « ficheur », expression tantôt de sa liberté d’entreprendre dans le secteur privé, tantôt de son rôle de gardien de l’intérêt général dans le secteur public.
L’exigence de pondération des intérêts est au centre du débat de la notion de vie privée. « Le concept juridique de vie privée ne saurait donner lieu à une application syllogistique permettant d’identifier par une opération purement logique la situation appréhendée par le concept de vie privée. La méthode de pondération d’intérêts est la seule appropriée, mais comme son terme l’indique, loin de se prononcer sur l’étendue d’un droit subjectif, le juge pèse les intérêts respectifs des parties en présence à la lumière de l’intérêt général. »9
Dans le secteur privé, le service attendu de l’entreprise collectrice de données est à la fois la justification et la limite de l’usage des renseignements. Certains aspects de la vie privée peuvent être sacrifiés volontairement, normalement en échange de certains avantages ou même bénéfices.
Néanmoins, il arrive souvent que ces avantages soient très faibles, voire inexistants ou non souhaités par les personnes concernées. Quand on pense aux contrôles accrus dans de nombreux domaines, l’intérêt général prime les bénéfices individuels et les attentes des personnes fichées. On constate une multiplication des hypothèses de levée du secret permises à l’autorité publique. Songeons aux dispositions relatives au PNR (Passenger Name Record), à la législation anti-blanchiment, aux mesures de levée de la protection dans le cadre de la lutte contre le terrorisme. L’intérêt général, l’intérêt supérieur de l’État sont ici prépondérants.
Certains déplorent également que le GDPR ait malgré tout prévu de nombreuses exceptions et régimes dérogatoires au nom d’intérêts divers, les justifications d’intérêt légitime permettant de passer outre certaines garanties prévues par le Règlement.
Outre les deux principes évoqués de finalité et de proportionnalité, le consentement est également un garde-fou important, et ce, pour autant que les personnes concernées prennent en charge la responsabilité de leur image informationnelle. Pour les réseaux sociaux, même s’il s’agit de consentir à des clauses d’adhésion non négociables, ce consentement est exprimé au moment de l’inscription sur le réseau, mais, à de nombreuses reprises, l’utilisateur est appelé à consentir. Il consent implicitement, mais certainement, lorsqu’il choisit de communiquer des informations qu’il injecte dans le réseau social. Plus que de consentir, il traite ses propres données. Il est même responsable de traitement pour les données de tiers qu’il met en ligne.
On constate donc qu’une fois encore, la responsabilisation des individus, au-delà de la protection offerte par les dispositions légales, doit permettre à chacun de mieux gérer son image, sa vie privée, ses données personnelles.
4. Conclusions
L’ambiguïté des attentes des personnes qui confient leurs données personnelles rend d’autant plus complexe la tâche des responsables de traitement de bien les informer, clairement et efficacement. Car, au-delà du consentement, on se heurte souvent à une absence de prise de conscience des personnes concernées de l’utilisation possible et probable de leurs données, de l’étendue des informations qui sont traitées et qui circulent.
Il existe également une réelle dichotomie entre la volonté des individus de s’ouvrir aux autres, et ce, notamment, au travers des nouveaux moyens de communication, et leur légitime volonté de se protéger, de protéger la part de vie privée qu’ils veulent se réserver. Mais cette part fluctue en fonction des circonstances, des avantages qu’ils y trouvent, des contreparties souhaitées ou proposées par le « ficheur ».
La vie privée et l’ensemble des données personnelles qui appartiennent à l’individu, qui font de lui cette personne unique avec ses aspects d’ombre et d’intimité et sa partie visible, ouverte vers la société, doivent être protégés et traités de manière loyale, licite et transparente par les responsables de traitement. Mais chaque individu est également responsable de l’usage qu’il fait de ses données, de la gestion de son image. Et, partant, chacun doit également décider des limites qu’il souhaite fixer entre la partie émergée de ses données et celles qu’il décide de conserver dans la sphère privée, et agir en conséquence.
Cette responsabilisation doit être l’un des objectifs d’une législation protectrice de la vie privée et des données personnelles. On ne peut essentiellement faire porter la charge de la responsabilité, l’ensemble des contraintes et le contrôle des données sur ceux qui utilisent ces données.
Le GDPR doit également être un outil de sensibilisation, d’éducation, d’information de ceux qu’il entend protéger.
La vie privée existe toujours, mais les risques d’atteinte sont de plus en plus grands et de plus en plus nombreux, et il appartient donc à la personne concernée elle-même qui souhaite la préserver et préserver ses données de prendre également en charge les mesures de protection adéquates.
