24 Avril 2018
Droit européen et international

Le règlement européen sur la protection des données à caractère personnel (appelé plus couramment, RGPD) est entré en vigueur le 24 mai 2016 et devient obligatoirement applicable le 25 mai 2018. Nombreuses sont encore les personnes qui croient pouvoir occulter la mise en application de ce texte.

Notre propos, qui se veut concis et accessible, est principalement destiné aux retardataires et aux professionnels récalcitrants.

En effet, le RGPD est considéré par de nombreux agents économiques comme une nouvelle contrainte les empêchant d’exercer sereinement leur activité principale.

S’il est vrai que les agents économiques doivent nécessairement repenser le traitement des données personnelles qu’ils effectuent (ce qui est une opération certes fastidieuse), il n’est pas moins vrai que la mise en application des nouvelles règles est susceptible d’apporter des avantages concurrentiels certains.

Dans le monde que nous connaissons et le marché rudement concurrentiel sur lequel les agents économiques évoluent, un tel avantage apparaît non négligeable.

Comment faire donc pour s’y conformer ?

Voici quelques réponses brèves à quelques questions fréquemment posées.

Qui est concerné ?

Les protagonistes qui collectent ou traitent des données personnelles doivent mettre en application le règlement si leur siège social ou le siège d’au moins un des établissements sont situés sur le territoire de l’Union européenne.

Tel est également le cas des agents économiques domiciliés dans un Etat tiers à l’Union européenne s’ils collectent ou traitent des données à caractère personnel de personnes résidant dans un État membre (articles 2 et 3).

Plus généralement, doivent mettre en application le RGPD « les personnes physiques ou morales, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel » (article 4).

En revanche, ne sont pas concernées par le RGPD les personnes physiques dans le cadre d’une activité strictement personnelle ou domestique et les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite ou d’exécution de sanctions pénales.

Ainsi,les agents économiques évoluant sur le marché européen ou commercialisant leurs produits au sein de l’Union européenne sont concernés par le RGPD.

Qu’est-ce qu’une donnée personnelle ?

Constitue une donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4).

L’identification de la personne s’opère avec son nom, prénom, date et lieu de naissance, lieu de résidence, …

Sont identifiables, directement ou indirectement, les personnes physiques par le biais d’un identifiant, données de localisation, un identifiant en ligne, …

Ainsi,les employeurs disposent des données personnelles de leurs salariés, les professionnels qui émettent des cartes de fidélité disposent des données personnelles de leurs clients, les opérations marketing et de communication ne deviennent possibles que parce que des données personnelles sont utilisées, … .

Qu’est-ce qu’un traitement ?

Constitue un traitement de données personnelles « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles » (article 4).

Un agent économique traite des données personnelles quand il collecte ces données, les enregistre, les organise, les structure, les conserve, les adapte ou procède à leurs modification, extraction, consultation, transmission, diffusion…

Les agents économiques traitent des données personnelles soit parce qu’ils emploient des salariés, soit parce que leur clientèle est constituée d’une personne physique au moins. Les professionnels libéraux ne bénéficient pas de régime de faveur, ils sont aussi soumis au RGPD.

Ainsi, l’on traite des données personnelles, à titre d’exemple, quand on renseigne le registre du personnel, on établit un contrat de travail, on émet une facture au bénéfice d’une personne physique, on enregistre et on stocke des donnée figurant sur un formulaire rempli par un client aux fins d’émission d’une carte de fidélité, on envoie des offres promotionnelles par courriels … .

Quel est le préalable nécessaire au traitement des données personnelles ?

Pour traiter des données personnelles, il faut avoir obtenu, au préalable, le consentement de la personne concernée.

Aux termes du règlement, le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel fassent l’objet d’un traitement » (article 4).

Autrement dit, les agents économiques doivent informer les personnes physiques, avant la formalisation de toute relation contractuelle, qu’ils envisagent, qu’ils doivent ou qu’ils procèdent au traitement de données personnelles (article 6).

Les personnes doivent nécessairement être informées de la finalité du traitement.

Si, en revanche, au cours de la relation commerciale, l’agent économique envisage l’utilisation de ces données pour une finalité différente que celle initialement portée à la connaissance de la personne physique, il doit informer la personne concernée et obtenir son consentement pour cette nouvelle finalité (article 6).

