• 63 Cours Balguerie Stuttenberg, Bordeaux
  • (+33) 5 56 69 73 24

La mise en application du règlement sur la protection des données à caractère personnel

Comme nous avons eu l’occasion de le préciser dans le cadre d’une précédente tribune[1], le règlement européen sur la protection des données à caractère personnel (appelé plus couramment, RGPD) est entré en vigueur le 24 mai 2016 et devient obligatoirement applicable le 25 mai 2018 dans tous les Etats membres de l’Union européenne.

Ce texte a récemment suscité de nombreuses interrogations et inquiétudes de la part des agents économiques concernés par son application. Nombreux parmi eux semblent d’ailleurs retardataires et appréhendent la date fatidique du 25 mai 2018.

Ces craintes sont-elles légitimes ?

Tout d’abord, s’agissant d’un règlement au sens de l’article 288 du Traité sur le fonctionnement de l’Union européenne, le RGPD est obligatoire dans toutes ses dispositions et est directement applicable dans l’ordre interne de chaque Etat membre. Le texte européen se suffit à lui-même, donc.

La date fixée dans le règlement pour la mise en application est le 25 mai 2018 et les agents économiques français ne peuvent pas opposer l’absence, pour l’heure, d’une loi française reprenant les termes de ce règlement pour justifier leur retard.

En France, un projet de loi relatif à la protection des données personnelles a été déposé le 13 décembre 2017.

Après moult péripéties, le projet de loi a été adopté en lecture définitive par l’Assemblée nationale le 14 mai 2018.

Mais, le 16 mai suivant, le Conseil constitutionnel a été saisi par plus de 60 sénateurs en application de l’article 61 alinéa 2 de la Constitution[2].

Ainsi, tout laisse à croire que cette loi ne pourra pas entrer en vigueur concomitamment à la mise en application du règlement susvisé.

L’absence d’une telle loi pourrait-elle être préjudiciable aux agents économiques ?

La question semble pouvoir se poser dans les cas de figure dans lesquels le règlement laisse une marge de manœuvre et d’appréciation aux Etats membres pour l’application du règlement.

Pour illustrer notre démonstration, prenons comme exemple l’article 8 du règlement aux termes duquel :

« … en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de seize ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Les Etats membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en dessous de 13 ans. [3]»

Ainsi, une latitude est laissée aux Etats membres pour fixer l’âge de consentement au sens du RGPD entre 13 et 16 ans.

En l’absence d’un tel texte en France, pour l’heure, le premier alinéa ci-dessous s’applique pleinement et seuls les enfants âgés d’au moins 16 ans pourront valablement exprimer leur consentement.

Ainsi, les difficultés éprouvées en France pour la promulgation de la loi relative à la protection des données personnelles ne sauraient constituer un empêchement pour les agents économiques installés en France pour la mise en œuvre du RGPD.

Puis, très légitimement, au regard de la lourdeur du dispositif, ces mêmes agents économiques se posent la question de savoir si la Commission nationale Informatique et Liberté (la CNIL) adoptera une politique de tolérance à l’égard des retardataires.

Nous ne pouvons pas faire mieux que de reprendre la déclaration de la CNIL dans sa conférence de presse du 10 avril 2018, à savoir :

« Un contrôle pragmatique du respect du RGPD à partir du 25 mai 2018

Dans les premiers mois de mise en œuvre du RGPD, la CNIL distinguera lors de ses contrôles deux types d’obligations s’imposant aux professionnels.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD(droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes. »[4].

En guise de propos conclusif, il nous semble utile d’accorder un bref instant à la proposition du fameux règlement européen « E-PRIVACY » ou « vie privée et communication électronique » qui a fait couler beaucoup d’encre ces derniers temps.

Le texte de cette proposition en date du 17 janvier 2017 prévoyait à son article 29 que ce règlement deviendra applicable à partir du 25 mai 2018, soit en même temps que le RGPD.

La concomitance de dates semble s’expliquer par les similitudes des objectifs des deux règlements.

En effet, la proposition E-PRIVACY a pour objectif de « fournir un niveau élevé de protection de la vie privée aux utilisateurs des services de communications électroniques, et des conditions de concurrence équitables à tous les acteurs économiques »[5].

Très schématiquement, ce projet s’apparente à une lutte contre l’utilisation abusive de « cookies » sans le consentement de l’internaute et son « tracking » à des fins publicitaires, de nouveau, sans son consentement.

Cette proposition n’a pas encore vu le jour au regard des nombreuses oppositions de la part des Etats membres.

Ainsi, le 25 mai prochain, vous n’aurez à vous concentrer que sur le RGPD !

[1]https://www.cabinet-cliquet.eu/2018/04/24/la-protection-des-donnees-personnelles-que-faut-il-savoir-pour-se-conformer-au-reglement-europeen.

[2]Voir en ce sens : http://www.assemblee-nationale.fr/15/dossiers/donnees_personnelles_protection.

[3]Mis en gras par nos soins.

[4]Voir : www.cnil.fr (dossier_de_presse_cnil_bilan_2017_et_enjeux_2018).

[5]Voir : Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privé et la protection de données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE.