Guide pratique du RGPD E-Book

Cette version numérique de l’ouvrage a été réalisée pour le Groupe Larcier.

Nous vous remercions de respecter la propriété littéraire et artistique.

Le « photoco-pillage » menace l’avenir du livre.

Pour toute information sur nos fonds et nos nouveautés dans votre domaine de spécialisation, consultez nos sites web via www.larciergroup.com.

© ELS Belgium s.a., 2018

Éditions Bruylant

Rue Haute, 139/6 - 1000 Bruxelles

Tous droits réservés pour tous pays.

Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent ouvrage, de le stocker dans une banque de données ou de le communiquer au public, sous quelque forme et de quelque manière que ce soit.

ISBN 9782802762539

À mon amour, à mon fils, à mon indispensable famille et à mes amis éternels

Rien ne sert de courir, il faut partir à temps

Dicton populaire

Préface

Le 25 mai 2018 entrera en vigueur le Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le RGPD). Il remplacera à cette date la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, qui régit actuellement la matière et dont la transposition est assurée en Belgique par la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel.

Le premier considérant du RGPD rappelle que la protection des personnes physiques à travers le traitement de leurs données à caractère personnel est un droit fondamental qui trouve sa source à l’article 8, § 1er, de la Charte des droits fondamentaux de l’Union européenne et à l’article 16, § 1er, du Traité sur le fonctionnement de l’Union européenne. La protection des données personnelles s’inscrit ainsi dans le cadre plus large de la protection de la vie privée et familiale, du domicile et de la correspondance, notamment consacrée par l’article 8 de la Convention européenne des droits de l’homme et, en droit interne, par l’article 22 de notre Constitution.

En effet, à côté de la protection du droit à la vie privée, est apparue une nouvelle forme de protection des individus, la protection des données les concernant qui est plus récente. Elle est notamment liée aux développements informatiques et aux risques collatéraux inhérents à ceux-ci. C’est d’ailleurs, entre autres, pour s’adapter aux nouvelles technologies et notamment aux Facebook, Twitter, LinkedIn, MySpace, YouTube, Snapchat et autres médias sociaux que le RGPD a été rédigé au niveau européen. Les auteurs du RGPD avaient pour objectif de moderniser le texte de la directive pour tenir compte des nouvelles technologies et notamment des médias sociaux et de leur impact sur la vie privée des personnes concernées. Ils voulaient aussi harmoniser les règles existant au niveau européen afin que la protection offerte soit comparable, mais surtout que les limites floues de la vie privée soient comprises et appréhendées d’une manière uniforme partout dans l’Union européenne. Le RGPD témoigne de la volonté politique à tous les niveaux de mieux protéger la vie privée des individus dans une société où le concept de vie privée ne cesse de s’élargir et, donc paradoxalement, d’échapper à toute tentative de définition. Le vote laborieux des dispositions du RGPD, après des années de négociation, s’est accompagné de nouvelles règles permettant au citoyen de mieux maîtriser le contrôle de ses données personnelles, avec comme corollaire, une série d’obligations à charge des responsables de traitement et des sous-traitants.

La protection de la vie privée et celle des données des personnes physiques est indissociable de nos jours de toute activité économique. Nous vivons, en effet, dans une société numérique dans laquelle les données personnelles constituent une nouvelle valeur, qu’il convient de traiter et protéger efficacement.

La mise en œuvre du nouveau RGPD constitue un enjeu important pour les entreprises. Il ne faut pas sous-estimer la charge administrative en temps, en argent, en ressources humaines que cela représente. Aussi lourde soit-elle, cette tâche est nécessaire, je dirais même inéluctable, dans un monde numérique où les données s’échangent, s’achètent et se vendent et sont liées à toutes les activités des entreprises, de la gestion du personnel aux contacts clients et prospects en passant notamment par les activités marketing, statistiques, CRM, …

Le RGPD peut également être envisagé comme une opportunité pour les entreprises : opportunité commerciale car c’est l’occasion de contacter ses clients et de leur montrer que l’entreprise joue la carte de la transparence dans l’esprit du RGPD, atout concurrentiel en présentant sa conformité au RGPD avant d’autres entreprises concurrentes et enfin, réputationnel en se montrant « RGPD compliant ».

Si toutes les entreprises n’utilisent pas des données dites sensibles ou n’ont pas pour activité principale (core business) la gestion de données à caractère personnel, il n’empêche que toutes traitent des données en tant que responsable de traitement ou en tant que sous-traitant et doivent donc intégrer la notion de protection des données dans leurs activités. Cette nouvelle protection est intrinsèquement liée à toute activité, à tout traitement de données. Le RGPD doit dorénavant faire partie de l’ADN de l’entreprise, il est intimement lié au choix des finalités, des données traitées, des mesures de sécurité mises en place…

Les principes fondamentaux de toute législation relative aux traitements de données à caractère personnel et du RGPD en particulier (droit d’accès, principe de finalité…) participent à la construction d’un système de protection qui recherche un équilibre entre des intérêts et des libertés qui s’opposent.Ce difficile équilibre est mis en exergue par le contentieux de plus en plus fourni où se mêlent des questions aussi diverses que la publication d’une photo indiscrète de nos têtes couronnées ou stars de nos petits écrans, la perquisition d’un cabinet d’affaires, la plainte d’une personne non informée de la cession de ses données par une entreprise commerciale à une autre, etc.

À l’ère de la société ultra-connectée, la tentation de collecter et de recouper un nombre toujours plus important de données personnelles est grande. Pour s’en prémunir, il faut passer par un double garde-fou : d’une part, le principe de finalité des données collectées et, d’autre part, celui de proportionnalité des intérêts.

La méthode de pondération des intérêts est la clé de voûte qui permet un équilibre entre les intérêts des parties concernées. Le RGPD entend définir certains critères qui permettent de préciser le droit au traitement de l’information du responsable de traitement, expression tantôt de sa liberté d’entreprendre dans le secteur privé, tantôt de son rôle de gardien de l’intérêt général dans le secteur public. L’exigence de pondération des intérêts est au centre du débat de la notion de vie privée. « Le concept juridique de vie privée ne saurait donner lieu à une application syllogistique permettant d’identifier par une opération purement logique la situation appréhendée par le concept de vie privée. La méthode de pondération des intérêts est la seule appropriée. »1 Dans le secteur privé, le service attendu de l’entreprise collectrice de données est à la fois la justification et la limite de l’usage des renseignements.

Comme on peut rapidement le comprendre, le RGPD n’est pas un texte facile à appréhender, encore moins à mettre en œuvre au sein d’une entreprise quelle que soit sa taille et son activité. C’est ainsi que le RGPD a, dès à présent, été à l’origine de l’organisation d’un grand nombre de formations, de séances de sensibilisation, de consultations juridiques et que les articles le concernant dépassent largement tout autre domaine. Il concerne tout le monde, entreprises et personnes physiques, secteur public et secteur privé.

Dès janvier 2016, la FEB a pris le parti de sensibiliser le monde des entreprises et de l’informer des nombreuses facettes et domaines que le RGPD impacte. Elle a publié une brochure et un ouvrage reprenant les actes des différents ateliers pratiques qu’elle a organisés en 20162. Il est indispensable d’aider les entreprises dans le dédale des 99 articles et des considérants y relatifs du RGDP ainsi qu’au travers des guidelines du Groupe 29 qui sont très peu explicites et manquent de clarté. Je salue donc cet ouvrage très pratique qui pourra servir de guide à toutes les entreprises soucieuses de comprendre les dispositions du RGPD qui s’imposent à elles, même si elles font appel à un Data Protection Officer externe ou à un avocat ou consultant. Les fiches de guidance seront pour tous, juristes ou non, l’outil de référence pour les guider dans la voie de la mise en conformité et de leur accountability. Gérer la protection des données de votre entreprise constitue un élément important dans le cadre de vos activités. Il en va de votre réputation.

Philippe LAMBRECHT Administrateur-Secrétaire Général FEB

Avant-propos

L’entrée en vigueur du règlement européen sur la protection des données constitue assurément un bouleversement pour la plupart des entreprises qui, jusqu’à présent, n’avaient pas, ou très peu appréhendé cette problématique.

Pourtant, cette matière n’est pas neuve et au final, bon nombre de concepts présents dans le RGPD étaient déjà existants dans la réglementation précédente. La pratique démontrait toutefois que cette matière était très peu respectée, voire prise en compte par les acteurs économiques.

Comme tout nouveau bouleversement (ou prise de conscience ?), cela implique une modification radicale des mentalités de l’entreprise, et surtout des pratiques tant vis-à-vis des personnes extérieures que vis-à-vis des personnes concernées au sein même de l’entreprise à savoir les employés, les collaborateurs externes, etc.

Ce changement apporte également son lot, presque quotidien, de croyances erronées autour du sujet, et de confusions parfois tenaces.

Pour le juriste ou même l’apprenti DPO, confronté à la mise en pratique de cette matière, le premier travail est sans aucun doute un travail de démystification et de compréhension des concepts tant juridiques que techniques.

Il faut détruire les croyances erronées, sensibiliser, dédramatiser, … Il y a, dans l’entrée en vigueur du RGPD, presque une approche psychologique importante, ce d’autant plus que bon nombre d’acteurs brandissent les sanctions comme fer-de-lance pour la mise en conformité des entreprises.

L’ouvrage de Monsieur Axel BEELEN constitue une synthèse claire, précise et pragmatique des divers concepts exposés dans le cadre du règlement général de la protection des données.

Avec ces fiches de guidance, impossible de se perdre dans les méandres de la protection des données.

L’ouvrage a également le mérite de donner aux juristes des clés de compréhension efficaces pour mettre en pratique cette matière et guider les entreprises sur le chemin de la mise en conformité qui ne s’arrêtera certainement pas le 25 mai 2018.

Frédéric DECHAMPS

Avocat, Lex4u

Objectif de l’ouvrage

Introduction

Le Règlement Général sur la Protection des Données pour RGPD et en anglais General Data Protection Regulation pour GDPR est un nouveau règlement européen entré en vigueur en mai 2016, mais dont l’application a été différée de deux ans, au 25 mai 2018.

Le RGPD concerne la réglementation des données à caractère personnel (ou données personnelles parfois dans la suite de l’ouvrage) dans l’Union européenne. Comme il s’agit d’un Règlement, il va s’appliquer directement et automatiquement dans les 28 (bientôt 27 ?) États de l’Union à la date du 25 mai 2018.

Beaucoup d’articles et d’ouvrages vous le rappellent constamment (les meilleurs étant évidemment publiés aux Éditions Larcier) : il est plus que temps que vous commenciez votre travail de mise en conformité avec ce texte hautement important. La mise en conformité ne s’arrêtera pas au 25 mai 2018. En effet, l’ensemble de vos activités devra respecter toujours cette complexe réglementation.

Nous avons voulu ici vous aider dans vos analyses au travers de Fiches de guidance pratiques. Nous avons inclus dans l’ouvrage les dernières recommandations officielles (dont celles notamment du Groupe de Travail « Article 29 »). Mais nul doute que d’autres viendront encore.

Structure de l’ouvrage

Première partie

Dans la première partie du livre, vous trouverez des Fiches de guidance consacrées à différents articles du RGPD. Les parties les plus importantes du RGPD sont ainsi parcourues et expliquées pour vous au travers de mots simples et d’explications que nous avons voulues aussi claires que possible.

L’ensemble de nos Fiches de guidance vous permettront aisément de savoir ce que recouvrent les concepts d’accountability (Fiche de guidance n° 4), de privacy by design et de privacy by default (Fiche de guidance n° 5), que doit contenir mon registre des activités de traitement (Fiche de guidance n° 8), dois-je obligatoirement nommer un Délégué à la Protection des Données (Fiche de guidance n° 11), quels sont les droits (nouveaux et anciens) des personnes concernées (Fiche de guidance n° 16 à 25), devrais-je notifier à l’autorité de contrôle toutes les violations de données personnelles (Fiche de guidance n° 26), etc.

Seconde partie

Dans la seconde partie du livre, vous trouverez des Fiches de guidance sur des thèmes liés au RGPD.

En effet, la problématique de la protection des données à caractère personnel est très actuelle.

La matière est transversale, moderne et tentaculaire.

Elle a des liens avec les règles qui gouvernent la protection des données issues des communications électroniques (Fiche de guidance n° 37) ou avec celles que vous retrouvez dans la directive NIS (Fiche de guidance n° 40).

Les questions autour de la protection des données personnelles impactent le quotidien des entreprises comme lorsqu’elles désirent réaliser des campagnes de marketing direct (Fiche de guidance n° 44) basées sur un profilage (Fiche de guidance n° 25) réalisé grâce à un très bon big data (Fiche de guidance n° 35) ou stocker leurs données dans le cloud (Fiche de guidance n° 42).

Le RGPD ne devra également pas être oublié par les start-ups ou par les sociétés qui développent des objets connectés (Fiche de guidance n° 36) ou leur propre blockchain (Fiche de guidance n° 45).

Nul doute que d’autres sujets viendront très vite compléter nos analyses. Nous en avons listés les principaux dans notre dernière Fiche de guidance (la n° 46).

Présentation

Les Fiches sont à chaque fois présentées de la même façon :

1. Leur titre ;

2. Les articles et les considérants du RGPD concernés ;

3. Notre commentaire ;

4. Un renvoi vers les Lignes directrices du Groupe de Travail « Article 29 » et vers les Fiches de guidance liées.

Vous trouverez en fin d’ouvrage plusieurs Annexes (dont deux Fiches de guidance bonus !).

Les fiches se veulent pratiques et complémentaires aux ouvrages auxquels nous vous renvoyons en fin de livre.

Conventions

Nous avons préféré utiliser les termes français de la matière. Nommons ici leur correspondance en anglais car vous les trouverez souvent dans la pratique des affaires :

1. Analyse d’impact relative à la protection des données (AIPD) : Data Protection Impact Assessment (DPIA)

2. Délégué à la Protection des Données (DPD) : Data Protection Officer (DPO)

3. Finalité : Purpose

4. Personne concernée : Data Subject

5. Principe général de responsabilité à la charge du Responsable de traitement : Accountability

6. Protection des données dès la conception : Protection by Design

7. Protection des données par défaut : Protection by Default

8. Registre des activités de traitement : Record of Processing Activities

9. Règlement Général sur la Protection des Données (RGPD) : General Data Protection Regulation (GDPR)

10. Règles d’entreprises contraignantes : Binding Corporate Rules (BCR)

11. Responsable du traitement : Data Controller

12. Sous-traitant : Data Processor

Bonne lecture !

Le manuscrit a été terminé le 28 mars 2018.

Axel Beelen (@ipnewsbe)

Partie 1
Les Fiches de guidance relatives au RGPD

Fiche de guidance n° 1
Le champ d’application matériel du RGPD

Article 2 du RGPD

Considérants 14 à 21 du RGPD

A. Quels types de données sont concernées par le RGPD ?

Le RGPD concerne le traitement de données à caractère personnel (parfois abrégées en « données personnelles » et confondues souvent avec les « Personally Identifiable Information », les PII).

Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable.

Il s’agit de toute information ou donnée qui peut identifier directement ou indirectement via un recoupement par exemple une personne physique. Il peut s’agir d’un identifiant, tel qu’un nom patronymique, une date de naissance, un numéro d’identification, des données de localisation, un identifiant en ligne, une adresse email, d’un ou plusieurs éléments spécifiques propres à l’identité physique (une empreinte digitale), physiologique, génétique, psychique, économique, culturelle ou sociale de la personne concernée.

Une donnée qui ne semble pas à première vue permettre d’identifier une personne physique lorsqu’elle est liée ou croisée avec d’autres sources est aussi une donnée à caractère personnel tombant sous le champ d’application du RGPD.

La Cour de justice de l’Union européenne a une interprétation très large de ce qu’il faut entendre par « données personnelles ». Elle a, par exemple, considéré dans une décision rendue fin décembre 2017 que : « Les réponses écrites fournies lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel du candidat auxquelles il a, en principe, un droit d’accès » (arrêt du 20 décembre 2017, aff. C-434/16). Elle avait précédemment déjà jugé le 19 octobre 2016 (affaire C-582/14) qu’une adresse de protocole Internet dynamique est également une donnée à caractère personnel.

Vous êtes concerné par le RGPD si l’un de vos services, ou un de vos sous-traitant, traite, gère, utilise et/ou dispose de données à caractère personnel.

Et c’est plus fréquent qu’on ne le pense. Quelques exemples de traitement ?

• Le fichier des lecteurs de la bibliothèque communale

• La liste des abonnés au centre culturel

• La liste des enfants inscrits dans les crèches communales ou aux activités extra-scolaires

• Les dossiers de patients d’une maison médicale ou d’un home

• Les données conservées électroniquement ou sur papier par les Ressources Humaines

• La liste des personnes à qui vous envoyez une newsletter électronique ou papier

• Les coordonnées de candidats à un logement social, à une allocation de remplacement

• Toutes les demandes de citoyen en vertu d’une réglementation (permis d’urbanisme, passeport, …)

La conformité de toute entreprise devra concerner tant les données structurées que les données non structurées du moment que ces données sont des données à caractère personnel. Les données non structurées concernent toutes les informations (en ce compris donc les données à caractère personnel qui y sont incluses) qui se retrouvent dans les documents (documents Word, emails, tableaux de chiffres, vidéos, textes, images, pages web, réseaux sociaux, etc.) que nous enregistrons sur nos serveurs, dans nos disques durs, etc. sans les classer véritablement.

Les données non structurées ont aussi leur part d’inconnu. Formats variés, volumes gigantesques, production en continu et niveaux de criticité hétérogènes… Pourtant, ces données sont un enjeu majeur pour les entreprises car, une fois organisées et analysées méthodiquement, ces données recèlent énormément de valeur. Mais il est clair aussi qu’organiser et protéger ces données peut représenter une tâche herculéenne.

Le RGPD ne couvre pas le traitement des données qui concernent les personnes décédées ou les personnes morales.

Une société devra respecter les règles du RGPD durant toute la durée de vie d’une donnée personnelle :

• de sa collecte ;

• à sa destruction ;

• en passant par chaque transfert de la donnée ;

• chaque accès à celle-ci ;

• chaque manipulation et

• chaque enregistrement.