1. G. ORWELL, 1984, (trad. Amélie Audiberti), Paris, Gallimard, 1972, partie II, chap. 9, p. 276.
2. J. DECEW, « Privacy », Stanford Encyclopedia of Philosophy Archive, Spring, 2015 (https://plato.stanford.edu/archives/spr2015/entries/privacy/).
3. Y. POULLET, « La liberté de la vie privée : de l’éclosion à l’explosion », in La vie privée, une liberté parmi les autres, Bruxelles, Larcier, 1992, p. 1 ; B. DOCQUIR, Le droit de la vie privée, Bruxelles, De Boeck-Larcier, 2008, p. 27.
4. J.-Ph. MOURY et Y. POULLET, « Les réseaux sociaux, le droit et les volontés qui les animent », in Le droit des affaires en évolution. Social media: le droit ou l’anarchie ?, Bruxelles, Bruylant, 2012, p. 46.
5. Lire, sur ce sujet, A. CASILLI, Les liaisons numériques : vers une nouvelle sociabilité ?, Paris, Seuil, 2010.
6. H. BURKERT, « Le jugement du Tribunal constitutionnel fédéral allemand sur le recensement démographique », D.I.T. Droit de l’informatique et des télécommunications, 1985, pp. 8-16.
7. Y. POULLET, préface de l’ouvrage de B. DOCQUIR, op. cit., p. 9.
8. Y. POULLET, X. THUNIS et Th. LÉONARD, La vie privée – Une liberté parmi les autres ?, Bruxelles, Larcier, 1992, p. 240.
9. Fr. RIGAUX, La protection de la vie privée et autres biens de la personnalité, Bruxelles, Bruylant, 1990, p. 770.
Consentement et intérêt légitime dans le secteur privé
Benjamin DOCQUIRAvocat* – Collaborateur scientifiqueà l’Université libre de Bruxelles,Unité de droit économique
Introduction
Depuis l’adoption, le 27 avril 2014, du « Règlement général sur la protection des données » (ci-après, « GDPR »)1, beaucoup d’organisations ont entamé un travail de réflexion et de préparation à la mise en conformité aux nouvelles exigences en matière de protection des données. La publication de l’ouvrage où s’inscrit la présente contribution, dans le prolongement des « Ateliers Data Protection » organisés par la FEB en 2015, vient à point nommé. Dans cet exercice de « remise à plat » de leurs pratiques internes, les entreprises et associations du secteur privé, sur lesquelles nous concentrerons ici notre propos, sont en effet confrontées à de très nombreuses questions pratiques2 : faut-il nommer un Data Protection Officer ? Quelle sera l’autorité chef de file compétente au regard de nos activités paneuropéennes ? Comment assurer le respect des nouveaux droits individuels, notamment les droits à l’oubli et à la portabilité des données ? Comment revoir nos contrats avec les différents fournisseurs ? Quels mécanismes mettre en place pour pouvoir notifier les brèches de sécurité dans les délais légaux ? Etc.
Il est logique que ces interrogations portent d’abord sur les aspects les plus novateurs de la réforme, qui nécessiteront des changements ou des processus nouveaux sur le plan opérationnel. Mais l’on ne peut oublier les exigences élémentaires de légalité et de proportionnalité qui sous-tendent l’ensemble de la matière. Le GDPR poursuit l’objectif de renforcer le contrôle de l’individu sur ses données à caractère personnel, en particulier dans un contexte où le droit de l’Union européenne a érigé le droit à la protection des données au rang de liberté fondamentale, inscrite à l’article 8 de la Charte des droits fondamentaux3.
À vrai dire, les « fondamentaux » de la matière n’ont pas été bouleversés par l’adoption du GDPR. Les principes essentiels en matière de protection des données, issus de l’article 6 de la directive 95/46 et désormais regroupés à l’article 5 du Règlement, ne sont, en effet, pas nouveaux : le traitement des données doit intervenir dans des conditions de transparence, de licéité et de loyauté, être conforme et limité aux finalités poursuivies par le responsable du traitement ; les données doivent être exactes et mises à jour si nécessaire, et être conservées pour une période limitée à la finalité poursuivie. Tout cela relève un peu de la codification à droit constant. L’article 5 du Règlement impose toutefois deux obligations nouvelles : d’une part, le responsable du traitement doit assurer la sécurité des données (principe d’intégrité et de confidentialité : article 5(1), sous f)4) et, d’autre part, il est « responsable » et doit être en mesure de démontrer de manière concrète le respect de ces six principes essentiels (art. 5(2))5. Afin de mettre en œuvre ces exigences fondamentales, les responsables du traitement doivent donc réfléchir à une véritable « gouvernance » des données, qui implique bien souvent de repenser de manière fondamentale l’ensemble de la « chaîne », depuis les mécanismes d’acquisition et de collecte des données jusqu’aux règles en matière de réutilisation ou d’archivage, en passant par la gestion des accès et du « sourcing ».
