RGPD (Règlement général sur la protection des données) et la loi du 20 juin 2018 : La protection des données personnelles en France (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles
Eu flag.png


Article publié sur la blog ip NEWS
Eugénie Chaumont
Septembre 2018


Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces 
données plus couramment appelé Règlement Général européen de Protection des Données personnelles [1] (RGPD) est entré en vigueur le 25 mai 2018.
Voici un aperçu des adaptations de la loi française suite à l’entrée en vigueur du RGPD.


Introduction

Ce règlement a été préparé, non sans difficultés, entre 2012 et 2016 et vise avant tout àprotéger les citoyens européens de la mauvaise utilisation qui pourrait être faite de leurs données personnelles (nom, prénom, date de naissance, adresse mais aussi identifiant IP …) en particulier par les entreprises surnommées les GAFA (Google, Apple, Facebook et Amazon) qui ont fait beaucoup de lobbying à son encontre.


Ce texte étant un Règlement et non une Directive, il est d’application directe et cela notamment pour lutter contre le forum shopping (le choix par exemple d’installer son siège social dans un pays européen plutôt qu’un autre pour bénéficier de lois moins contraignantes ou plus intéressantes notamment fiscalement).


Malgré une volonté d’harmonisation, les parlementaires et la Commission européenne ont laissé une certaine liberté aux Etats membres en prévoyant pas moins de 56 renvois au droit national.


Certains pays ont été plus rapides que d’autres pour adapter leur droit national, l’Allemagne par exemple a adopté sa loi correspondante il y a plus d’un an.


En France, les discussions ont été nombreuses et la loi 2018-493 dite aussi CNIL3 a finalement été promulguée après l’entrée en vigueur du règlement européen, soit le 20 juin 2018 et publiée le lendemain au journal officiel [2].


La procédure d’urgence a été utilisée mais il y a eu de nombreux aller-retours entre le Sénat et l’Assemblée nationale et cela s’est conclu par un passage devant le Conseil Constitutionnel.


De plus, notre loi prévoit près de 20 décrets d’application qui devront être précédés d’un avis de la CNIL pour la plupart, ce qui laisse présager des mois de travail avant que la loi ne s’applique complètement. Un premier décret a néanmoins été publié dès le 3 aout 2018.


Une Ordonnance de réécriture de la Loi Informatique et Liberté est prévue dans un délai de 6 mois afin de donner une meilleure lisibilité à ce cadre juridique pour le moins composite.


Ces textes, qui se complètent, consacrent la reconnaissance de nouveaux droits aux citoyens européens dans un univers numérique et renforcent la responsabilité des opérateurs avec des pouvoirs élargis de la CNIL.


Application des textes

Le RGPD comme la loi française prévoient, de façon classique, une application de leurs dispositions aux responsables établis sur leurs territoires.


Ces textes prévoient également une application aux responsables établis hors Union européenne (UE) ou France dès lors que la personne concernée par le traitement de données se trouve sur un de ces territoires.


C’est le critère de résidence du public visé qui est retenu et pour vérifier s’il est rempli il faudra utiliser la méthode du faisceau d’indices en vérifiant notamment la langue du site web, la monnaie prévue …


Le RGPD prévoit d’ailleurs la désignation par les entreprises hors UE d’un représentant dans l’Union.


La protection des personnes

Le consentement numérique des mineurs

L’âge du consentement numérique prévu par le Règlement est de 16 ans mais avec la possibilité d’être baissé par les Etats membres au maximum à 13 ans.


La France a choisi l’âge de 15 ans dans une volonté d’harmonisation avec la majorité sexuelle, l’âge d’accès à la conduite accompagnée mais également l’âge à partir duquel les données de santé d’un mineur peuvent être prises en compte par les sondages.


L’Allemagne et les Pays-Bas ont gardé l’âge de 16 ans alors que le Royaume-Uni, l’Irlande ou l’Espagne (et la Belgique) ont choisi 13 ans, ce qui correspond à l’âge normalement « exigé » pour créer un compte Facebook.


Pour les mineurs qui n’auront pas l’âge requit le consentement d’une personne ayant l’autorité parentale sera nécessaire en plus du leur.


Les « nouveaux » droits des citoyens

Droit à la portabilité des données

L’article 20 du RGPD consacre ce droit d’obtenir de la part du responsable du traitement les données fournies par une personne « dans un format structuré, couramment utilisé et lisible par machine ».


Le but de ce nouveau droit est de rendre les citoyens moins captifs d’un fournisseur d’adresses mails ou d’un réseau social.


Droit à l'oubli

Ce droit, aussi appelé droit à l’effacement, a été consacré dès 2014 par la CJUE dans l’affaire Google Spain en ce qui concerne les moteurs de recherche.


Une liste de motifs justifiant cette demande est prévue par le RGPD mais celui-ci prévoit également des exceptions comme l’exercice du droit à la liberté d’expression ce qui va certainement donner lieu à débat dans certains cas.


Le responsable du traitement est sensé procéder à l’effacement « dans les meilleurs délais » et il sera intéressant de voir le délai retenu concrètement par les juges dans les cas d’espèce.


Action de groupe

La nouvelle loi française élargit l’action de groupe en matière de données personnelles mise en place en 2016.


Elle prévoit surtout la possibilité d’agir pour faire cesser un manquement mais également pour « obtenir la réparation des préjudices matériels et moraux subis » et donc le versement de dommages intérêts.


La loi française précise quelles associations et organisations syndicales peuvent engager une telle action et le fait générateur doit être postérieur au 24 mai 2018.


De nouvelles obligations pour les opérateurs

Auparavant, notre système était basé sur des formalités préalables (déclarations, demandes d’autorisation …), désormais c’est une vraie responsabilisation des acteurs a posteriori avec différentes mesures à mettre en place a priori.


Ces textes renforcent les devoirs d’information des opérateurs et insiste sur le fait qu’ils doivent obtenir un consentement préalable au traitement des données personnelles.


Le RGPD a rendu obligatoire la désignation d’un Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) pour la plupart des autorités et organismes publics. Il est également exigé pour les entreprises dont les opérations de traitement des données exigent un « suivi régulier et systématique à grande échelle des personnes concernées ».


Il a plusieurs fonctions à la fois d’information, de contrôle et de coopération avec l’autorité de contrôle.


Le rôle de la CNIL renforcé

Le rôle de la Commission Nationale de l’Informatique et des Libertés (CNIL) a été renforcé car celle-ci se voit confier de nombreuses missions de régulation.


Son cadre d’intervention est très détaillé et surtout il est prévu que ses agents puissent utiliser une identité d’emprunt pour ne pas se faire identifier en ligne.


Les sanctions qu’elle peut prononcer sont également renforcées et diversifiées :


  • Avertissement
  • Mise en demeure
  • Rappel à l’ordre
  • Injonction de mise en conformité avec astreinte (ne pouvant excéder 100 000 Euros par jour de retard)
  • Limitation temporaire ou définitive du traitement
  • Retrait d’une certification
  • Suspension des flux de données
  • Amende administrative (jusqu’à 4 % du chiffre d’affaires ou 20 millions d’Euros).


Par ailleurs, pour les personnes physiques, un délit d’entrave est prévu et puni de 1 an d’emprisonnement et 15 000 Euros d’amende.


La publication de l’ordre du jour des séances plénières est également une nouveauté, la première publication [3] de la séance du 6 septembre est déjà en ligne.


Les citoyens semblent informés de l’existence de ces nouvelles dispositions.


En effet, il y a eu, en 100 jours, une hausse de plus de 50% des plaintes par rapport à la même période en 2017 selon la CNIL qui prévoit de publier un rapport [4] à ce sujet.


Dans un décret d’application publié le 3 août a prévu qu’un silence de la CNIL pendant un délai de 3 mois valait rejet de la réclamation or on peut s’interroger sur le fait que cet organisme se verra doter des moyens financiers suffisants dans la loi de finances.


Auteure invitée : Eugénie Chaumont