B. Qu’entend-on par « traitement de données » ?

Un traitement est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.

L’article 4.2 du RGPD cite en exemple la collecte (il s’agira du cas le plus courant) (la collecte pouvant se réaliser en ligne ou bien lors d’un entretien de visu), l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation (la simple consultation même à distance depuis un autre pays de données personnelles est bel et bien un traitement de données), l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Le RGPD s’applique :

1. au traitement de données à caractère personnel, automatisé en tout ou en partie (notez la neutralité technologique rappelée par le considérant 15 du RGPD),

2. au traitement non automatisé (= les traitements manuels) de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Les données à caractère personnel traitées doivent être contenues ou appelées à figurer dans un fichier.

Un « fichier » est un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Les dossiers ou les ensembles de dossiers qui ne sont pas structurés selon des critères déterminés ne relèvent donc pas du champ d’application du RGPD.

Le RGPD ne s’appliquera également pas aux traitements de données à caractère personnel effectués :

1. dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union européenne par exemple en matière de sécurité nationale ;

2. par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne (politiques relatives aux contrôles aux frontières, à l’asile et à l’immigration) ;

3. par une personne physique dans le cadre d’une activité strictement personnelle ou domestique et qui n’ont donc aucun lien avec l’activité professionnelle de la personne physique.

Le considérant 18 du RGPD cite en exemple les « échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités ». Toutefois, le RGPD s’appliquera bien aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. La gestion de vos emails personnels par Outlook ne relève pas du RGPD. Par contre, Microsoft sera bien lui soumis au RGPD car il réalise des activités de traitements sur des données personnelles ;

4. relatifs à des personnes décédées ;

Toutefois, les États membres peuvent déroger à ce principe et prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées (il faudra voir si la Belgique lèvera cette option ou pas) (à titre d’illustration, de telles règles sont prévues en droit français : droit pour les personnes concernées de définir des directives générales et particulières pour le traitement de leurs données post-mortel notamment) ;

5. par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

C. Qu’entend-on par « responsable du traitement » ?

Selon l’article 4.7 du RGPD, un « responsable du traitement » est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Dans l’important arrêt Google Spain du 13 mai 2014 (aff. C-131/12), la Cour de justice de l’Union européenne a précisé que :

1. l’opération consistant en l’exploration de manière automatisée, constante et systématique d’Internet à la recherche des informations qui y sont publiées, est à qualifier de traitement.

En effet, l’exploitant d’un moteur de recherche à ce moment « collecte » de telles données qu’il « extrait », « enregistre » et « organise » par la suite dans le cadre de ses programmes d’indexation, « conserve » sur ses serveurs et, le cas échéant, « communique à » et « met à disposition de » ses utilisateurs sous forme de listes des résultats de leurs recherches ;

2. c’est l’exploitant du moteur de recherche qui détermine les finalités et les moyens de cette activité et ainsi du traitement de données à caractère personnel qu’il effectue, lui-même, dans le cadre de celle-ci et qui doit, par conséquent, être considéré comme le « responsable » de ce traitement.

D. Les autres Fiches de guidance de l’ouvrage en rapport avec le sujet

→ Fiche de guidance n° 2 : Le champ d’application territorial du RGPD

Fiche de guidance n° 2
Le champ d’application territorial du RGPD

Article 3 & 27 du RGPD

Considérants 27 à 34 & 80 du RGPD

A. Introduction

Il existe plusieurs sources de référence pour organiser la protection des données à caractère personnel et leur transfert par grandes zones géographiques.

En voici quelques-unes :

1. les recommandations de l’OCDE ;

2. les Cross Border Privacy Rules dans la région Asie-Pacifique ;

3. la Convention n° 108 du Conseil de l’Europe, qui est une référence pour tous les pays signataires, dont la Russie ;

4. le Règlement européen sur la protection des données personnelles (RGPD) ;

5. le Privacy Shield qui encadre une partie des transferts entre l’Europe et les États-Unis.

Par rapport à la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, le champ d’application territorial des nouvelles règles européennes a été étendu pour avoir véritablement un champ d’application extraterritorial.

Certains l’ont même surnommé le « Global » Data Protection Regulation vu ses impacts juridiques très nombreux.

B. Deux possibilités sont à envisager

1. Le responsable du traitement ou le sous-traitant a un établissement stable dans l’UE

Le RGPD s’applique aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant situé sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union européenne.

L’article 3 du RGPD qui reprend cette règle de la Directive de 1995 étend donc dorénavant le champ d’application territoriale du RGPD aux traitements réalisés par un sous-traitant établi sur le territoire de l’Union européenne que le traitement ait lieu ou non dans l’Union. Il s’agit d’une grande nouveauté par rapport à la Directive de 1995 qui ne prévoyait aucune règle pour le sous-traitant.

Notion d’établissement

Si la notion d’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable, la forme juridique de cet établissement n’est pas déterminante (il peut s’agir d’une simple succursale ou au contraire d’une filiale disposant de la personnalité juridique).

2. Quid si le responsable du traitement ou le sous-traitant n’a pas un établissement stable dans l’UE ?

Dorénavant, le RGPD s’appliquera aux traitements des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne (qu’importe leur nationalité) par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union européenne dans le cas où leurs activités de traitement sont liées (deux possibilités) :

1. à l’offre de biens ou de services à ces personnes concernées lorsque ces dernières se trouvent sur le territoire de l’Union, qu’un paiement soit exigé ou non (même gratuitement donc car souvent, on paie ces services gratuits par la communication et l’autorisation de traiter nos données personnelles) desdites personnes ou

2. au suivi du comportement de ces personnes (profilage), dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne.

Notion d’offre de biens ou de services à des personnes concernées au sein de l’Union

La simple accessibilité du site internet d’une entité depuis le territoire de l’Union européenne ne suffit pas pour considérer que ce site offre des biens ou des services à des personnes concernées se trouvant dans l’Union européenne. En revanche, des facteurs tels que l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs pays de l’Union européenne, avec la possibilité de commander des biens ou services dans cette langue, ou la référence sur le site internet à des clients ou utilisateurs établis dans l’Union européenne, peuvent indiquer que des biens ou services sont proposés à des personnes concernées dans l’Union européenne.