Nous proposons ici quelques réflexions au sujet de l’étape de collecte et d’acquisition des données, plus exactement à propos du choix de la base légale du traitement. Le GDPR (en son article 6) modifie, en effet, de façon substantielle la façon dont les organismes du secteur privé peuvent justifier la collecte et l’utilisation des données à caractère personnel. Fondamentalement, le principe de légalité est inchangé : tout traitement de données personnelles doit reposer sur une base légale, parmi celles que le texte énumère, et qui comprennent notamment le consentement de l’intéressé ou la poursuite de l’intérêt légitime du responsable du traitement (moyennant une mise en balance avec les droits et libertés des personnes concernées)6. L’on a dû constater, par le passé, que les entreprises recouraient massivement à la solution du consentement pour tenter de justifier l’utilisation des données de leurs clients ou de leurs employés : à travers des modalités variables (adhésion à des conditions générales, signature d’un formulaire, clause « vie privée » insérée dans le contrat, etc.), l’idée était toujours, schématiquement, de faire reposer sur l’intéressé la responsabilité de laisser traiter ou non ses propres données à caractère personnel. La solution était jugée plus sûre que le recours à la notion « d’intérêt légitime » du responsable du traitement, qui suppose toujours un exercice délicat de recherche d’équilibre entre des intérêts a priori antagonistes.
Même s’il est trop tôt pour en juger sur le terrain, il apparaît que cette façon de procéder doit à tout le moins être sérieusement remise en question. En effet, le GDPR obligera probablement les responsables du traitement dans le secteur privé, dans bon nombre de situations, à choisir une autre base légale que le consentement. Non seulement le Règlement se montre plus strict et plus exigeant en ce qui concerne les modes d’obtention du consentement mais, en outre, il impose de renoncer à la conception du consentement au traitement des données comme étant un accessoire nécessaire de l’acceptation d’un ensemble de règles contractuelles principales : ainsi, la conclusion d’un contrat ne pourra-t-elle plus être tributaire de l’acceptation du traitement des données, sauf dans certains cas particuliers, tandis que, de manière générale, la personne concernée aura toujours le droit de retirer son consentement de façon unilatérale.
Il apparaît, dès lors, nécessaire de reconsidérer la façon dont les responsables du traitement justifient le traitement des données à caractère personnel, entre consentement et intérêt légitime. D’une manière générale, le recours au consentement suppose que la personne concernée dispose d’un véritable choix, dont elle reste maîtresse tout au long de la relation, tandis que l’option de l’intérêt légitime du responsable comme base légale du traitement, si elle implique certes un exercice de transparence accrue, offre peut-être in fine davantage de marge de manœuvre et de souplesse d’utilisation. Pour le montrer, nous examinerons successivement les nouvelles règles relatives au consentement (1.) et à l’intérêt légitime (2.), avant de proposer une mise en perspective en guise de courte conclusion (3.).
1. Le consentement
1.1. NOTIONETMODALITÉSD’OBTENTIONDUCONSENTEMENT
Dans le cadre de la directive 95/46, la notion de consentement était définie comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement »7. Néanmoins, la notion de consentement soulevait des difficultés d’interprétation, ne fût-ce que parce que l’article 7, sous a), visait l’exigence d’un consentement « indubitable » alors que l’article 8(2), sous a), évoquait un consentement « explicite », sans que la différence entre les deux conditions – à supposer qu’une différence existât – soit clairement élucidée. Dans les droits nationaux, la notion de consentement recevait des interprétations parfois divergentes. L’on pouvait aussi se demander si le consentement, au sens de la directive, était identique au concept du consentement comme condition de validité essentielle des conventions, en droit civil. Dans un avis non contraignant du 13 juillet 2011, le Groupe de l’Article 29 avait élaboré sa doctrine en la matière8.
Le GDPR contient une définition légèrement différente du consentement, à savoir « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »9. Il est désormais requis que le consentement soit « univoque » et qu’il se manifeste à travers « une déclaration ou un acte positif clair ». Cette formulation légèrement nouvelle épouse la doctrine élaborée précédemment par le Groupe de l’Article 29, précitée, en ce qui concerne les différentes exigences liées au consentement : celui-ci doit être dénué d’ambiguïté, il ne peut être donné de manière totalement implicite, et il doit être libre, spécifique et informé.
Selon le considérant 32, il est ainsi possible de recueillir le consentement de plusieurs manières : à travers une déclaration écrite ou orale, y compris par voie électronique, en cochant une case sur un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou, encore, au moyen d’une « autre déclaration ou comportement » pour peu que ceux-ci manifestent clairement l’acceptation du traitement des données à caractère personnel. A contrario, le silence, l’inactivité ou les cases cochées par défaut ne pourront suffire à justifier le consentement.
