Synthèse du règlement sur la protection des données

De La Quadrature du Net
Révision de 17 octobre 2016 à 17:07 par Tink (discussion | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)


Ambox warning red construction.png
⚠ Travail en cours

Cette page présente un contenu en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Autres langues :
English • ‎français

La réforme européenne du droit de la protection des données personnelles comprend l'adoption :

  • d'un règlement qui encadre les traitements de données personnelles d'une manière générale
  • d'une directive (analyse) sur le traitement de données personnelles par les services de police et la justice

Ce « paquet législatif » a pour objectif de mettre à jour les règlementations européennes sur la protection des données personnelles, pour les adapter aux transformations de la société, dues aux nouvelles technologies. La directive 95/46/CE[1] pour la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données présentait en effet des lacunes profondes, notamment concernant la protection des données sur Internet et l'application hétérogène du droit à la protection des données à travers l'Union.

Le règlement (regulation en anglais) est applicable directement en droit national, contrairement à la directive. C'est à dire que Alice peut défendre les droits que lui confère un règlement devant un tribunal français.


En italique, les passages effacés du texte du Parlement Européen dans la version du Conseil

En gras, les passages ajoutés dans la version du Conseil de l'Union européenne

Sommaire

Génèse et suivi de la réforme

La proposition de règlement de l'Union européenne portant sur la protection des données personnelles a été publiée par la Commission européenne (le « gouvernement » de l'Union européenne) le 25 janvier 2012, sur proposition de Viviane Reding, alors Commissaire des droits fondamentaux. Elle est accompagnée d'une directive [2] [Voir synthèse] ayant pour mission de prévenir, détecter ou de poursuivre les infractions pénales et d'appliquer les peines correspondantes. Cette directive est surnommée directive police et justice, dans la mesure où elle s'applique aux traitements de données personnelles faits par ces les secteurs judiciaires et policiers.

Le Parlement européen a modifié ce règlement et l'a adopté en 1ère lecture, le 12 mars 2014 [3] [4]. Le Conseil de l'Union européenne (qui réunit les ministres des Etats membres) a lui aussi proposé un texte amendé et les négociations se sont poursuivies en procédure de conciliation, plus communément appelée trilogue car elle réunit des délégations de la Commission européenne, du Parlement européen et du Conseil de l'UE. Cette forme de négociation est extrêmement controversée car faite « derrière des portes closes », sans transparence sur le processus décisionnel ayant amené aux compromis.

Les négociations ont pris fin le 15 décembre 2015. Le projet final a été voté en Commission LIBE le 17 décembre et le texte final du règlement[5] a été voté le 14 avril 2016. Il a été voté concomitamment avec la directive sur les données personnelles (dite directive police justice) et la directive Passenger Name Record (PNR), qui elles sont particulièrement sécuritaires.

Le règlement a été publié au Journal Officiel (JO) de l'Union Européenne le 4 mai 2016.

Le règlement sera applicable à partir du 25 mai 2018 (mais est en vigueur depuis le 27 avril 2016).

Généralités

Le champ d'application territorial du règlement

Cet article démontre que le rôle et les obligations du sous-traitant ont étés renforcés, réparant ainsi l'une des grandes lacunes de la Directive de 95 et de la loi Informatique et Libertés. Notons tout de même que le Conseil de l'Union européenne a essayé de freiner cette évolution positive lors des négociations.

Parlement européen Conseil de l'Union européenne Version finale
1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union. 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless

of whether the processing takes place in the Union or not.

Le règlement a vocation à s'appliquer « que le traitement des données ait lieu ou pas dans l’Union ».


Évolutions lors du processus de négociation : Le Conseil de l'Union européenne a tenté d'effacer la mention « que le traitement des données ait lieu ou pas dans l’Union » pour créer un vide juridique concernant la délocalisation des traitements. Si sa volonté avait été appliquée les conséquences auraient été dramatiques, puisque le règlement aurait été inapplicable lorsque des traitement sont situés dans des pays extérieurs à l'Union, tandis que le siège du responsable est au sein de l'Union européenne. Les calculs politiques sont à lire à la lumière du context actuel, où de plus en plus de traitements sont délocalisés, par exemple en Inde (où les données sont par exemple stockées).

Parlement européen Conseil de l'Union européenne Version finale
2. This Regulation applies to the processing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of such data subjects

2.This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment by the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

2. This Regulation applies to the processing of personal data of data subjects who are in the

Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union.

Le règlement s'applique également au responsable du traitement des données et au sous-traitant, non-établis dans l'Union, lorsque leurs activités de traitement concernent l'offre de biens ou de services, ou la surveillance des comportement des personnes résidant dans un pays de l'Union européenne (article 3§2).
La surveillance du comportement d'un utilisateur signifie que ce dernier est « suivi » sur internet au moyen de techniques de traitement de données qui consistent au profilage d'un individu. Ce profilage est mis en place pour prendre des décisions le concernant, ou pour analyser voire prédire son ou ses préférences personnelles, son comportement et ses attitudes, sa santé, ses mouvements, sa position (considérant 24, article 4).


Évolutions lors du processus de négociation : Dans le même esprit que les évolutions présentées au paragraphe précédent, à cause du Conseil de l'Union européenne la mention « sous-traitant » (processor en anglais) a failli être retirée (article 3§2) dans les cas où les activités de traitement concernent des personnes résidant dans l'Union européenne. Cette modification aussi, si elle avait été appliquée à la version finale du règlement, aurait créé un vide juridique lorsque les données sont envoyées à l'étranger pour être traitées.

Définitions (art. 4)

L'article 4 resence les notions utilisées dans le règlement.

  • Profilage : Voir l'encart sur le profilage.
  • Pseudonymisation : La définition de données anonymisées a été supprimée par le Conseil de l'Union européenne en faveur de « pseudonymisation ». La pseudonymisation est définie par le traitement de données personnelles de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d'autres informations. La définition ajoute que pour qu'un processus de pseudonymisation soit considéré comme réalisé, les autres segments d'information doivent être « gardés séparément » et faire l'objet de mesures techniques et organisationelles assurant qu'elles ne puissent être attribuées à un individu identifié (ou identifiable). Cependant les recherches en ré-identification[6] montrent qu'il est extrêmement facile, à partir de données même « orphelines », de les recouper et d'identifier un individu.Cette définition n'offre pas de garanties suffisantes.
  • Fuites de données (data breach en anglais) : Elles sont définies comme des failles de sécurité donnant lieu, accidentellement ou de manière illicite, à la destruction, la perte, l'alteration, la divulgation... des données. Remarque :: Cette définition est dangereuse : une perte de données (cf. scandale Sony) ne peut pas etre constituée que s'il y a eu une faille de sécurité. Si quelqu'un en interne vole les données, il n'y a alors pas de faille de sécurité, pourtant une fuite de données est bel et bien constituée.
  • Consentement : Voir encart dédié.
  • Personne concernée (data subject en anglais) : Cette définition n'est pas notable en soi, mais la doctrine[7] est critique sur le fait que la seule distinction (nouvelle) faite parmi les personnes physiques protégées est celle entre adultes et enfants.
  • Donnée personnelle : Cette définition reprend la définition de la loi Informatique et Libertés, selon laquelle c'est une donnée qui permet, directement ou indirectement, d'identifier une personne physique. Le règlement reprend aussi la distinction entre données personnelles et données sensibles (art. 9), pour lesquelles le règlement innove en imposant un consentement plus marqué lorsqu'il permet un traitement de données sensibles (le consentement doit être « explicite » au lieu de « dénué d'ambiguité » pour les données personnelles non sensibles).
En ce qui concerne la question de savoir si une adresse IP est une données personnelle, le considérant 24 nous indique qu'elle n'en est pas une. C'est compréhensible dans la mesure où une entreprise entière utilise la même adresse IP. Mais lorsqu'il s'agit d'un usage privé, l'adresse IP est hautement intrusive. C'est pour cette raison que la CNIL a pris position en la matière, en soulignant que pour elle une adresse IP est une donnée personnelle. Rappelons que le G29 (groupe des CNIL européennes) a pris position en la matière dans son avis du 20 juin 2007[8], où il a déclaré que lorsqu'elles sont récoltées pour identifier une personne, les adresses IP sont des données personnelles.
  • Responsable du traitement (controller en anglais) : Il détermine la finalité et les moyens mis en place pour le traitement. La version de la Commission européenne le rendait aussi responsable des conditions du traitement mais le trilogue l'a déresponsabilisé de cet aspect du traitement. De cette déresponsabilisation découle une difficulté pour le consommateur à savoir qui est responsable de quoi, qui est son interlocuteur en cas de problème ou de question. On observe de ce fait un affaiblissement des recours possibles.
Il est par ailleurs clair que les moteurs de recherche sont des responsables de traitement au sens du règlement, mais le doute planne quant aux intermédiaires comme les plateformes d'hébergement type Facebook ou Twitter. Ce qui a de lourdes conséquences sur leurs obligations en terme de content takedown (cf. droit à l'oubli, articles 17 et 19) - même s'il est certain qu'ils seront reconnus responsables de traitement avec le temps.
  • Destinataire (recipient en anglais) : C'est celui qui reçoit des données personnelles. Il peut être une tierce partie. Cependant l'État peut ne pas avoir le statut de destinataire lorsqu'il reçoit des données dans le cadre d'une enquête... Cette disposition permet une déresponsabilisation des États, ce qui peut être dangereux car des mesures de sécurité doivent encadrer la collecte et le traitement de données.
  • Représentant : Le représentant est une personne morale ou physique établie dans l'Union européenne, qui est expressément désignée par le responsable du traitement ou le sous-traitant, afin de le représenter dans ses obligations. Le représentant peut-être l'avocat de l'entité (société ou autre, comme une association) qui traite les données. Le représentant n'est donc qu'un représentant (conseil juridique ou autre) et n'est pas responsable des actes du responsable du traitement.

Évolutions lors du processus de négociation :

La définition de ce que sont des données chiffrées a été supprimée par le Conseil ! C'est le signe inquiétant de la diabolisation rampante du chiffrement. Rappelons que le chiffrement est conseillé dans la Directive e-Privacy de 2002 (cons. 20).

Le consentement de la personne concernée (art. 4(§11), 6, 7, considérant 32)

Le règlement consacre que le consentement doit généralement être donné en étant « univoque » ( « manifestation de volonté, libre, spécifique, éclairée et univoque », art 4(§11)) pour tout traitement de données personnelles, sauf pour le traitement de données sensibles où le consentement doit être donné de façon « explicite ».