Notion de suivi du comportement

À titre d’exemple, un suivi des internautes dans le cadre de leur navigation sur le web, couplé avec des techniques de traitement visant à déterminer un profil, notamment afin de prendre des décisions ou d’analyser leurs préférences de consommation, leurs comportements, etc. répond à la notion de suivi du comportement de ces personnes.

Le RGPD s’applique aussi au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Si la société (qu’elle soit responsable du traitement ou sous-traitant) n’est pas établie dans l’UE mais qu’elle doit donc malgré tout respecter le RGPD, elle devra désigner par écrit un représentant qui sera le point de contact pour les autorités de contrôle des données personnelles (article 27 du RGPD).

Le représentant désigné est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi.

Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du RGPD

La désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Une entité non établie dans l’UE sera dispensée de désigner un représentant dans le cas où :

a) elle réalise un traitement qui est occasionnel et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ;

b) elle réalise un traitement qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9.1 ou 10 du RGPD et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ;

c) il s’agit d’une autorité publique ou d’un organisme public.

Rappelons qu’en application de l’article 4 de la Directive 95/46/CE relatif au droit national applicable, l’application de la loi nationale d’un État membre de l’Union européenne à un responsable de traitement qui n’y était pas établi supposait qu’il ait recours « […] à des moyens, automatisés ou non, situés sur le territoire dudit État membre […] ».

Cette notion était entendue de manière large afin de soumettre une très grande partie des responsables de traitement à la loi de protection d’un État membre. Aussi les moyens de traitement pouvaient être caractérisés uniquement par des logiciels de collecte utilisés, des formulaires de collecte, des serveurs informatiques ou encore le recours à des cookies. Toutefois, cela posait de nombreux problèmes d’interprétation. La clarification apportée ici par le RGPD est plus que bienvenue.

Il reste maintenant à voir comment concrètement les autorités de contrôle nationales et le futur Contrôleur Européen de la Protection des Données (CEPD) pourront exercer un réel contrôle sur les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et autres souvent situés aux États-Unis mais qui se moquent bien des règles européennes.

C. Les autres Fiches de guidance de l’ouvrage en rapport avec le sujet

→ Fiche de guidance n° 1 : Le champ d’application matériel du RGPD

Fiche de guidance n° 3
Les principes généraux de protection des données

Articles 5, 6.4 & 11.1 du RGPD

Considérants 39 à 50, 57 & 157 du RGPD

A. Introduction

L’article 5 du RGPD contient les principes généraux et essentiels qui doivent guider tout traitement relatif à des données à caractère personnel.

Rajoutons aux six principes de l’article 5, le principe de transparence. En effet, il traverse toute la compréhension du RGPD.

Ce dernier principe s’applique principalement :

1. lorsque le responsable du traitement doit fournir des informations aux personnes concernées à propos de ses activités de traitement.

Le responsable devra toujours vérifier la bonne compréhension des informations qu’il fournit et ce en fonction de son public cible ;

2. lorsque le responsable du traitement communique avec les personnes concernées à propos de l’exercice de droits ou d’une violation de données à caractère personnel ;

3. quand le responsable du traitement doit faciliter l’exercice par les personnes concernées de leurs droits.

Ce principe fondamental (voire le plus important de toute la matière) permet de donner de la confiance aux personnes concernées en leur permettant de comprendre et d’appréhender convenablement les activités de traitement du responsable du traitement et, s’ils le souhaitent, de demander plus d’informations, de s’y opposer, de retirer leur consentement, etc.

Cette obligation de transparence est explicitée au considérant 39 du RGPD :

« Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées.

Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. »

B. Les principes

Selon l’article 5 du RGPD, les données à caractère personnel doivent être :

1. traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence).

La licéité du traitement fait référence à son fondement juridique tandis que la loyauté du traitement désigne les modalités selon lesquelles les données sont collectées (lien avec le principe de transparence et avec l’information à fournir aux personnes concernées au moment de la collecte de leurs données) ;

2. collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (limitation des finalités).

Les responsables des traitements devront toujours définir au préalable le but poursuivi et ce de manière claire, afin que les finalités arrêtées puissent être facilement comprises par les personnes concernées (principe de transparence). Cette étape revêt une importance particulière puisqu’elle limitera par la suite les éventuelles réutilisations des données personnelles. Notez que le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales ;

3. adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données, ancien principe dit de proportionnalité).

Il s’agit ici de préciser que le responsable de traitement ne peut traiter des données personnelles à moins d’y être contraint et après avoir vérifié l’inexistence de procédures alternatives permettant d’atteindre un résultat identique ou similaire sans traitement de données personnelles. Le principe de minimisation permettra aussi de prévenir d’éventuelles utilisations délictuelles et d’optimiser les coûts et les frais liés au respect de la conformité.

Les entreprises ne peuvent collecter et traiter des données à caractère personnel que si l’objectif recherché rend cette collecte et ce traitement vraiment indispensables. Si la collecte de données est indispensable pour parvenir à un certain objectif, alors, l’entreprise peut (si toutes les autres conditions du RGPD sont remplies) collecter et traiter les données mais uniquement les données strictement nécessaires à la finalité poursuivie. La minimisation vise donc tant l’étendue, la quantité que le caractère nécessaire des données traitées.

À titre d’illustration : une entreprise qui propose sur son site internet aux internautes de recevoir gratuitement un devis ou toute autre documentation, peut recueillir l’identité et les coordonnées du demandeur pour répondre à sa demande, mais ne doit en aucun cas collecter ses coordonnées bancaires même s’il s’agit uniquement d’anticiper des relations futures ;

4. exactes et, si nécessaire, tenues à jour.

Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (principe d’exactitude des données). Le responsable du traitement devra mettre en place des processus permettant d’effectuer une revue régulière des données afin de déterminer si elles sont encore pertinentes ou au contraire devenues obsolètes, etc. ;

5. conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le RGPD afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

La durée de conservation limitée des données sera un enjeu important pour le responsable de traitement car elle devra désormais figurer dans la mention d’information délivrée aux personnes concernées. Dès lors, ces dernières seront en mesure de vérifier si l’organisme responsable de traitement respecte la durée qu’il a lui-même au préalable déterminée et communiquée.

D’un point de vue pragmatique, une véritable politique de conservation, d’archivage et de purge des données devra être formalisée ;

6. traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

La mise en œuvre de ces mesures doit notamment passer par la formalisation d’une politique de sécurité des données, d’actions de sensibilisation des membres du personnel, etc.

C. Traitement secondaire

Imaginons qu’un responsable du traitement souhaite utiliser (traiter) des données précédemment collectées pour une finalité différente de la finalité initiale. Il pourra bien sûr rechercher un nouveau consentement de la part des personnes concernées. Il se pourrait aussi que le droit de l’Union ou le droit d’un État membre permette expressément cet autre traitement.

Dans le cas où le traitement second n’est pas fondé sur le consentement ou le droit de l’Union ou de l’État membre, le responsable du traitement devra déterminer si la finalité du traitement ultérieur est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées.

Afin de déterminer si le traitement ultérieur et à une autre fin est bel et bien compatible, le responsable du traitement devra tenir compte, entre autres,

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 du RGPD ;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Ce changement de finalité possible permet d’assouplir en quelque sorte le principe de finalité posé à l’article 5 du RGPD.

Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, le responsable n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le RGPD.

D. Le respect du RGPD repose sur les épaules du responsable du traitement

Le responsable du traitement est responsable du respect de ces principes généraux. Il doit être constamment en mesure de démontrer que ceux-ci sont respectées à tout instant (principe de responsabilité ou d’« accountability »).

En pratique

Les entreprises vont devoir agir et être en mesure de prouver, de tracer, ce qui a été fait. Cela passera notamment par l’implémentation de documentations adaptées et de politiques de traitement des données écrites et contraignantes, ou encore de procédures de vérifications (régulièrement testées) pour s’assurer de l’effectivité et de l’efficacité des mesures mises en œuvre pour le respect des dispositions applicables.

Le RGPD définit le responsable du traitement comme toute personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Notion centrale et faisceau d’indices

S’agissant de l’identification du responsable de traitement, une analyse au cas par cas, in concreto, doit être menée pour tout traitement mis en œuvre dans la mesure où cette notion est centrale. En effet, il s’agit de l’entité sur laquelle repose les principales obligations en matière de protection des données à caractère personnel.

À cet égard, divers critères et indices doivent être pris en compte afin de déterminer l’entité devant être qualifiée de responsable de traitement : initiative du traitement et définition de la finalité/des objectifs, influence de droit ou de fait sur le traitement et degré d’influence, autonomie et pouvoir décisionnaire, image donnée aux personnes concernées et attentes raisonnables que cette visibilité peut susciter chez ces dernières, détermination des moyens matériels, humains, techniques et organisationnels du traitement, etc.

Le règlement est également applicable aux entités qui traitent les données en qualité de sous-traitant, c’est-à-dire qui traitent les données pour le compte d’un tiers, lui-même responsable de traitement.

En effet, si le sous-traitant agit par définition uniquement pour le compte (et donc sur instruction) du responsable de traitement, certaines obligations spécifiques, voire stratégiques, sont tout de même mises à sa charge par le règlement.

Nous rappellerons constamment les principes généraux lorsque nous analyserons les différents chapitres du RGPD. Il faut en effet toujours les garder à l’esprit. Ils soutiennent toute interprétation de la nouvelle réglementation.

E. Les Lignes directrices du Groupe de Travail « Article 29 »

Le Groupe de Travail « Article 29 » a adopté des Lignes directrices en rapport avec l’obligation de transparence du responsable du traitement (disponibles uniquement en anglais pour l’instant sur le site internet du Groupe de Travail) (« Guidelines on transparency under Regulation 2016/679 », Réf. WP 260).

Ces Lignes directrices sont soumises à consultation jusqu’au 23 janvier 2018. La version finale sera publiée par après.

F. Les autres Fiches de guidance de l’ouvrage en rapport avec le sujet

→ Fiche de guidance n° 4 : L’« accountability »

→ Fiche de guidance n° 6 : Le consentement

→ Fiche de guidance n° 16 : Les modalités d’exercice des droits des personnes concernées

→ Fiche de guidance n° 18 : Droit 1 : Le droit d’information des personnes concernées

Fiche de guidance n° 4
L’« accountability »

Article 5.2 du RGPD

Considérants 50 & 157 du RGPD

A. Principe

Il s’agit d’une des grandes nouveautés du RGPD par rapport à la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que ses traitements des données à caractère personnel sont effectués conformément au règlement, et être en mesure de le démontrer. Les entreprises devront appliquer l’ensemble des principes établis par le RGPD, respecter les obligations qui en découlent, s’en assurer constamment et être à même de le démontrer si nécessaire (en cas de contrôle par exemple).

Dorénavant, les entreprises ne doivent plus déposer des déclarations préalablement à leurs traitements. Cette formalité dont beaucoup s’interrogeait sur la réelle utilité est supprimée (comparez le nombre d’entreprises en Belgique et le nombre de déclarations introduites auprès de la Commission de la protection de la vie privée et vous comprendrez). Par contre, les sociétés devront pouvoir démontrer à tout moment le fait qu’elles respectent les règles du RGPD. Pour ce faire, l’application d’un code de conduite ou de mécanismes de certification peut aider à démontrer ce principe d’accountability.

Selon ce principe de responsabilité, les sociétés doivent avoir une approche responsable, proactive, systématique et continue concernant la protection des données. Les entreprises devront à tout instant pouvoir démontrer qu’elles respectent leurs obligations réglementaires en la matière et ce au travers de l’implémentation de procédures, de mesures et de politiques internes appropriées qui doivent garantir à tout instant l’effectivité et le respect de la protection des données personnelles.

Les mesures ne seront donc pas les mêmes pour toutes les organisations. La politique de protection des données personnelles adoptée au sein d’un organisme devra être définie en fonction de sa taille, de son secteur d’activité, de son personnel, de ses sous-traitants, etc.

B. Mise en œuvre

C’est à ce titre aussi que les sociétés devront dorénavant bien documenter et archiver la moindre de leur décision en la matière afin de pouvoir répondre à une éventuelle question d’une autorité de contrôle des données personnelles ou d’une personne concernée.

La responsabilisation des sociétés, autrement dit le fait qu’elles doivent être continuellement capable de démontrer leur conformité au RGPD (et aux autres règles juridiques bien sûr), ne peut se réaliser d’une manière uniforme mais sur une approche basée sur une analyse des risques qu’elles sont prêtes à prendre.

Ce principe dit de « risk-based approach » (qui n’est guère explicité dans le RGPD) est un principe dynamique et global pour l’entreprise : non seulement, la société doit respecter les règles du RGPD mais elle se doit de pouvoir le démontrer à tout instant.

L’analyse d’impact relative à la protection des données (l’AIPD) est un instrument important de ce principe. Il contribue en effet tant au respect des règles qu’à la démonstration de ce respect.

Les mesures techniques et organisationnelles mises en place par le responsable de traitement seront de nature diverse.

Résumons ici les principales obligations qui découlent du principe d’accountability :

1. établissement de règles internes assurant sa conformité au RGPD ;

2. établissement d’un registre reprenant l’ensemble des traitements que la société réalise ;

3. réaliser quand cela est nécessaire une AIPD ;

4. veiller au respect des principes de privacy by design et de privacy by default.

La protection des données personnelles devra être intégrée dès la conception des systèmes et des technologies mis en place. Le Règlement précise que ce principe devra être décliné tant en phase de détermination des moyens du traitement qu’au moment de sa mise en œuvre ;

5. nommer, si c’est obligatoire, un délégué à la protection des données (un DPD) ;

6. mettre en place la sécurité adéquate autour des données à caractère personnel que la société possède ;

7. veiller à la notification en temps opportun des éventuelles violations de données personnelles.

Comme pour les principes généraux de l’article 5.1 du RGPD, le principe d’accountability traverse le Règlement. Il sert de fondement à l’ensemble des principes et exigences qui gouvernent la matière de la protection de nos données personnelles.

C. Les Lignes directrices du Groupe de Travail « Article 29 »

Le Groupe de Travail « Article 29 » a adopté des Lignes directrices en rapport avec l’obligation de transparence du responsable du traitement (disponibles uniquement en anglais pour l’instant sur le site internet du Groupe de Travail) (« Guidelines on transparency under Regulation 2016/679 », Réf. WP 260).

Ces Lignes directrices sont soumises à consultation jusqu’au 23 janvier 2018. La version finale sera publiée par après.

Fiche de guidance n° 5Privacy by design et Privacy by default

Article 25 du RGPD

Considérant 78 du RGPD

A. Introduction

Le responsable du traitement est également tenu de mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement, des mesures permettant le respect du Règlement (privacy by design). Le responsable du traitement devra aussi adopter des mesures permettant de garantir, par défaut, que le traitement est limité à ce qui est nécessaire (privacy by default).

Ces notions ne sont pas récentes et vont bien au-delà de la sécurité informatique.

Elles proviennent de travaux canadiens qui datent de 2010. La formulation de l’article 25 du RGPD est toutefois moins ambitieuse que le concept canadien d’Ann Cavoukian, Commissaire à l’information et à la protection de la vie privée de l’Ontario.

B. Implémentation dans le RGPD

1. La privacy by design

Selon le texte du RGPD (art. 25.1 du RGPD), le responsable du traitement devra :

mettre en œuvre,

1. tant au moment de la détermination des moyens du traitement

2. qu’au moment du traitement lui-même,

des mesures

1. techniques et

2. organisationnelles appropriées,

a) telles que la pseudonymisation (qui devrait intervenir dès que possible)

b) la minimisation des données

qui sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Les mesures devront :

1. tenir compte de l’état des connaissances,

2. des coûts de leur mise en œuvre et

3. de la nature, de la portée, du contexte et des finalités du traitement

4. ainsi que des risques (dont le degré de probabilité et de gravité varie) que présente le traitement pour les droits et libertés des personnes physiques.

On le voit, après avoir obligé le responsable du traitement à prendre des mesures pour protéger les données personnelles qu’il collecte, le RGPD adoucit l’obligation en précisant que ces mesures peuvent dépendre de leur coût de mise en œuvre, du contexte, des risques du traitement…

Toujours ce jeu d’équilibriste que l’on retrouve dans la plupart des dispositions clef du RGPD.

La pseudonymisation des données permet de ne plus pouvoir associer des données à caractère personnel à une personne physique précise sans avoir recours à des informations supplémentaires. Il s’agit d’une mesure technique et organisationnelle prévue par l’article 32 du RGPD pour garantir la sécurité. Il est conseillé de stocker ces informations supplémentaires séparément des données pseudonymisées.

Le principe de la minimisation des données par défaut vient en complément des principes de la privacy by design. La minimisation des données (prévue par l’article 5 du RGPD) consiste à ne traiter que des données adéquates, pertinentes et limitées à la finalité du traitement.

Les mesures choisies par le responsable de traitement pour garantir que seules les données nécessaires au regard de la finalité poursuivie aient été collectées et que le plus haut niveau de protection possible entoure les données personnelles devront être mises en œuvre de façon effective sous le contrôle du Délégué à la Protection des Données (DPD). Cela ne doit pas rester purement théorique.

Le responsable de traitement devra assortir le traitement des garanties nécessaires afin de :

1. répondre aux exigences du RGPD et

2. de protéger les droits de la personne concernée.

Les règles en matière de transparence et de contrôle ainsi que celle en matière de sécurité des données visent aussi à atteindre ces objectifs.

Il est fortement recommandé de formaliser un cahier des charges traduisant les contraintes juridiques en matière de protection des données à caractère personnel (minimisation des données pouvant être traitées, durées proportionnées de conservation des données, limitation des personnes pouvant y accéder, etc.), en contraintes techniques devant être respectées, et qui serait impératif pour tout nouveau projet de programme informatique, de logiciel, d’application.

2. La privacy by default

Le responsable du traitement devra, en tenant bien sûr informé son DPD, mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement et donc de leur utilisation, à leur durée de conservation et à leur accessibilité.