Ainsi, en ce qui concerne les modalités de demande et d’obtention du consentement, le GDPR impose que la volonté de la personne concernée se manifeste clairement, mais ne prescrit pas de façon limitative les seules options envisageables. La référence expresse à l’adoption de certains paramètres techniques pour des sites Web ou des applications mobiles paraît bienvenue, et il apparaît que plusieurs modalités de consentement sont possibles sans que celui-ci ne doive nécessairement toujours être explicite. Ainsi, paraissent seuls exclus les modes d’obtention du consentement qui reposent strictement sur l’inaction de l’intéressé et consistent ainsi à présumer le consentement ou à le tenir pour acquis sauf manifestation contraire (paramètres préétablis, cases précochées, conditions générales réputées acceptées, etc.)10. En revanche, certaines formes de consentement implicite paraissent admises à condition qu’il ressorte à suffisance des circonstances que l’intéressé a suffisamment « extériorisé » son consentement11. Néanmoins, si un consentement implicite ne peut être totalement exclu, y compris dans des situations on-line, c’est en tout cas dans une interprétation restrictive et limitée à ce qui peut être inféré de façon évidente et nécessaire à partir du comportement de la personne : si je dépose ma carte de visite dans une urne lors d’une foire commerciale pour les besoins d’un concours, je consens à être recontacté pour les besoins de ce concours, mais pas au-delà ; si je complète une enquête en ligne sur mes habitudes alimentaires, je consens à ce que mes données soient utilisées pour l’étude, mais pas à d’autres fins12.
On gardera aussi à l’esprit que le traitement des catégories dites « particulières » de données, visées à l’article 9 du Règlement, nécessite, quant à lui, le consentement « explicite » de la personne concernée. Dans ce cas, les mécanismes implicites évoqués ci-avant ne pourront pas être utilisés.
1.2. AUTRESEXIGENCES
C’est davantage à propos des exigences que le consentement soit libre, spécifique et informé que le GDPR innove et se montre plus précis. À telle enseigne que, dans bien des cas, le responsable du traitement devra se demander s’il est raisonnable de se fonder sur le consentement de l’intéressé pour justifier le traitement. Non seulement le responsable du traitement a désormais explicitement la charge de prouver que la personne concernée a donné son consentement mais, en outre, il existe des situations dans lesquelles le recours au consentement est simplement exclu, car celui-ci ne peut être considéré comme donné librement ; par ailleurs, la demande de consentement doit être formulée d’une manière à la fois suffisamment spécifique, tout en étant « claire et compréhensible », et le consentement donné peut être retiré à tout moment par la personne concernée ultérieurement. Nous examinons ci-après ces différentes questions.
1.2.1. Preuve du consentement
L’article 7(1) du GDPR dispose que le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement. Le responsable doit donc conserver les traces de la manifestation de volonté émise par la personne concernée lorsqu’elle a donné son consentement. Par ailleurs, l’article 7(2) in fine dispose que toute partie de la déclaration de consentement qui serait contraire aux dispositions du Règlement est non contraignante. Il s’ensuit que le responsable doit préserver la preuve non seulement qu’un consentement a été donné, mais qu’il l’a été en réponse à une demande qui soit pleinement conforme aux dispositions du GDPR.
Compte tenu des nombreuses exigences applicables à l’obtention du consentement et au contenu de la demande de consentement, le responsable du traitement doit ainsi veiller à conserver les enregistrements suffisants pour lui permettre d’établir : 1° la teneur de la demande de consentement (une copie du formulaire de collecte, p. ex., mais aussi, le cas échéant, les documents complémentaires tels que la privacy policy en vigueur à l’époque) ; 2° la façon dont la personne a manifesté son consentement (sur le formulaire même, en cochant une case sur un site Web, en activant un paramètre technique, etc., l’important étant de pouvoir démontrer que ce geste a été posé à la suite de la demande de consentement et au même moment) ; 3° le moment où le consentement a été donné ; 4° le nom de la personne qui a consenti ou, à tout le moins, son identifiant. À titre illustratif, le document de travail sur le consentement précité, émanant de l’autorité anglaise de protection des données indique encore que, dans le cadre d’un consentement donné de façon verbale, par exemple au cours d’un entretien téléphonique, il n’est pas indispensable de conserver un enregistrement complet de la conversation, mais bien les notes prises par un opérateur lors de l’appel téléphonique, le script utilisé à l’époque et l’heure de la conversation.
Ces exigences de conservation des preuves se traduiront en pratique par des contraintes non négligeables lorsqu’il s’agit de conserver la preuve de transactions on-line, le responsable du traitement devant assurer l’intégrité des données et pouvoir en démontrer la date de collecte.