Par ailleurs, les personnes que le règlement vise à protéger doivent être informées des droits dont elles disposent, à savoir : accès, rectification, effacement, opposition, limitation, traçabilité et portabilité de leurs données.

Ainsi,les agents économiques doivent être en mesure de prouver qu’ils ont obtenu, avant tout début de relation contractuelle, le consentement libre et éclairé de la personne physique.

Comment formaliser le consentement ?

Le consentement pour le traitement de données personnelles peut naturellement faire l’objet d’un écrit spécifique.

L’information au titre du traitement des données personnelles peut également être incorporée dans l’un des documents suivants : conditions générales de vente, de service ou d’utilisation, contrats de travail, promesses d’embauche, devis, lettres de mission, contrats de prestation de service, …

Toutefois, l’agent économique doit être en mesure de pouvoir démontrer que le consentement donné est libre et éclairé (article 7).

Par ailleurs, le règlement prévoit expressément que : « Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens » (article 12).

Se pose donc nécessairement la question de la formalisation de la preuve.

Naturellement, les avancées technologiques le permettent, mais peut-on systématiquement considérer, dans ce cas de figure, que le consentement de la personne concernée avait été suffisamment éclairé ?

Une réitération par écrit, à tout le moins à titre de précaution, paraît justifiée.

Ainsi, une attention particulière doit être attachée à la rédaction des documents susvisés et la traçabilité du consentement de la personne concernée.

Doit-on adapter les sites Internet au RGPD ?

Les sites internet sont souvent un moyen pour obtenir des données personnelles.

Les conditions générales de vente ou les conditions générales d’utilisation accessibles sur les sites internet peuvent être un moyen pour informer le consommateur du traitement de ses données.

Néanmoins, l’attention du consommateur doit être attirée et il doit exprimer sa volonté de contracter. La pratique des cases « précochées » est manifestement à prohiber.

Ainsi,le site internent doit nécessairement être configuré pour permettre l’obtention d’un consentement libre et éclairé.

Quels sont les droits des personnes physiques protégées par le règlement ?

Comme il a été précisé ci-dessus, les personnes concernées disposent de droit d’accès, de rectification, d’effacement, d’opposition, de limitation, de traçabilité et de portabilité de leurs données (articles 15 à 22).

En cas d’exercice d’un ou plusieurs de ces droits, la personne doit adresser une demande au responsable du traitement.

Le responsable du traitement doit y répondre dans un délai d’un mois. Le délai peut être, exceptionnellement, prorogé de deux mois, « compte tenu de la complexité et du nombre des demandes » (article 12).

Ce service est offert à la personne concernée par l’agent économique.

Toutefois, en cas d’abus par la personne concernée (i.e. demande manifestement infondée ou excessive), le responsable du traitement peut :

exiger le paiement de frais « raisonnables »(sic) tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ;
refuser de donner suite à la demande émise (article 12).

La charge de la preuve quant à l’existence d’abus incombe au responsable du traitement. La conservation des preuves à ce titre apparaît indispensable.

Ainsi,au regard des courts délais de réponse imposés par le règlement, il semble utile que chaque agent économique prépare d’ores et déjà des modèles de réponse.

Qui est le garant de la sécurité des données ?

Chaque protagoniste, chargé du traitement de données personnelles, est garant de la sécurité et de leur conservation.

L’un des principaux objectifs du règlement est d’imposer aux agents économiques la sécurisation des données qu’ils traitent. Autrement dit, le règlement vise à éviter « la violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4).

L’agent économique doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

L’agent économique, en sa qualité de responsable du traitement, doit s’assurer que son système informatique, ses moyens de communication mais son personnel également ne permettent aucune « faille » dans la sécurité.

Ainsi,une vérification du parc informatique, une formation du personnel et une adaptation des clauses contractuelles semblent s’imposer.

Quelles démarches en cas de défaillance dans la sécurité ?

En cas d’une violation des données personnelles traitées par un agent économique, il doit en informer l’autorité de contrôle dans les meilleurs délais et au plus tard 72 heures après la constatation (article 33).

De surcroît, si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique l’information à la personne concernée « dans les meilleurs délais »(sic) (article 34).

Dans les deux cas de figure, la notification doit comporter un certain nombre d’informations récapitulées dans le règlement.

Ainsi,il apparaît opportun que l’agent économique se dote d’ores et déjà de modèles de courriers, ce qui lui permettra de gérer au plus vite les notifications des failles dans la sécurité de son système.

Qui est responsable du traitement et quelles sont ses obligations ?

Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement » (article 4).

Les agents économiques apparaissent comme des responsables du traitement au sens du règlement.

Le responsable du traitement s’assure de l’obtention du consentement de la personne concernée, de la finalité du traitement et de la sécurité dans la conservation et la gestion des données personnelles (article 24).

Ainsi,les agents économiques, personnes physiques ou morales, sont des responsables du traitement.

Les responsables du traitement peuvent-ils sous-traiter la charge résultant du règlement ?

Le sous-traitant au sens du RGPD est une « personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (article 4).

D’une certaine mesure, le responsable du traitement peut sous-traiter le traitement de données. En revanche, il ne pourra pas s’exonérer de toute responsabilité à ce titre.

La relation entre le sous-traitant et le responsable du traitement est régie par un contrat qui définit l’objet et la durée du traitement, le type de données à caractère personnel, la catégorie de personnes concernées, les obligations et les droits du responsable de traitement (article 28).

Naturellement, une attention toute particulière doit être consacrée à la rédaction de ce contrat.

Ainsi,si la structure du responsable du traitement ne lui permet pas d’assumer la charge que le RGPD lui impose, il peut avoir recours à un sous-traitant. Cela ne le dispense pas de toute responsabilité.

Un registre de traitement doit-il être nécessairement tenu ?

Le registre du traitement doit contenir : le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données ont été ou seront communiquées, les informations relatives au transfert des données à un pays tiers à l’Union européenne, les délais pour l’effacement des données et les mesures de sécurité mises en œuvre (article 30 point 1).

Dans l’hypothèse où un sous-traitant intervient, il tient aussi un registre du traitement (article 30 point 2).

Le registre du traitement n’est pas obligatoirement tenu par les entreprises ou les organisations comprenant moins de 250 salariés, sauf si « le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des catégories particulières de données … » (article 30 point 5).

Ainsi,il apparaît que nombreux sont les protagonistes concernés par la tenue d’un registre. En effet, sont concernés les agents économiques assurant un traitement qui présente une certaine « pérennité ».

Quel est le rôle du délégué à la protection des données ?

Le délégué à la protection des données (ou Data Protection Officer – DPO) est désigné par le responsable du traitement et le sous-traitant.

Le DPO est désigné sur la base de ses qualités et connaissances professionnelles.

Il peut être salarié de l’entreprise ou un tiers (article 37).

Le DPO :

informe et conseille le responsable du traitement ou le sous-traitant ;
contrôle le respect de la législation en matière de données personnelles par ces derniers ;
dispense des conseils ;
coopère avec l’autorité de contrôle et fait office de point de contact avec cette autorité.

La désignation d’un DPO est obligatoire si les responsables de traitement et les sous-traitants :

appartiennent au secteur public ;
si leur activité les amène à réaliser un suivi des personnes à grande échelle ;
si leur activité est en lien avec le traitement à grande échelle de données « particulières » ou relatives à des condamnations pénales.

Dans les autres cas, la désignation est facultative, sauf si le droit de l’Union européenne ou de l’Etat membre les y oblige.

Quelles sanctions ?

En cas de non respect de la réglementation en matière de données personnelles, des sanctions d’ordre administratif, pénal et civil peuvent être prononcées.

Les agents économiques négligent souvent les sanctions civiles et se focalisent sur l’importance des sanctions administratives et pénales.

Or, il ne faut pas négliger la possibilité offerte à un particulier de saisir, de sa propre initiative, les juridictions civiles pour solliciter l’indemnisation de ses entiers préjudices découlant du non-respect par un agent économique de la législation en vigueur en matière de protection des données personnelles.

Ainsi, compte tenu de la place qui est accordée à cette nouvelle législation, il apparaît nécessaire de s’y conformer d’une part, pour ne pas s’exposer à un tel risque et d’autre part, pour ne pas ternir sa réputation sur le marché.