Les mesures devront garantir que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

Un mécanisme de certification approuvé peut servir d’élément pour démontrer le respect de la privacy by design et de la privacy by default. Un tel mécanisme n’existe pas encore. Il est étudié au niveau européen.

C. Objectifs

À compter du 25 mai 2018, la dimension de protection des données à caractère personnel devra être intégrée dès la conception d’un projet informatique. En effet, les responsables de traitement devront adopter des mesures qui répondent aux principes de la protection des données par défaut et ce, dès la définition des moyens de traitement des données. Il sera nécessaire de modifier le « Product Approval Process » pour les sociétés qui en disposent.

Cette exigence rend aussi indispensable de traiter de la sécurité informatique également dans les contrats avec les sous-traitants notamment par des annexes « Plan d’assurance sécurité » (PAS) ou « Data breach Process » (DBP).

Le responsable du traitement et le sous-traitant ont une obligation de moyens renforcé en matière de sécurité au regard de l’état des connaissances. En pratique, l’obligation de protection des données nécessite la mise en œuvre des actions prévues par l’article 32 du RGPD, notamment :

1. la réalisation d’une analyse de risque au regard de la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé accidentel ou illicite aux données ;

2. le choix des mesures techniques adaptées aux risques identifiés (chiffrement, pseudonymisation) ;

3. le contrôle de la qualité des solutions choisies.

Le considérant 78 du RGPD conseille que :

« lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données ».

La protection dès la conception (privacy by design) devrait aussi améliorer le « return on investment » (le ROI) de l’organisation et la minimisation des données des consommateurs réduire les coûts marketing et les coûts de stockage.

Le « privacy by design » n’est pas simplement dirigé vers les développeurs mais aussi vers les juristes et vers les législateurs quand ils écrivent les lois qui se doivent d’être compréhensibles pour tous.

Notons que faire une bonne AIPD permet aussi d’atteindre les objectifs voulus par le privacy by design.

Le privacy by design renvoi vers les objectifs que le responsable du traitement veut atteindre et le privacy by default est plus sur le comment. Il s’agit d’actions positives que le responsable du traitement doit prendre. Toutes ses actions doivent atteindre les principes généraux de l’article 5 du RGPD.

Toutefois, il n’est pas simple de savoir dans le RGPD comment implémenter ces principes.

La doctrine et les chercheurs en privacy et en data protection travaillent actuellement sur la mise au point d’outils pour donner des guidances pratiques aux responsables de traitements ainsi que sur le développement de « Privacy-Enhancing Technologies » (PET).

Les PET sont des technologies informatiques qui, par défaut, protègent les données à caractère personnel en éliminant les données inutiles ou en ne collectant que les données nécessaires aux traitements envisagés sans que le système qui est derrière perde en fonctionnalité.

Les deux principes présentés ici doivent être pensés dès la construction du traitement mais aussi lors de son exécution. C’est la plus grande difficulté car on touche à deux moments forcément différents.

Un autre questionnement intéressant concerne le champ d’application de ces deux principes. En effet, lorsque l’on conçoit le privacy by default et lorsque l’on veille à implémenter les outils qui y sont liés, faut-il aller au-delà du RGPD ? Par exemple, faut-il veiller à protéger uniquement les droits « privacy » des personnes concernées ou bien faut-il aller au-delà ?

Fiche de guidance n° 6
Le consentement

Articles 6.1.a, 7 & 9 & 10 du RGPD

Considérants 32, 33, 35, 40 à 49, 51 à 55 & 75 du RGPD

A. Introduction

Le consentement est l’une des six bases juridiques permettant à une société de réaliser un traitement de données à caractère personnel.

Les six bases juridiques sont mentionnées à l’article 6 du RGPD (ce sont à peu près les mêmes que celles qui existent dans la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).

Un traitement ne sera licite que si :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Les autorités publiques dans l’exécution de leurs missions ne peuvent se prévaloir de cette base juridique.

Selon le RGPD (art. 4.11), le consentement de la personne concernée est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

B. Caractéristiques et conditions du consentement

Les exigences par rapport au consentement ont été renforcées par rapport à la directive de 1995.

Toutefois, le RGPD a introduit des exceptions à la nouvelle définition de consentement. Ce mécanisme fragilise la protection que le texte octroie aux personnes concernées.

En effet, quand on voit la facilité avec laquelle les services numériques obtiennent les consentements de leurs utilisateurs sans que ces derniers ne lisent les informations « privacy » de ces sites, il est raisonnable de se demander s’il ne fallait pas restreindre ces possibilités d’exceptions aux règles protectrices du consentement. Est-ce toujours sensé de laisser les conditions de notre protection entre nos mains pour, par exemple, permettre le traitement de nos données de santé ou des transferts hors UE ? Dans le cas où la société entend transférer les données à caractère personnel d’une personne concernée en-dehors de l’UE, elle doit en avoir une base juridique adéquate. Le consentement peut être une de ces bases juridiques.

Pour être correct et valable, le consentement doit être :

1. Libre

La personne concernée doit disposer d’une véritable liberté de choix : elle doit être en mesure de refuser ou de retirer son consentement sans subir de préjudice. Le consentement est présumé ne pas avoir été donné librement si le consentement doit être donné en une fois pour différentes opérations de traitement des données à caractère personnel ayant des finalités différentes. Dans cette hypothèse, plusieurs consentements doivent être donnés séparément.

Important : il ne faut pas qu’il existe un déséquilibre manifeste (par exemple hiérarchique ou face à une autorité publique – considérant 43 du RGPD), entre la personne concernée et le responsable de traitement. La personne concernée ne doit véritablement subir aucune pression même purement commerciale (des coûts en plus si le consentement n’est pas donné) lorsqu’elle est amenée à choisir entre donner ou ne pas donner son consentement à la collecte de données qui la concerne ;

2. Spécifique

Le consentement peut être demandé pour plusieurs opérations à la fois si ces différentes opérations ont comme objectif la même finalité. A contrario, si un responsable du traitement désire traiter les données collectées sur la base d’un consentement pour une autre finalité, il devra redemander le consentement aux personnes concernées ;

3. Éclairée