Définition du consentement

La personne concernée doit donner son accord avant que le responsable puisse procéder au traitement de ses données personnelles (article 6§1). Le Responsable de traitement doit être en mesure de prouver que le consentement a été donné (charge de la preuve) et il est désormais prévu que la personne concernée puisse retirer son consentement aussi aisément qu'elle l'a donné. Ce point est une grande avancée par rapport au droit des données personnelles tel qu'il est appliqué aujourd'hui.

L'autre grande différence avec la directive de 1995, qui autorisait un consentement passif, est que le considérant 32 prévoit que le consentement ne peut qu'être exprimé par un « acte positif clair ». Par exemple, une case cochée par défaut n'est plus suffisante. Il faut que la personne coche elle-même la case signalant qu'elle a donné son consentement.

Au sens du considérant 32 et de l'article 4(§11) le consentement doit être :

  • libre ;
  • spécifique (c'est à dire, pour un traitement en particulier, il ne vaut que pour la finalité présentée) ;
  • éclairé ;
  • univoque.

Lorsque le consentement porte sur des données sensibles (dites « catégories particulières de données » dans le règlement, plus données sensibles), un consentement univoque ne suffit plus, il doit être explicite. Pourtant, d'après la définition du consentement à l'article 4(§11), ce dernier est explicite aussi. Qu'on trouve les termes « univoque » et « explicite » (§2(a) de l'art. 9) dans le règlement sera porteur d'incertitude juridique.


Attention : la condition d'obtention du consentement n'est pas absolue. Il y a des exceptions (voir infra). Il est possible de se passer du consentement de la personne concernée lorsqu'il existe, par exemple, un « intérêt légitime » pour le responsable de traitement ou un tiers. Cette dernière possibilité est une des failles les plus dangereuse du règlement. La notion d'« intérêt légitime » étant bien trop large et non-définie par le règlement.


Évolution lors du processus décisionnel : Dans une version antérieure l'article 4(§11) prévoyait l'exigence que le consentement de la personne concernée (le data subject) soit « libre, spécifique, informé et explicite ». Le texte final n'exige de consentement explicite que lorsque des données sensibles (comme des données de santé) sont traitées.

Évolution voulue par le Conseil de l'Union européenne : Le Conseil souhaitait que le consentement soit juste spécifique et informé. Il indiquait dans les considérant - à l'inverse du Parlement - qu'une navigation sur un site constitue un consentement suffisant (en fonction du paramétrage du navigateur). Heureusement, cette approche n'a pas été retenue.


Cas particulier de l'enfant

Bien que l'objectif du règlement soit une harmonisation du droit de la protection des données personnelles en Europe, lors des dernières négociations il a été décidé que les États membres seront libre de décider l'âge à partir duquel les parents n'ont plus à consentir au traitement des données personnelles de leur enfant.

Les États membres ont seulement pour obligation de choisir cet âge dans une fourchette entre 13 et 16 ans.

Cette liberté laissée par le règlement aux États va complexifier le respect de leurs obligations par les acteurs professionnels.

Conditions du consentement

Concernant les conditions du consentement, elles sont exposées par l'article 7 et le considérant 32, qui précise que lorsque le traitement ne requiert qu'un consentement univoque, ce consentement doit se traduire par une action positive claire (a clear affirmative action en anglais), écrite ou orale. Une case à cocher remplit cette condition, mais pas une case cochée par défaut. C'est une avancée pour le droit des données personnelles.

On voit dans l'évolution de l'article 7 que la force du consentement exigé a été considérablement décrue par le Conseil et l'accord final :

Parlement européen Conseil de l'Union européenne Propositions du CEPD (Contrôleur européen de la protection des données) Version finale

4. Consent shall be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the processing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b).

effacé

4. When assessing whether consent is freely given, it must be considered, among others: (a) whether there is a significant imbalance between the data subject and the controller, and (b) in cases of processing under Article 6(1)(b), whether the execution of a contract or the provision of a service is made conditional on the consent to the processing of data that is not necessary for these purposes.

4. When assessing whether consent is freely given, utmost account shall be taken of the fact whether, among others, the performance of a contract, including the provision of a service, is made conditional on the consent to the processing of data that is not necessary for the performance of this contract.

L'article 7 dispose que :

1) Le responsable de traitement doit pouvoir démontrer que le consentement a été donné par l'utilisateur pour le traitement des données personnelles, lors des traitements imposant un consentement préalable.

+ Cette disposition est intéressante en ce qu'elle porte la charge de la preuve sur le responsable de traitement.
- Lorsqu'on a affaire à un traitement mis en place pour l'intérêt légitime d'une entreprise, elle n'a pas à obtenir de consentement, donc n'a pas à se soucier de la charge de la preuve - ce qui est grave. En effet dans ces conditions il est tentant pour un professionnel de brandir l'intérêt légitime afin d alléger les procédures de préparation de preuves du consentement. Cette exception à l'obtention du consentement risque d'être exploitée à outrance, ne serait ce que pour des questions de couts procéduraux internes.

2) Le consentement doit être recueilli sur la base d'une explication claire. Si elle n'est pas claire, le consentement est nul et non avenu. 3) Possibilité de retirer son consentement à tout moment. Le consentement doit être aussi facile à retirer qu'à donner. 4) Le Parlement préconisait que le consentement soit limité à une finalité, et perde sa validité lorsque la finalité disparaît. Formulation finale plus vague : dans l'évaluation du consentement librement donné, on doit vérifier que l'exécution d'un contrat (ex: fourniture d'un service) est soumise au consentement d'un traitement de données personnelles qui est nécessaire.

- Le fait de ne pas limiter la collecte et le traitement aux objectifs précis permet de demander le consentement pour tout et n'importe quoi. Par exemple : le problème des applications mobiles qui demandent des autorisations à tort et à travers. Le règlement n'est pas suffisamment clair pour éviter cela. Ainsi en cas de problème, la structure qui recueille le consentement doit prouver qu'elle a absolument besoin des données en question pour l'exécution du contrat.

Évolution lors du processus de négociation : Le Parlement européen voulait que le consentement soit limité à une finalité, et perdre sa validité lorsque la finalité disparaît. C'est ce qui est impliqué par la définition du consentement, qui impose que ce dernier soit spécifique. Mais le Conseil de l'Union européenne et la version finale dénaturent la version du Parlement. Le texte a donc perdu en clarté et en prévisibilité. Le consentement peut désormais être détourné facilement par une entreprise pour une finalité autre que celle à laquelle l'utilisateur a donné son accord (voir les exceptions).

Exceptions à la nécessité du consentement

Un professionnel qui traite des données personnelles peut se passer du consentement de la personne concernée lorsque le traitement est rendu nécessaire :

  • pour l'exécution d'un contrat avec la personne concernée, ou à la suite d'une requête de la personne concernée et en vue de la conclusion d'un contrat avec elle (art. 6(1)(b))(*) ;
  • pour permettre au responsable de traitement de remplir une obligation légale (art. 6(1)(c))(*) ;
  • pour protéger les intérêts vitaux de la personne concernée par les données, ou les intérêts vitaux d'une autre personne physique (art. 6(1)(d))(*) ;
  • pour honorer une mission d'intérêt public ou que le responsable de traitement exerce une mission officielle donc il est investi (art. 6(1)(e))(*) ;
  • dans l' « intérêt légitime » du responsable de traitement ou d'une tierce partie à traiter les données personnelles est supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée (art. 6(f) ;
    • problème de prévisibilité de la loi ;
    • les personnes concernées n'ont pas la possibilité de s'opposer à cela ;
    • il est difficile de savoir exactement quelles données concernent les droits fondamentaux ; Quelles sont les données personnelles qui renvoient aux droits fondamentaux ? La question mérite d'être posée, puisque qu'il est par exemple peu probable que les données de localisation soient considérées comme relevant des droits fondamentaux, ce qui impliquerait que ces données peuvent être traitées sans le consentement de la personne concernée au nom d'un intérêt légitime quelconque (qui doit, au titre de l'article 14(c) être communiqué à la personne - mais « R&D » n'est pas un éclaircissement suffisant). Ces dispositions donc donc inquiétantes.
    • cette exception extrêmement dangereuse est ouverte à un nombre de personnes illimité et imprévisible de personnes en étant ouverte aux « tierce personnes » ;
    • il n'y a donc aucun garde-fou à l'interprétation de cet article à leur avantage par des entreprises qui pourront en faire une finalité à proprement parler (exemple si l'entreprise est en difficulté). Si l'intérêt légitime d'une entreprise permet de justifier le traitement des données sans le consentement, l'obligation de finalité spécifique de traitement - c'est à dire l'obligation d'accord de l'utilisateur avec l'objectif de chaque différent type de traitement opéré sur ses données - est vidée de son sens.
    • cela permettrait le recours au big data sans le consentement de la personne, si le responsable de traitement ou toute personne tierce estime ce recours justifié, notamment pour des raisons d'innovation.

(*) : Pour être licites, ces exceptions doivent être prévues en droit européen ou en droit national. De plus, elles doivent suivre un intérêt public et être proportionnées à l'intérêt légitime poursuivi (art. 6(3)).

Un article a été ajouté, sans doute à la suite de la pression exercée par le Conseil de l'Union européenne. Cet article est le 6(2a) et prévoit que le consentement puisse être contourné dans d'autres cas prévus par les États membres, tels que les cas mentionnés au Chapitre 9 du règlement. Ces cas sont notamment ceux de l'archivage dans l'intérêt public, scientifique, statistique ou historique. Ces finalités d'archivage sont cependant très larges et étendent amplement l'exception au consentement de l'utilisateur.


Pour savoir si le traitement des données pour un objectif autre que celui pour lequel le consentement a été recueilli est licite, il faut vérifier la compatibilité du traitement avec l'objectif initial (art. 6(3a)). Cela implique d'examiner :

  • le lien entre l'objectif initial et le nouvel objectif ;
  • le contexte de la collecte des données (relation entre le la personne concernée et le controleur, par exemple) ;
  • la nature des données personnelles collectées ;
  • les conséquences d'un traitement fondé sur le nouvel objectif pour les personnes concernées ;
  • les garanties apportées (type chiffrement ou pseudonymisation).

Il est à noter que cette liste n'est pas exhaustive, ce qui laissera à la jurisprudence la liberté de préciser et rallonger la liste de ces éléments.

Évolutions lors des négociations : Le Conseil voulait la possibilité d'un traitement des données pour un objectif incompatible avec l'objectif initial. Cette disposition (qui était alors la 6(4)) a été réintégrée en créant un nouvel article, le 6(2). Il a obtenu cela alors que ni la Commission, ni le Parlement, ni l'EDPS n'y étaient favorables. C'est inquiétant.

Le Conseil avait ajouté que le consentement pourrait être contourné afin d'autoriser des traitements supplémentaires pour les données relatives à la santé ou à la génétique. Ce n'est plus le cas.

Les droits des personnes concernées

Le droit à l'information

Transparence de l'information (Art. 12)

Le 4b de l'article 12 prévoit la possibilité pour le professionnel de donner les informations sur le traitement qui sera fait des données collectées sous forme d'icônes standardisées.

Commentaire : Il s'agit de s'assurer que les icônes données ne concernent que des renforcements des mesures prises pour protéger les données. En effet, une ancienne version de l'article 13 proposait six icônes, dont les trois premières représentaient le respect :

  • du principe de limitation de la collection au minimum d'informations nécessaires ;
  • du principe de minimisation des données conservées, c'est à dire qu'un acteur ne peut conservées que le strict minimum nécessaire à sa finalité ;
  • du respect du principe de finalité

Or le respect de ces principes est obligatoire. Indiquer leur respect avec des icônes porte donc à confusion, on imagine que les mesures prises sont exceptionnelles.

Droit à l'information (art. 13 et 14')

L'article 14bis 3bis précise que le responsable du traitement doit prévenir la personne concernée lorsqu'il veut réorienter le traitement vers un/des nouvelles finalités, et fournir certaines informations obligatoires si elles ont changé.

Cette disposition est perturbante, puisque tout changement de finalité doit toujours, par principe, faire l'objet d'une nouvelle obtention du consentement de la personne concernée. Cela découle de la définition même du consentement, qui doit être spécifique, c'est à dire donné pour un cas précis, à renouveler si le contexte change. Considérons qu'elle ne s'applique qu'aux cas où le consentement n'est pas à obtenir du data subject.

Données fournies par la personne (art. 13)

Lorsque les données personnelles sont fournies par la personne concernée le responsable du traitement doit l'informer des éléments suivant :

  • l’identité et les coordonnées du responsable ;
  • les finalités du traitement ;
  • si la fourniture de données est imposée par la loi, ou si c'est une obligation contractuelle (1bisg) ;
  • informations complémentaires (art. 14 1bis) :
    • La durée de conservation, et si possible le critère de décision de cette durée ;
    • Les droits cruciaux pour le contrôle de la personne concernée :
      • le droit d'accès,
      • de rectification,
      • d'effacement de ses données personnelles
      • le droit de s'opposer au traitement de certaines données,
      • les restrictions légales du traitement des données de la personne,
      • son droit à la portabilité des données,
      • son droit d'introduire une réclamation auprès de la CNIL.

/!\ Si ces informations ont déjà été données à la personne concernée, elles ne sont pas à fournir à nouveau.

Évolution lors des négociations : Le Parlement incluait aussi l'information sur les mesures de sécurité mises en place. Mais cet ajout a disparu, ce qui est regrettable.

De plus, lorsque c'est le cas, la personne concernée doit aussi être informée :

  • des intérêts légitimes (art. 6(1)(f)) revendiqués par le professionnel pour traiter les données
En principe, d'après l'article 6(1)(f), l'entité se limitera aux données personnelles qu'on ne peut pas considérer comme liées aux intérêts et aux droits fondamentaux de la personne concernée. Mais comment en être sûrs ? Et où est la limite entre données personnelles touchants aux intérêts et libertés fondamentales et les autres ? Quid des données de localisation par exemple ? Cette clarification est absolument nécessaire pour protéger les personnes concernées des failles du règlement, et in extenso renforcer leurs confiance, ce qui est nécessaire pour rétablir la confiance dans l'économie numérique.
  • des coordonnées du délégué à la protection des données ;
  • des destinataires, ou catégories de destinataires, des données ;
Cette disposition est dangereuse. Pouvoir se libérer de l'obligation d'information de la personne concernée en lui donnant une seule catégorie de sociétés n'est pas acceptable.
  • du transfert des données en dehors de l’Union, en précisant les décisions de la Commission ou les garanties encadrant ce transfert ;
  • de décisions automatisées fondées sur les données collectées, y compris en cas de profilage, ainsi que la logique appliquée et les conséquences prévues de ce traitement. Ces dernières précisions ne sont obligatoires qu'en cas de profilage.
  • de son droit de retirer son consentement à tout moment dans les cas où :
    • le traitement a été autorisé par son consentement (art. 6(1a)
    • le traitement de données sensibles (dont le traitement est en principe interdit - art. 9(2a)). Rappelons que le traitement de ces données est conditionné au consentement explicite de la personne, pour des finalités précises, sauf lorsque le droit européen ou national interdit qu'une telle exception soit faite.
NB : Si le consentement était retiré, l'effet de la rétractation ne serait pas rétroactif : le traitement fait entre temps reste légal. Attention !


Données obtenues autrement que par la personne (14)

Les droits à l'information sont similaires à ceux dus lorsque les données personnelles sont directement obtenues de la personne concernée, avec quelques différences cependant.

Les différences avec le traitement entamé sur la base de données fournies par la personne concernée sont que :

  • le responsable n'a plus qu'une simple possibilité (14bis1) d'information de la personne concernée sur les points suivants (alors que celle -ci est obligatoire lorsque les données sont directement obtenues de la personne) :
    • l'identité et les coordonnées du responsable du traitement, son représentant, le délégué à la protection des données ;
    • la finalité du traitement (et sa base juridique) ;
    • les catégories de données concernées ;
    • les destinataires ou les catégories de destinataires des données à caractère personnel ;
    • le transfert éventuel des données en dehors de l’Union, en précisant les décisions de la Commission ou les garanties encadrant ce transfert.
  • l'information de la personne est obligatoire ou possible sur de nouveaux points :
    • la source des données personnelles traitées (art. 14 bis2.g) (information obligatoire) ;
    • les raisons juridiques justifiant le traitement (information possible).


Délai d'information (14bis3)

Le moment où le responsable doit informer la personne concernée dépend aussi de la façon dont il a obtenu les données :

  • s'il les a obtenues auprès de la personne, il l'informe au même moment ;
  • s'il les a obtenues autrement, il l'informe au plus tard à l'un de ces trois moments :
    • un mois après avoir obtenu les données ;
    • lorsqu'il entre en contact avec la personne, si les données sont utilisées à cette fin ;
    • lorsqu'il transmet pour la première les données à un tiers, si les données sont traitées à cette fin.

Limites du droit à l'information

Le point 4 de l'article 14bis dispose que tous les devoirs d'information ne sont plus attendus lorsque la personne concernée a déjà l'information. Ce point est une aberration qui invite les entreprises à continuer de noyer des informations cruciales dans un flot d'information indigeste, jeté à l'utilisateur.

Ce point est à rapprocher du considérant 50, qui présente tous les cas d'exception de l'information de la personne (y compris sous couvert de l'« intérêt public »). Une entité peut donc traiter les données d'une personne sans le lui dire si c'est dans l'intérêt public. Ce considérant est trop large.

Le considérant 50 parle de mettre en place des garanties « appropriées », alors que le Parlement imposait dans une proposition qui a été supprimée, le respect de garanties précises, prévues aux articles 81 et 83. On a donc perdu en clarté et en prédictibilité.

Le droit d'accès (art. 15)

1. La personne concernée par les données personnelles a le droit de savoir si :

  • ses données sont traitées ;
  • a le droit d'y accéder ;
  • a droit aux informations concernant :
    • (a) La finalité du traitement, c'est à dire son objectif. Exemple : Prendre vos coordonnées pour vous conseiller de la musique.
    • (b) Les catégories de données visées ;
    • (c) Les destinataires à qui les données sont ou seront communiquées (surtout pays tiers et OIs) ;
      • Commentaire : (-) Il aurait fallu écrire sont, seront ou « pourraient être » pour couvrir aussi les destinataires envisagés. Cette observation, portée par la majeur partie de la société civile[9], est confortée par le fait qu'une personne non professionnelle n'exercera sont droit d'accès qu'extrêmement rarement, si elle l'utilise. Que les destinataires envisagés ne soient pas communiqués est une faille facilement exploitable pour les professionnels.
      • Commentaire : (+) Ce droit porte aussi bien sur les données qu'on au communiquées soi même que les données obtenues par la structure.
      • Commentaire : Le texte utilise l'expression « destinataires ou catégories de destinataires ». Qu'il soit possible de ne nommer qu'une « catégorie » de destinataires est une faille du Règlement, qui ne permettra ni la transparence, ni la confiance des personnes concernées.
    • (d) La période de conservation des données, ou le critère de décision de cette durée. L'information sur le critère seul est seulement autorisée si il n'est pas possible de donner la durée de conservation. Il sera néanmoins tentant pour les responsables de traitement de prétendre que la durée de conservation n'est pas disponible ;
    • (e) Son droit de rectification et d'effacement et son droit à demander que le traitement de ses données soit restreint ou interrompu. Concrètement, cela doit signifie par exemple que la personne concernée peut demander que le traitement ne porte que sur certaines catégories de données, comme son genre ;
    • (f) Son droit de recours auprès des autorités nationales de contrôle ;
    • (g) Les sources des données lorsqu'elles n'émanent pas de la personne concernée ;
    • (h) Si le processus décisionnel est automatisé
+ Si un profilage est fait (cf art. 20 (1) et (3), incluant le profilage sur des données sensibles comme la religion ;
+ La logique décisionnelle ;
+ Les conséquences envisagées pour le data subject.
Commentaire : La Quadrature du Net, tout comme EDRi, aurait souhaité qu'un garde-fou soit intégré à ces dispositions pour imposer d'informer de l'usage des données personnelles pseudonymisées et des moyens mis en place pour s'assurer que ces données ne pourraient être recoupées. Sans ces garanties, ces dispositions sont éminemment dangereuses puisqu'elles touchent la pseudonymisation peuvent être utilisées pour la mise en place de recherches.

1b. Le droit d'accès se traduit par une copie des données personnelles traitées. Cette copie est donnée gratuitement à la personne concernée. La fourniture de copies supplémentaires peut être en fonction des couts de traitement du dossier. Par défaut, la copie est transmise sous forme électronique. Que la copie soit structurée et dans un format interopérable et communément utilisé a disparu du texte. Est-ce vraiment grave ? Pas forcément, vu que le droit à la portabilité est de toute façon consacré (sans l'usage du terme interopérable). Par ailleurs, il est regrettable que les entités traitant des données puissent donner des copies sous un format rarissime. Cela semble tout de même peu probable.

2a. Exception au droit d'accès : les droits et libertés d'une autre personne seraient mis en danger. Cette disposition est intéressante, mais ne prévoit rien permettant de prouver que cette exception n'est pas abusée. En ce sens, cette exception est dangereuse. Un tel refus ne pourrait être possible que si un DPO/CIL ou une personne habilitée par une autorité nationale pouvaient contrôler cette justification. Dans tous les cas, un registre qui énumère les cas rencontrés est nécessaire.

Évolutions lors des négociations : Le 4. a été supprimé. Cette suppression est regrettable car ce point prévoyait que la Commission rédige des modèles de formulaires de demande d'accès et de réponse à ces demandes. Il prévoyait aussi la rédaction d'indications pour vérifier l'identité des personnes concernées. Les entreprises vont en profiter pour n'informer que sur ce qui les arrange, prétendre que les demandes n'ont pas été bien formulées et prendre énormément de données sensibles en prétendant en avoir besoin pour des vérifications d'identité. De plus, l'article 15 brille par son mutisme quant au devenir (conservation, destruction) des données sensibles obtenues par le biais des vérifications d'identité.

Le droit à la rectification (art. 16)

L'article 16 du règlement prévoit que toute personne concernée peut obtenir que des données l'identifiant soient complétées si elles sont inexactes. Toute demande de rectification doit être honorée dans les « meilleurs délais », ce qui est une excellente chose. Notons que rien n'indique qu'il puisse être possible d'imposer à la personne concernée de fournir la preuve de son identité pour une telle modification.

Ce droit existait déjà en droit français préalablement à la rédaction du règlement.

Le droit à l'effacement, ou « droit à l'oubli numérique » (art 17, 17 bis, 17 ter)

Définition

L'article 17, qui présente le principe de droit à l'effacement, se nomme aussi « droit à l'oubli numérique » est à lire par le prisme du considérant 53.

Cet article offre à toute personne concernée le droit à l'effacement, « dans les meilleurs délais », de ses données à caractère personnel traitées.

L'effacement est soumis à certaines conditions listées à l'article 17. Entre autre, il est possible de demander l'effacement de ses données personnelles lorsqu'on retire son consentement pour le traitement, que le traitement est illicite, ou que le traitement permet le profilage (§ 1(c) de l'art. 17). Cette dernière disposition est particulièrement rassurante. Il est tout de même regrettable que le traitement déloyal n'ait pas été ajouté à cette liste.

Le second paragraphe de l'article 17 dispose que le responsable du traitement doit, lorsque les données ont été rendues publiques, prendre des mesures « raisonnables » pour informer les autres responsables auxquels les données ont été communiquées, que leur effacement a été demandé par la personne concernée par ces données. Commentaire : Des mesures « raisonnables » en fonction des « coûts de mise en oeuvre » est assez imprécis pour permettre des abus. D'autant plus qu'il ne semble pas que le responsable ait à se justifier s'il ne transmet pas l'information à d'autres responsables.

Le troisième paragraphe dudit article précise les exceptions aux deux premiers paragraphes, permettant de ne pas accéder à la demande de la personne concernée. Ces exceptions sont :

  • si le traitement est nécessaire pour le droit à l'information,
  • ou s'il est prévu par la loi pour l'intérêt général,
  • ou pour des nécessités d'archivage,
  • ou s'il est nécessaire « à la constatation, à l'exercice ou à la défense de droits en justice ».

3. §1 & 2 ne s'appliquent pas si le traitement de DP est nécessaire : (a) Pour le droit à l'information et à l'expression (b) Pour appliquer la loi nationale et de l'Union, pour les taches d'intérêt général (c) Dans l'intérêt général dans le domaine de la santé publique (en accord avec art. 9(2)(h) et (hb) ainsi qu'art. 9(4) (d) Pour mettre en place des archives dans l'intérêt général, ou pour la recherche scientifique, statistique et historique (e) Pour des recours en justice

Risques de censure !

Par ailleurs, la doctrine a lourdement souligné que les plateformes hébergeant du contenu public s'exposent à de lourdes sanctions si elles n'obtempèrent pas avec les demandes de retrait, alors qu'elles ne sont pas inquiétées par le règlement en cas de suppression abusive des contenus qui leurs sont signalés.

Évolutions lors des négociations : L'article 17 a connu de fortes évolutions, marquées par un lobbying acharné. Les versions de la Commission et du Parlement européen imposaient à l'entité de ne pas disséminer les données personnelles. Le Conseil a fait enlever ce passage, ce qui envoie un signal fort aux professionnels. Il est donc possible de garder des données puisqu'aucun délai précis n'est imposé par cet article, leur laissant donc le temps de les envoyer à une autre entité, puis de les supprimer, et de les récupérer après. En effet, le responsable n'a à prévenir la personne concernée sur l'origine des données personnelles que lorsque la personne exerce son droit d'accès. Ce qui est rarissime. Cela dénote du lobbying dont ces dispositions ont fait l'objet. C'est malheureux. Par ailleurs, un paragraphe 1a qui imposait de vérifier l'identité de la personne demandant la suppression, a disparu. C'est très regrettable. Le paragraphe 7 a, lui aussi, été supprimé. Il prévoyait pourtant que le responsable développe des mécanismes permettant de s'assurer qu'il supprime les données une fois leur durée de conservation atteinte. La Quadrature du Net déplore cette suppression, qui est du même ordre que la suppression du paragraphe 8. Ce dernier imposait qu'une fois les données personnelles supprimées, elles ne puissent plus être traitées. Pour finir, le paragraphe 9 prévoyait que la Commission puisse légiférer (par actes délégués) pour préciser la mise en application de cet article (ex : conditions de suppression de données publiques). Cette suppression est regrettable puisqu'elle est porteuse d'imprédictibilité pour tous les acteurs en jeu, aussi bien les utilisateurs que les professionnels.

Le droit à la limitation du traitement

L'article 18 encadre le droit à la limitation du traitement, qui peut être obtenu par la personne concernée par exemple lorsqu'elle conteste l'exactitude des données (a), ou que les données ne sont plus requises par le responsable mais restent utiles à la personne concernée pour des raisons judiciaires (b), ou que la personne s'oppose au profilage et que le professionnel limite le traitement pendant qu'il vérifie qu'il ne peut faire primer son droit de traiter les données, au nom de son intérêt légitime (c) (voir notre analyse sur le profilage).

La portabilité des données (Art. 20)

La portabilité des données correspond à la possibilité pour l'internaute de demander le transfert de ses données vers de nouveaux prestataires (pour le mail par exemple, il s'agit des correspondances, mais aussi des contacts). Elle se fonde sur le même principe que la portabilité des numéros de téléphone, que l'on pourrait par exemple appliquer au mail ou a des services aux fonctionnalités équivalentes. Ce droit est différent du droit d'accès dans la mesure où il n'a pas pour objectif de fournir ses données à l'utilisateur, mais de les transmettre à un autre projet.

Il eut été souhaitable que cet article précise qu'il ne peut en aucun cas être lu comme permettant de déroger aux obligations de suppression des données personnelles devenues inutiles. C'est une remarque qui s'inscrit dans une observation générale : le règlement n'insiste pas assez sur la dangerosité de durées de conservations trop étendues. C'est pourtant une grande menace dans un contexte de fuites de données personnelles et de surveillances étatiques.


Régime

La personne concernée par les données personnelles a le droit de recevoir les données qu'elle a fournies au responsable de traitement, dans un format :

  • structuré, ET
  • communément utilisé, ET
  • lisible pour une machine.
Ces critères sont cumulatifs, c'est une sécurité. Notons tout de même que le terme « interopérable » a disparu. C'est une perte en terme de promotion des logiciels open source.

L'article 20 impose aussi que l'utilisateur ait le droit de transmettre ces informations à un autre responsable sans entrave de la part du premier responsable de traitement, lorsque :

  • 1(a) Le traitement est basé sur le consentement, ou
  • 1(b) Le traitement est automatisé.


Limites

Il découle du b de l'alinéa n°1 que si le traitement peut être automatisé, il peut s'agir du recours au profiling. Cela appelle donc une reflexion sur la mise en pratique de ce droit. Puis-je exiger de Netflix ou de Spotify qu'ils transmettent leurs analyses à un autre fournisseur de service, comme Amazon Prime Video ? En théorie la réponse est non, dans la mesure où ces analyses sont la valeur ajoutée de Netflix et Spotify.

Le droit à la portabilité doit être lu comme ne portant pas préjudice au droit à l'effacement, ni à la limitation du traitement à des finalités précises, comme prévu à l'article 17 (art. 18 (2a)). Le droit à la portabilité n'est pas possible pour les données traitées par une autorité nationale ou dans l'intérêt général. Un point critiqué par la doctrine[10].

Évolution au fil des négociations : Le premier point de cet article a été enlevé par le Parlement et le Conseil lors des négociations. Il permettait que la personne concernée par les données personnelles traitées obtienne une copie de ses données traitées dans un format permettant qu'elle les utilise pour d'autres usages. Cette suppression est malheureuse terme de libertés. Il ne peut donc pas être possible d'obtenir par exemple ses playlists en version papier de Deezer ou Spotify. Cet article a été modifié pour masquer la suppression de la référence à l'article 5, qui imposait d'honorer l'obligation de supprimer les données lorsqu'elles ne sont plus nécessaires. C'est regrettable. L'article finissait par imposer à la Commission de décider le format dans lequel le transfert de données devait se faire (ainsi que ses modalités et la procédure). Le Parlement et le Conseil sont revenus sur cette proposition de la Commission. C'est regrettable en terme de prédictibilité pour les utilisateurs.

Le droit de s'opposer au traitement (art. 19)

  • L'article 19 prévoit le droit de s'opposer à un traitement ("right to object"). Le 1 de cet article dispose que toute personne physique peut s'opposer au traitement de ses données personnelles, y compris s'il s'agit de profilage. Malheureusement le responsable de traitement peut tout de même maintenir le traitement si ce dernier est nécessaire pour des recours en justice ou que le responsable de traitement « prouve qu'il existe des motifs légitimes et impérieux pour le traitement qui priment » sur :
    • les intérêts,
    • droits et
    • libertés
De la personne physique.
Il s'agit donc d'un énième moyen pour les acteurs économiques d'exploiter les faiblesses du règlement au prix des libertés des individus. Cela est très alarmant.

Le profilage

Définition (art. 4)

Le profilage, ou profiling en anglais, est une notion nouvelle et un danger majeur. Il est défini à l'article 4 comme le fait de prendre des décisions adaptées à un individu en particulier et de prédire ses futurs choix, son rendement professionnel, sa situation économique, sa localisation, ses mouvements, sa santé, ses préférences personnelles, sa fiabilité ou son comportement.

Le profilage constitue un outil très puissant pour les Etats ou les entreprises qui accèdent, collectent ou à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommation et davantage cibler ses actions de promotion. Le profilage représente également un intérêt pour les États, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur. Ce n'est pas le cas aujourd'hui, à cause du Conseil de l'UE principalement.

Les dangers que fait planner cette notion sur les droits fondamentaux des Européens ont été soulignés par E. Massé[11] et l'eurodéputé Jan Albrecht[12].


Évolutions lors du processus de négociation :

  • Le terme « mouvement » a été ajouté à la suite d'un trilogue, alors même qu'il n'était proposé par aucune des institutions, et a été intégré dans la version du compromis du 15 décembre. Une preuve de plus que le processus législatif européen n'a rien de transparent. Cet ajout est très inquiétant pour les libertés des Européens.
  • Le titre de la section 4, qui traite du profilage, a été modifié à la fin du processus législatif afin de faire disparaitre ce mot du titre pour le remplacer par « processus décisionnel automatisé individualisé ». C'est pourtant bien de profilage qu'il est question. Cette modification du titre de la section dénote déjà du malaise des institutions vis-à-vis de cette notion liberticide.
  • Plus généralement, il y a eu plusieurs tentatives pour restreindre le recours au profilage. Mais elles n'ont pas été retenues. Reste que le considérant 58a prévoit que le futur European Data Protection Board (EDPB) puisse publier des documents permettant d'encadrer le recours au profilage. C'est un maigre garde-fou.

Recours au profilage (art. 22)

L'article 22 prévoit le recours au profilage. Malheureusement ce dernier a été grandement modifié par le Conseil de l'Union européenne, qui l'a appauvri tout en y glissant des failles porteuses d'insécurité juridique.
L'article 21 permet quand à lui le recours au profilage par les États membres.


Le profilage dans l'article 22
  • Le 1. de l'article 22 énonce le droit du sujet que tout processus décisionnel le concernant ne soit pas uniquement automatisé, y compris en cas de profilage, lorsque ce processus a des effets légaux, ou des effets « similaires qui l'affectent significativement ». Cette dernière formule est ambiguë et a pour conséquence de créer de futurs failles exploitables par les entités souhaitant avoir recours au profilage. Ce manque de précision laisse penser que pour tout autre cas d'enjeux moyens, des décisions automatisées peuvent être prises sans l'information du sujet, y compris si ces décisions se fondent sur un profil.
Une Etude d'impact (Privacy Assessment) faite par une personne physique devrait être prévue. Malheureusement, les algorithmes utilisés pour les prises de décisions sont souvent des secrets commerciaux, ce qui rend leur examen par une Étude d'Impact quasiment impossible.
Le sujet devrait même avoir le droit que ses données ne soient pas (même partiellement) soumises à un processus décisionnel automatisé lorsque les enjeux légaux sont importants.
  • Le 1a. de l'article 22 limite les droits de la personne dont les données personnelles sont traitées. Elle perd son droit de ne plus être soumise au profilage dès lors que :
    • (a) Le profilage est nécessaire pour un contrat entre la personne et le responsable de données ;
      • Commentaire : Rappelons tout de même que, comme l'impose le Règlement, le sujet doit préalablement avoir été explicitement prévenu que ce contrat aurait pour conséquence que un profilage serait mis en place. Cet aspect était rappelé dans les versions antérieures de cet article, mais il a été enlevé. Il n'en demeure pas moins applicable.
    • (b) le profilage est autorisé par le droit européen ou le droit d'un Etat Membre dont la personne dépend et qui prévoit des garanties suffisantes pour protéger ses droits, libertés et intérêts légitimes ; ou
    • (c) ce profilage est basé sur le consentement explicite de la personne physique.
  • Le 1b. dispose que dans les cas où le sujet y a consenti ou a signé un contrat, le responsable de traitement doit déployer des mesures permettant de protéger les droits, libertés, et intérêts de la personne, a minima son droit d'obtenir une intervention humaine et le droit d'exprimer son point de vue et de contester une décision. Cette disposition est bien trop imprécise pour assurer la prévisibilité du droit. Les mesures en questions doivent être concrètement présentées.
  • Le 3. de l'article 22 dispose que les décisions automatisées fondées sur un contrat signé/le consentement/le droit de l'Union ou d'un État membre ne peuvent pas porter sur des données sensibles (définies à l'art. 9). C'est en soi une disposition rassurante, mais reste que cette formulation aurait pu être plus protectrice. On préfèrerait lire, au lieu de « fondées sur », « inclure ou générer » des catégories sensibles de données. En effet, le danger du profiling réside justement dans le fait qu'en croisant, par exemple, des données musicales, il est possible de déduire/générer des données sensibles telles que les sympathies politiques.
    • L'ancienne rédaction de ce point interdisait :
      • la discrimination, volontaire ou non, fondée sur des données sensibles ;
      • que le profilage soit utilisé pour identifier ou individualiser un enfant.
Que ces dispositions cruciales aient disparues est particulièrement inquiétant.

Autres évolutions notables lors des négociations de l'article 22 :

  • Le rappel pour les professionnels que les droits des personnes sont à respecter en ligne aussi bien que hors ligne a disparue. Elle était pourtant pourtant un bon rappel de leurs obligations. Une telle suppression est porteuse d'insécurité juridique pour les professionnels non initiés à leurs obligations en termes de protection des données. Elle est aussi porteuse de méfiance vis-à-vis des utilisateurs. Ce dernier point ne pouvant être observé que sur le long terme.
  • Le 2. d'origine a été supprimé par le Conseil. C'est tragique, dans la mesure où ce point permettait d'imposer aux professionnels
    • d'informer la personne sur :
      • la logique utilisée pour le profilage ;
      • comment les décisions sont prises lorsqu'elles sont en partie automatisées ;
      • les mesures prises contre le risque de discrimination résultant du processus décisionnel automatisé
        • Commentaire : Cela signifie que la rédaction antérieure du règlement, avant qu'il ne soit modifié par le Conseil, interdisait de facto que le profilage puisse être porteur de discriminations. Ce n'est plus le cas.
      • ce qui justifie les décisions prises ;
    • de faire des études régulières pour s'assurer que les processus décisionnels automatisés n'ont pas d'effets discriminants, intentionnels ou pas, liés aux données sensibles.
  • La proposition d'origine de la Commission européenne comportait un 4. Ce dernier a été supprimé par le Parlement européen et le Conseil. Ce 4. imposait que l'obligation d'information de la personne porte aussi sur la logique mise en oeuvre lors du traitement automatisé, débouchant sur une prise de décision individualisée.
  • Le Conseil a aussi fait supprimer le 5., qui imposait que la Commission (ou le European Data Protection Board pour le Parlement) puisse prendre des actes délégués (c'est à dire des actes plus forts que de simples actes d'application, car dotés d'un pouvoir stratégique, donc politique) pour spécifier les critères et conditions pour la prise de mesures pour protéger les droits fondamentaux et les intérêts légitimes des personnes. Cette intervention du Conseil est grave. Ce point était la garantie que les imprécisions de la nouvelle rédaction de cet article seraient corrigées par la Commission ou une autorité spécialisée telle que le EDPB. Cette suppression est aussi le gage d'une grande incertitude pour les acteurs économiques, et donc l'assurance qu'ils prendront tous des mesures approximatives. C'est donc dangereux pour les droits des sujets, et cela va ralentir les autorités nationales (ex. CNIL) dans leurs missions.


Le profilage étatique dans l'article 23

L'article 23 énonce les cas dans lesquels les États vont pouvoir se passer du consentement des individus pour traiter leurs donner personnelles. En contradiction avec l'appel de la société civile européenne spécialisée dans la protection des données personnelles et de la volonté du Parlement, l'article 22 (permettant le recours au profilage) a été ajouté à la longue liste de cas dans lesquels les États pourront traiter des données personnelles en se passant du consentement des personnes concernées.

Les dispositions de cet article marquent un recul de la protection des données personnelles des Européens par rapport à la Directive de 1995 et la loi Informatique et Libertés. Cet article nivelle par le bas la protection de notre droit fondamental à la protection des données personnelles. C'est une tragédie qui montre la limite du droit européen.

La position de la Quadrature du Net est alignée sur celle d'EDRi à ce sujet : la mention de l'article 22 dans l'article 23 doit absolument être retirée ou censurée. Cette mention donne un chèque en blanc aux Etats pour faire du profilage. Cela signifie que tout Etat membre pourrait utiliser une de ces justifications pour profiler des individus sur la base de leurs origines, de leur santé, de leurs attirances sexuelles, de leur position politique, etc. D'autant que comme vu plus haut, le Règlement n'interdit pas (ou plutôt plus) la génération de données sensibles (art. 9) par le traitement de données personnelles non sensibles.

C'est un trop grand pouvoir laissé à la merci des fluctuations politiques des pays. Des États comme la Pologne, la Hongrie, l'Angleterre et la France ne devraient pas être en mesure de profiler les individus (pas seulement les citoyens européens, le seul critère étant qu'il s'agisse d'une personne physique).

L'article 23 énonce les cas dans lesquels les États membres peuvent restreindre les obligations et les droits prévus aux art. 12 à 20 (principalement : droit à l'information, droit d'effacement, droit à la rectification, droit à ne pas faire l'objet de profilage, droit de ne pas dépendre de prises de décision automatisées), à l'article 32 (notification des failles de sécurité) et à l'article 5 (principes fondamentaux de la collecte, cad licite, loyale, avec une finalité... - lorsque ces dispositions sont applicables aux art. 12 à 20) lorsque ces restrictions sont nécessaires pour protéger :

  • (aa) la sécurité nationale ;
Commentaire : Cette justification est condamnée par EDRi, la coalition d'ONG protégeant les données personnelles en ligne. L'expérience française montre qu'elle est très dangereuse en effet.
  • (ab) la défense ;
  • (a) la sécurité publique ;
  • (b) les besoins de la justice ;
  • (c) les autres objectifs d'intérêt public général pour l'UE ou un État membre (en particulier les intérêts économiques et financiers, mais aussi les questions de santé publique et la sécurité sociale ;
Commentaire : La notion d'objectifs d'intérêt public général est trop imprécise. Par ailleurs, les intérêts économiques et financiers ne devraient pas figurer dans la liste des cas justifiant de déroger aux protections des données prévues aux articles 5 et 12 à 20.
  • (e) le contrôle de ces justifications ;
Commentaire : Justifier des restrictions au non du contrôle de la restriction n'est pas utile. Le contrôle des juges est là pour ça.
  • (f) le data subject et les droits et liberté des autres.

Ces larges finalités (voir le titre sur exceptions aux droits) sont dangereuses, ouvrant la possibilité pour les gouvernements de justifier le profilage ou le placement sur liste noire d'individus, uniquement en raison de leurs activités politiques ou leur mobilisation pour la défense des droits de l'homme ou de l'environnement.

Risques

Le profilage est l'un des points les plus inquiétants du règlement. Il est hautement intrusif et mal encadré.

Il découle de cette définition qu'à l'avenir, les entreprises pourront par exemple faire des fiches sur le rendement professionnel de leurs employés. Et les pays pourront aussi se livrer au fichage[13] de leurs citoyens sur la base de l'article 21. Une perspective digne des meilleurs écrits d'Orwell et à bien considérer dans un contexte politique et technique ayant déjà donné du grain à moudre à la CNIL qui a par exemple relevé en 2009 que 83% des fiches du Système de traitement des infractions constatées (Stic) comportaient des informations erronées. Quand on sait que plus d'un Français sur deux figure dans ce fichier le débat mérite d'avoir lieu.

La définition même de ce qu'est une donnée sensible (art 9 ici, art 8 de la loi Informatique et Libertés) est en contradiction avec la définition de ce qu'est le profilage : les données de santé SONT des données sensibles, donc leur utilisation pour le profilage devrait faire l'objet d'une interdiction absolue (sauf personnel de santé). Or, comme expliqué plus bas, une fois qu'une personne physique se lie contractuellement à une entreprise, celle-ci peut mettre en place un profilage sur cette personne afin de prédire sa santé. Ces dispositions sont désastreuses. Les assurances ont fait un lobbying irréprochable.

Obligations des professionnels

Information sur les accès aux données - supprimée

Le Conseil de l'Union européenne a fait supprimer un article éminemment important pour la traçabilité des données personnelles : l'article 13, qui obligeait le responsable du traitement à informer toute personne ayant accès aux données, des rectifications ou suppressions qu'elles avaient préalablement subies. Surtout, cet article (dans la version du Parlement) prévoyait qu'il soit possible d'indiquer à la personne concernée quelles étaient ces entités (destinataires - cf. art 14(1)d)) ayant eu accès aux données.

Les obligations prévues dans cet article étaient très importantes ! L'analyse peut être trompeuse car il y avait un doublon avec l'article 17, qui imposait en partie les mêmes obligations. Mais elles ont été enlevées de l'article 17 et de l'article 13 !

Entre autre, la version du Parlement proposait d'imposer que la personne concernée soit prévenue si les données conservées chez des destinataires (ou autre tiers) n'étaient pas cryptées/chiffrées. Dans un contexte où les rançongiciels (ransomwares) se développent, il est choquant que certaines structures gardent les données dans des bases non chiffrées. Bon nombre de citoyens souhaitent savoir si leurs données sont conservées chiffrées.

La suppression de cet article par le Conseil est donc une grande perte pour le droit fondamental à la protection des données personnelles et la traçabilité des personnes ayant eu accès aux données.

La réponse aux personnes exerçant leurs droits (art. 12)

L'article 12 énonce une obligation pour le responsable du traitement de faire droit aux personnes sur leurs demandes de rectification, etc. (art. 15 à 22). Sauf si impossibilité prouvée de réidentifier la personne (2).

Le troisième point (3) de cet article dispose que lors d'une demande de rectification, accès ou autre (art. 15 à 22), le professionnel a un délai d'un mois pour répondre (auquel s'ajoutent 2 mois si la demande est particulièrement compliquée - mais dans ce cas la personne concernée est informée dans le courant du 1er mois que sa demande prendra plus de temps).

Le quatrième point (4) de cet article prévoit que si le responsable de traitement ne fait pas droit à la demande de la personne concernée alors il doit l'informer dans le délai d'un mois et se justifier.

La garantie de la protection des données

Le responsable du traitement doit assurer la protection des données des personnes concernées par le traitement. Il a ainsi trois obligations principales :

  • Une obligation de documentation (article 33.5) des traitements réalisés. Ces documents pourront être vérifiés à tout moment par l'autorité nationale de contrôle, sous peine de sanctions.
  • Une obligation de réaliser une étude d'impact pour les traitements à risque (article 35). Celle-ci doit être réalisée systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sensibles, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques).
  • Une obligation d'assurer la sécurité du traitement des données, en garantissant sa confidentialité, et l'intégrité de la personne concernée (art.32).

Le principe de data protection by design and by default (art. 25)

Ce principe, qu'on traduit en français par « Protection des données par défaut », impose que les produits et services proposés soient par défauts avec les paramètres de sécurité les plus protecteurs. Ce principe implique qu'il faut une action positive de l'utilisateur s'il souhaite abaisser les paramètres de confidentialité.

L'idée derrière ce nouveau principe est qu'à l'avenir, tout site applique un principe de minimisation en ne rendant publique que les données les moins sensibles, et libre à chacun d'élargir les critères de publicité de son profil. Exemple, sur Facebook lorsque l'on crée un compte, par défaut tout est public. Il s'agit de renverser cette tendance à la publicité. Quitte à ce que les personnes reviennent sur ces mesures protectrices en les adaptant pour que leurs données redeviennent publiques.

Remarques :

  • L'article 23 manque de clarté ;
  • il ne s'adresse qu'aux responsables, pas aux sous-traitants. Pour autant, ils devraient y figurer aussi. EDRi partage cette remarque avec nous.
  • Dans la version finale du Règlement, la pseudonymisation a été glissée dans l'article en tant qu'exemple de mesure adaptée. C'est une catastrophe, la recherche prouve que la pseudonymisation est pour l'instant une fausse solution ! (Voir encart sur les données pseudonymisées.)



Le principe d'accountability

L'article 24 du projet impose aux professionnels traitant des données personnelles de prendre les mesures nécessaires pour honorer leurs obligations légales, et d'indiquer à partir de quand ils seront en règle avec le règlement. C'est ce que l'on appelle le principe d'« accountability », c'est à dire le principe de responsabilité. De cette manière il sera plus facile de sanctionner un acteur du numérique qui s'est ouvertement déclaré en règle avec ses obligations. D'autant plus que ces acteurs ont intérêt à indiquer les mesures internes qu'ils ont prises (comme des stratégies précises, des mécanismes créés en interne comme des Binding Corporate Rules) pour rassurer leurs utilisateurs, ce qui simplifiera encore plus la tache des autorités de contrôle. Par ailleurs pour les structures traitant les données de plus de 500 personnes par an, le principe d'accountability s'accompagne d'obligations d'audit et de réalisation d'études d'impacts, qui seront suivies en interne par un délégué à la protection des données (Data Protection Officier en anglais). L'atelier mis en place par le G29 le 26 juillet 2016 a permis d'établir que la personne chargée de mener à bien une étude d'impact est le responsable de traitement.


Les Binding Corporate Rules (BCR) (Art. 47)

L'article 4 les définit comme des chartes internes prises par de grands groupes concernant les transferts de données hors UE. En français cet article 47 est traduit par « règles d'entreprise contraignantes ». Ce sont des documents rédigés par une entreprise édictant des règles quelle s'engage à respecter. Ces règles doivent être validées par la Cnil. Remarque : Elles permettent que les différentes filiales d'une même entreprise mère se transfèrent librement les données entre elles. C'est une mesure réellement satisfaisante en terme de protection des données que si :

  • les BCR sont effectivement déployées et que
  • la personne concernée (data subject) peut réellement s'opposer au transfert de ses données (« opposabilité »).


Cette solution est en principe plus protectrice que le safe harbor ou toute décision d'adéquation, puisqu'il ne s'agit pas pour les entreprises de s'autocertifier. C'est l'autorité nationale (comme la CNIL) qui juge de la conformité des BCR. Mais la validation des BCR laisse les coudées franches pour des transferts de données personnelles dans le monde entier (par le biais de transferts à des filiales d'une entreprise internationale), donc il est crucial que les autorités nationales soient intraitables... Hors avec des autorités plus ou moins indépendantes d'une État membre à l'autre ces BCR pourraient rapidement devenir une faille permettant à une maison mère de faire homologuer ses BCR dans un pays très souple en terme de protection des données personnelles, comme l'Irlande, pour pouvoir ensuite les utiliser pour chacune de ses filiales dans le reste de l'Europe.

Évolution au fil des négociations : Le Conseil a fait ajouter ouvrir le système des BCR aux grands groupes avec des filiales ET les groupes d'entreprises engagées dans une activité économique commune. Les dispositions de l'article 4 sont donc bien trop larges pour permettre une protection adéquate des personnes concernées par les données personnelles.

L'article 47 développe la mise en place des BCR. Il précise que ces règles doivent être légalement contraignantes pour tous les membres de l'entreprise, ou pour le groupe d'entreprises (a) et qu'elles doivent conférer des droits aux utilisateurs en ce qui concerne le traitement de leurs données (b). Les règles internes doivent obligatoirement offrir un moyen pour les utilisateurs de déposer des plaintes, et d'obtenir réparation des dommages soufferts (Art. 47 (e).

Le règlement d'entreprise doit au moins spécifier (2) :

  • la structure et les détails des contacts du groupe concerné, et de chacun de ses membres (a) ;
  • les catégories de données transférées, notamment le type de données personnelles (au lieu des types) (b) ;
  • leur nature légalement contraignante (c) ;
  • l'application des principes généraux de protection des données personnelles (d), comme par exemple le principe de data protection by design and by default imposant que les produits et services proposés soient par défauts avec les paramètres de sécurité les plus protecteurs. Ce principe implique qu'il faut une action positive de l'utilisateur s'il souhaite abaisser les paramètres de confidentialité.
  • le droit des utilisateurs qui correspond au droit de ne pas être le sujet de décisions basées sur le traitement automatique, notamment le profilage (e). Le Parlement, quant à lui mentionnait uniquement le profilage et non le traitement automatique. La protection est donc plus large dans la version du Conseil. La version du Conseil ajoute également que le règlement doit prévoir une procédure de requête. La Présidence suggère cependant d'accepter le compromis du Parlement qui n'inclue pas la notion de traitement automatique ;
  • l'acceptation par le responsable ou le sous-traitant établi dans l'Union européenne de sa responsabilité légale en cas de non-respect du règlement par l'un de ses membres non-établis dans l'UE. Il peut en être exempté s'il prouve que le membre n'est pas responsable du dommage causé (f)  ;
    • la manière dont l'utilisateur est informé sur le règlement d'entreprise, notamment les points d) e) et f) (g) ;
    • les missions d'un délégué à la protection des données (Data protection officer) désigné selon les articles 37 et 38, ou de toute autre personne en charge de surveiller le respect des obligations de ce règlement (h) ;
    • les procédures de requêtes (hh) ;
    • les mécanismes visant à vérifier la conformité des BCR, ou règlement d'entreprise, qui doivent inclure selon le Conseil, des audits sur la protection des données et des méthodes pour assurer des actions correctrices pour protéger les droits des internautes (i).

Le délégué à la protection des données personnelles

Le délégué à la protection des données personnelles (Data protection officier (DPO en anglais)) n’est pas obligatoirement un employé du responsable de traitement (cons. 97). Cependant, il est obligatoirement une personne distincte du dirigeant d'une petite ou moyenne entreprise. Cela n'est pas inscrit dans le règlement, mais les acteurs réunis le 26 juillet 2016 par le G29 se sont accordés sur le fait que cela ne permettrait aucunement d'assurer une gestion des données personnelles indépendante et à même de faire l'équilibre entre les intérêts et droits fondamentaux des personnes concernées et les intérêts de la structure exploitant les données. Reste que les start up en création sont souvent constituées de deux à trois personnes et sont caractérisées par un turnover fréquent. Or lorsqu'une équipe est composée de trois personnes, si l'unes d'elles s'en va c'est tout un département qui disparait. Il n'en demeure pas moins nécessaire d'encadrer les activités de cet embryon de structure si, par exemple, il s'agit d'une start up développant une application basée sur des données médicales (cad des données sensibles). Cette question n'est pas encore résolue mais il nous apparait que les autorités nationales (ou DPA, comme la CNIL en France) pourraient peut être résoudre ce problème en mettant à disposition quelques DPO pour les petites sociétés.

Il est important de souligner que les articles encadrant les activités des DPO sont à lire en gardant à l'esprit qu'ils concernent le secteur privé. Le secteur public étant par défaut pourvu de DPO.

La notion de données pseudonymisées

Le texte autorise l'exploitation de « données pseudonymisées » pour des finalités d'intérêt public, de recherche scientifique et historique, ou statistiques, qui font exception à l'accord de l'internaute. Les données pourraient être uniquement « pseudonymisées », au lieu d'être « anonymisées » lorsque cela n'est pas possible (article 89). Le terme « pseudonymisées » n'est pas employé de manière anodine. Les données « anonymisées » sont des données à partir desquelles il n'est en principe pas possible d'isoler et d'identifier un individu. Son anonymat étant ainsi théoriquement pleinement respecté. Les données « pseudonymisées » restent en revanche relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (e. g. nom, prénom, adresse) possédées par l'organisation collectant l'information.

En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées, comme l'a montré la recherche en matière de ré-identification. Ces recherches ont montré que des informations apparemment anonymes pouvaient être aisément rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs.

Par exemple, par géolocalisation, certaines applications installées sur des smartphones peuvent transmettre à des sociétés la liste des lieux visités par leurs utilisateurs. En principe, ces informations sont transmises de façon « anonyme », de sorte qu'on ne puisse les associer aux personnes qu'elles concernent. Mais l'itinéraire quotidien réalisé par chacun de ces utilisateurs (là où il travaille, là où il déjeune, là où il dort...) est en réalité unique parmi les itinéraires réalisés par tous les autres utilisateurs. Un rapport ainsi été démontré qu'il suffisait de connaître quatre lieux où une personne s'était rendue pour lui rattacher, avec 95% de certitude, la liste « anonyme » des déplacements enregistrés par son téléphone et transmise à ces entreprises. C'est donc plus fiable que vos empreintes, pour lesquelles il faut 12 points pour pour vous identifier avec certitude !

Par conséquent, la pseudonymisation n'est pas une solution suffisamment protectrice pour les utilisateurs qui peuvent être identifiés trop facilement.


Cette notion est à lire par le prisme de l'article 11 qui autorise des traitements de données ne nécessitant pas d'identification. Cet article est curieux dans un Règlement européen sensé porter sur les données personnelles, et donc par définition, des données identifiantes.

Implémentation du règlement

Les transferts internationaux de données

[Voir notre page dédiée aux transferts de données]

Il existe deux types d'accords internationaux portant sur le traitement des données personnelles :

  • Les décisions d'adéquation (article 45) ;
  • Les accords avec les autres pays moyennant des garanties appropriées (article 46) ;


Les transferts de données sont fait avec deux types d'acteurs internationaux :

  • des organisations internationales (OI) ou
  • des pays tiers. Au sens du règlement, un « pays tiers » est soit :
    • un pays autre qu'un État membre de l'Union européenne ;
    • un territoire ou un ou plusieurs secteurs dans ce pays tiers ;

Les décisions d'adéquation (art. 45)

Il y a deux sortes de décisions d'adéquation. Les décisions d'adéquation que l'on pourrait appeler des décisions simples tant le pays qu'elles visent dispose de protections similaires avec l'Union (c'est le cas avec la Norvège, l'Uruguay, le Canada, l'Argentine, la Suisse, l'Islande, Israël et la Nouvelle Zélande), et celles, plus complexes, qui nécessitent que la Commission motive considérablement sa décision. C'est le cas par exemple avec l'Umbrella Agreement et le Privacy Shield, qui sont en négociation (voir notre [page] sur les transferts).


Dans tous les cas, une fois qu'une décisions d'adéquation existe le transfert n'est plus soumis à une autorisation supplémentaire.

Le paragraphe 3 de l'article 45 précise que toute décision d’adéquation doit prévoir un réexamen de l'adéquation du pays tiers, au moins tous les 4 ans. Cette décision peut être amendée ou suspendue à tout moment par la Commission.

Notons qu'une telle décision peut aussi être annulée, comme l'a fait la Cour de Justice de l'Union Européenne (CJUE) le 6 octobre 2015, en annulant le Safe Harbor (ancêtre du futur Privacy Shield) qu'elle a jugé comme n'offrant pas de garanties suffisantes pour protéger les droits fondamentaux des personnes résident dans l'Union européenne.


Pour rendre une décision d'adéquation la Commission doit prendre en compte les éléments suivants :

  • les règles protégeant les droits et libertés fondamentaux (y compris le droits à la protection des données personnelles), leur application, leurs limites permises pour la sécurité nationale ou la lutte contre les infractions et les recours effectifs ouverts aux résidents européens ;
  • l’existence d’autorités de contrôle disposant de moyens effectifs pour contrôler le respect et sanctionner la violation des règles protégeant les données personnelles, pour assister les personnes concernées dans l’exercice de leurs droits et pour coopérer avec les autorités européennes ;
  • les règles encadrant les transferts ultérieurs et les engagements internationaux pris.

Enfin, les lois des États membres ne peuvent restreindre le transfert de données vers un pays tiers bénéficiant d’une décision d’adéquation (ils le peuvent s’agissant des autres fondements).

Les accords avec les autres pays moyennant des garanties appropriées (art. 46)

En l'absence d'une décision de la Commission, un responsable peut opérer un transfert de données personnelles dans un pays tiers ou une organisation internationale en prenant des garanties appropriées pour couvrir le transfert.

Sont autorisés les transferts encadrés de garanties suffisantes que les personnes concernées peuvent effectivement faire respecter. Pour juger de ces garanties, les critères sont les suivants :

  • un dispositif légalement contraignant entre des autorités publiques ;
  • des règles d'entreprises contraignantes (ou BCR, pour binding corporate rules) (art. 47) ;
  • des clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle (avec l’approbation de la Commission) ;
  • un code de conduite (art. 41) ou un mécanisme de certification (art. 42 et 43) approuvés et joints d’un engagement contraignant et opposable à l’importateur de données.

Dérogations (art. 49)

Les transferts vers un pays tiers peuvent aussi être autorisés si :

  • la personne y a explicitement consenti après avoir été informée de l’absence de décision d’adéquation et de garanties suffisantes, ou ;
  • le transfert est fait depuis un registre destiné à informer le public et ouvert au public en général ou à toute personne en démontrant un intérêt légitime.
  • le transfert est nécessaire à :
    • l'activité judiciaire (exercer ou défendre un droit en justice) ;
    • la protection des intérêts vitaux d’une personne, la personne concernée n’étant physiquement ou juridiquement pas capable de donner son consentement ;
    • la mise en œuvre de mesures contractuelles prises avec une tierce personne (morale ou physique), dans l’intérêt de la personne concernée ;
    • d’importantes raisons d’intérêt public ;
      • Commentaire : Cette notion d'« intérêt public » est abstraite et laisse le champ libre aux interprétations divergentes des Etats membres, leur permettant ainsi de justifier largement un traitement de données.
    • l’exécution d’un contrat (ou de mesures précontractuelles) avec la personne concernée ;
      • Commentaire : La dérogation au titre de mesures précontractuelles est bien trop permissive. Il s'agit de transferts de données personnelles. Qu'un professionnel puisse déroger aux protections de droit commun au simple titre de mesures précontractuelles est dangereux dans la mesure où le règlement ne définit pas ce terme. Il s'agit donc d'une faille du règlement, qui pourra donner lieu à des abus ainsi qu'à des applications différentes de la loi suivant les États. En effet, en droit des contrats la France reconnait la validité d'actes précontractuels, tandis que ce n'est pas toujours le cas au Royaume Uni.

Exécution du règlement

Les autorités nationales de contrôle (article 51 et s.)

Les autorités nationales de contrôle, ou Data Protection Authorities (DPAs), sont des autorités indépendantes.

La grande nouveauté apportée par le règlement est la consécration de la notion de « guichet unique ». Le règlement (art. 56) crée pour les autorités nationales une compétence unique pour chaque entreprise établie dans différents États membres. Autrement dit, si un consommateur souhaite par exemple déposer une plainte contre une entreprise établie en Irlande, ce consommateur ne pourra plus se tourner vers l'autorité française, mais devra s'adresser directement à l'autorité irlandaise. Cette évolution du droit des données personnelles est critiquable sous plusieurs aspects :

  • Pour les consommateurs de pays dont la langue est peu parlée, cette évolution réduira sans doute leurs possibilités de recours ;
  • Elle simplifiera le lobbying des entreprises, qui n'auront plus qu'à influencer qu'un seul acteur ;
  • Il y aura du forum shopping[14] : les grosse entreprises s'installeront dans les pays dont l'autorité nationale est la moins protectrice ;
  • Le principe du « guichet unique » limitera considérablement l'autonomie des autorités nationales. En effet, à la perte de compétences s'ajoutera une obligation de « contrôle de cohérence » préalable avec l'autorité concernée avant toute décision d'importance. Autrement dit les autorités les plus faibles risqueront de voir leur cohérence avec les plus fortes remise en question, et pourront être forcées de s'aligner.

En France l'autorité nationale est la Commission Nationale de l'Informatique et des Libertés (CNIL). Il en faut au moins une par pays, mais il peut y en avoir plusieurs (art. 51(3)), comme c'est par exemple le cas en Allemagne. Lorsqu'il y a plusieurs autorités dans un pays, l'une d'elles, appelée autorité chef de file, représentera le pays au comité européen de la protection des données (CEPD).


Missions

Ces autorités contribuent à l'application du règlement tout en coopérant entre elles et avec la Commission européenne. Elles traitent aussi toutes les réclamations, les notifications de failles de sécurité, la validation des BCR ou des codes de conduite et sont investies d'une mission de vulgarisation des enjeux et des dangers liés aux données personnelles auprès de la population.


Compétence (art. 55 et 56)

L'autorité nationale de contrôle, ou l'autorité chef de file s'il y a plusieurs autorités dans le pays, est compétente en matière de traitements transfrontières, qui sont les traitements :

  • Prenant place dans plusieurs États membres ou
  • Concernant ou susceptibles de concerner des individus dans plusieurs États membres.

Dans les cas où il y a plusieurs autorités dans un pays et que l'une d'elles est saisie d’une affaire elle doit laisser à l’autorité chef de file trois semaines pour choisir si elle souhaite s’en saisir.


L’autorité est compétente :

  • si une réclamation ou une infraction concerne uniquement un établissement présent sur son sol ou affectant des personnes concernées sur son sol,
  • ou à partir du moment où elle est l'autorité de l'établissement principal ou de l'établissement unique du responsable ou du sous-traitant (§1 de l'art. 56).


Comment savoir quelle est l'autorité compétente s'il y a plusieurs établissements (art. 56) ?

  • Pour le responsable : l’établissement décidant des moyens et finalités des traitements ou son administration centrale.
  • Pour le sous-traitant : son administration centrale dans l’UE ou, si n’en a pas, l’établissement de son activité principale.

Le Comité européen de la protection des données, ou CEPD (art. 68 et s.)

Le Comité européen de la protection des données (CEPD), ou European Data Protection Board (EDPB), est une des grandes innovations du règlement. Il est une autorité centrale, au dessus des autorités nationales de contrôle (DPAs en anglais), et remplacera l'actuel G29.

Il a la qualité d'organe de l'Union. En ce sens, il bénéficie de la personnalité juridique (art. 68).


Missions (art. 70)

Le CEPD rédigera un « rapport annuel sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et, s'il y a lieu, dans les pays tiers et les organisations internationales » (art. 71).

Il aura aussi pour mission, entre autre :

  • d'encadrer l'application du règlement,
  • de conseiller la Commission européenne,
  • d'agréer les organismes de certification, et l'examen périodique de ces organismes,
  • tenir un registre des responsables, sous-traitants et organismes certifiés,
  • de « publier des lignes directrices, des recommandations et des bonnes pratiques » sur :
    • les procédures de suppression des liens vers des données à caractère personnel en application de l'article 17,
    • les transferts de données, comprenant les transferts permis par des règles d'entreprise contraignantes (BCR)
    • les critères et conditions s'appliquant aux décisions fondées sur le profilage étatique (art. 22),
    • l'établissement des violations de données et la détermination des meilleurs délais, tout en précisant les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel,
    • les « circonstances dans lesquelles une violation de données à caractère personnel peut engendrer un risque élevé pour les droits et libertés des personnes physiques » (art. 34),
    • les procédures de signalement de contenu violant le droit à la protection des données, à proposer aux personnes concernées.

Il est aussi ressorti de l'atelier du 26 juillet 2016 organisé par le G29 que c'est le CEPD qui mettra en place les critères d'accréditation des organismes délivrant une certification.


Avis (art. 70 (q,r,s,t))

Le CEPD/EDPB doit rendre un ou plusieurs avis sur :

  • les icônes visés à l'art. 12, para. 7 ;
  • l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale (OI), ou un secteur déterminé (art. 66 c sexies)
  • la réévaluation d'un niveau de protection (art. 66 c sexies) ;
  • les exigences en matière de certification (art. 66 c quinquies bis).

Le CEPD/EDPB est saisi pour avis :

  • de toute question générale concernant l’application du règlement posée par une autorité de contrôle ou la Commission ;
  • des projets de décisions des autorités de contrôle qui :
    • arrêtent une liste de traitements devant être précédés d’une analyse d’impact ;
    • approuvent un code de conduite couvrant plusieurs États membres ;
    • approuvent un critère d’accréditation d’une entité surveillant un code de conduite ou de certification ;
    • déterminent des clauses contractuelles type en matière de contrat de sous-traitance ou de transfert hors UE ;
    • reconnaissent des clauses contractuelles ou des BCR comme suffisantes pour un transfert hors UE.

L’EDPB rend son avis par une majorité simple dans les deux mois, auxquels s’ajoutent six semaines si l’affaire est complexe, durant lesquels l’autorité qui a soumis son projet ne doit pas l’adopter.


Décision contraignante (art. 58bis)

L’EDPB prend une décision lorsque :

  • une autorité concernée a émis une objection non suivie à un projet de décision de l’autorité chef de file ;
  • une autorité prend une décision contraire à l’avis de l’EDPR ;
  • des autorités sont en désaccord sur l’identité de l’autorité chef de file.

Sa décision est prise : En 1 mois, à une majorité aux deux tiers ; En 1 mois supplémentaire si l’affaire est complexe ; En 2 semaines supplémentaires si la majorité n’a pas été atteinte, cette fois-ci à la majorité simple.

L’autorité concernée doit rendre une décision, conforme à celle de l’EDPB, dans le mois.

L’autorité ou les personnes directement concernées par la décision de l’EDPB peuvent en demander l’annulation devant la CJUE dans les deux mois de la publication de sa décision.

Une sanction pécuniaire lourde (art. 83 et 84)

Si les responsables du traitement ou les sous-traitants ne respectent pas le texte, ils risquent une sanction pécuniaire réellement dissuasive, pouvant aller jusqu'à 4% du chiffre d'affaire (CA) annuel mondial de l'exercice précédent (article 83.6). Ces amendes « sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, et point h) ».

Une sanction administrative prise par une autorité nationale (DPA) doit remplir trois critères cumulatifs :

  • être effective ;
  • être proportionnée et
  • être dissuasive.


Critères

L'imposition d'une amende prend en compte les 11 critères suivants :

  • la nature, la gravité et la durée de l'infraction, compte tenu de la nature, de la portée ou

de la finalité du traitement concerné, ainsi que le nombre de personnes concernées et le niveau de dommage qu'elles ont subi ;

  • que l'infraction a été délibérée ou commise par négligence ;
  • les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le

dommage subi ;applicable au cas concerné, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de l'infraction.

  • le degré de responsabilité du responsable du traitement ou du sous-traitant ;
  • les éventuelles infractions qu'ils ont déjà commises ;
Ce critère est dangereux, il poussera les entreprises à changer souvent d'employés afin de ne pas être inquiétées, alors que les ordres ne viennent généralement pas d'eux.
  • la coopération de la structure en faute avec lautorité nationale ;
  • les catégories de données à caractère personnel concernées par l'infraction ;
  • si l'infraction a été notifiée par le responsable ou le sous-traitant ;
  • si les mesures déjà demandées par l'autorité nationale n'ont pas été suivies (art. 58.2) ;
  • l'existence de code de conduite approuvés (art. 40) ou de mécanismes de certification approuvés (art. 41) ;
  • toute autre circonstance aggravante ou atténuante.


Deux régimes d'amendes

Le montant des amendes dépend des articles violés par la ou les infractions.

La règle pour l'établissement du montant d'une amende est que c'est toujours le montant le plus haut qui sera choisi. C'est à dire que lorsqu'un montant est établi sur le CA d'une structure, si le pourcentage est inférieur au montant minimum indiqué c'est ce montant minimum qui sera à régler. Si le pourcentage du CA est supérieur, c'est ce montant supérieur qui sera à payer.

  • L'amende sera entre 10 000 000 € et 2% du CA si l'infraction viole un des articles suivants (art. 83.4) :
    • les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;
    • les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;
    • les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.
  • L'amende sera entre 20 000 000 € et 4% du CA si l'infraction viole un des articles suivants (art. 83.5), qu'importe la structure en faute :
    • les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
    • les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
    • les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
    • toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
    • le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

Références

  1. Texte de la directive 95/46/CE.
  2. Fiche de procédure 2012/0010 (COD)
  3. Fiche de procédure 2012/0010 (COD)
  4. Texte du règlement, version du 12 mars 2014
  5. L'analyse sur cette page se fonde sur la numérotation de la version de décembre 2015. Voici la version finale en anglais et en français.
  6. La recherche en matière de ré-identification a démontré que des informations apparemment anonymes pouvaient être très facilement rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs. Il a ainsi été démontré (rapport(EN)) qu'il suffisait de connaître quatre lieux où une personne s'était rendue pour lui rattacher, avec 95% de certitude, la liste « anonyme » des déplacements enregistrés par son téléphone et transmise à ces entreprises. C'est donc plus fiable que les empreintes, qui nécessitent douze points de comparaison au lieu de quatre !
  7. P. Blume, « The Data Subject », European Data Protection Review, Volume 1, Numéro 4, 2015, pp. 258 à 264 . Dans son article Blume souligne que distinguer les enfants des autres personnes physiques ouvre une brèche dans le droit des données personnelles en ce que cette prise de position implique qu'il n'est pas attendu que les personnes adultes incapables ne nécessitent pas un traitement particulier. Par ailleurs, Blume souligne aussi que dans les faits, la décision Google Spain prouve que les juges distinguent in contreto entre les personnes publiques et les personnes dont la vie privée justifie le déréférencement.
  8. Page 18.
  9. https://www.laquadrature.net/files/GDPR-Comments_on_Chapter_III_final.pdf
  10. Dans son intervention au CPDP le porte parole de Digital Right Ireland, M. McIntyre a souligné qu'associer ce droit à des relations purement commerciales n'était pas une bonne approche du principe de portabilité. En effet, ce principe a un potentiel en tant que facteur de transparence et est porteur de la promesse qu'appliqué aux données traitées par les administrations publiques, les citoyens auraient un droit de regard et de correction sur la façon dont leurs données sont traitées (exemple : données énergétiques).
  11. Estelle Massé est analyste politique chez Access Now, une organisation membre d'EDRi.
  12. Lors de son webinar avec Max Schrems et Estelle Massé du 9 mars 2016.
  13. Pour aller plus loin, voir l'intervention (27 min.) sur le fichage institutionnel de Laurence Blisson, représentante du Syndicat de la magistrature, lors de la conférence de l'Observatoire des libertés et du Numérique (OLN) sur les données personnelles. L'OLN regroupe Amnesty International, le Syndicat de la Magistrature, le Syndicat des Avocats de France, la Ligue des droits de l'Homme, La Quadrature du net et le CECIL.
  14. C'est à dire que l'entreprise s'installe où les autorités nationales ou locales sont les plus faibles ou les plus dépendantes de l'exécutif - comme l'évasion fiscale.