Vous aurez probablement remarqué que depuis quelques jours les courriels d’adaptation de conditions générales fleurissent dans votre boite mail. Rien d’étonnant vu que le règlement général sur la protection des données 2016/679 (« RGPD ») entrera en vigueur le 25 mai prochain. Toute personne « responsable du traitement » (c’est-à-dire toute personne qui définit les buts et moyens d’un traitement de données à caractère personnel d’une personne physique) doit ainsi se mettre en conformité avec les nouveautés introduites par le RGPD, et elles ne sont pas minimes !
Sans pouvoir revenir sur l’intégralité des nouveautés introduites par le RGPD dans le cadre de la présente Actualité, nous proposons de le parcourir dans ses (très) grandes lignes.
Tout d’abord le champ d’application territorial profite d’un large élargissement (par rapport à la directive 95/46 qui régissait la matière) puisque désormais, non seulement les traitements effectués dans le cadre des activités d’un responsable de traitement établi dans l’Union sont soumis au droit européen des données à caractère personnel, mais aussi, les traitements effectués par un responsable qui n’est pas établi dans l’Union européenne lorsque ce traitement concerne des personnes qui se trouvent sur le territoire de l’Union ou, au suivi de leur comportement, pourvu que celui-ci ait lieu dans l’Union (article 3 RGPD).
Le champ d’application matériel et personnel du règlement subit moins de changements puisqu’il s’agit toujours de réglementer le traitement automatisé en tout ou partie de données à caractère personnel d’une personne physique par un responsable du traitement (voir ci-dessus et article 2 RGPD).
Aux cinq grandes règles préexistantes en la matière, relevant de la responsabilité du responsable du traitement, (licéité, loyauté, limitation des finalités (1), minimisation des données (2), exactitude (3), limitation de la conservation (4), ainsi que intégrité et confidentialité (5)) le RGPD ajoute désormais la transparence, la sécurité des données et l’ «accountability » (« responsabilité »). Cette dernière règle implique que le responsable du traitement soit à tout moment en mesure de démontrer qu’il respecte effectivement le règlement (article 5, §1, et 5, §2, du règlement).
Le consentement de la personne concernée au traitement de ses données personnelles est essentiel. Il doit s’agir d’une manifestation de volonté libre, spécifique, éclairée et univoque (article 4, 11° RGPD). Par ailleurs le consentement doit pouvoir être retiré à tout moment et le retrait doit être aussi simple que le consentement en lui-même (article 7, §3 RGPD). Enfin, en-dessous de 16 ans, le consentement ne peut être donné que par le « titulaire de la responsabilité parentale », ce que le responsable du traitement devra s’efforcer de raisonnablement vérifier (article 8, §1 et 8, §2 RGPD).
Outre le droit de retrait, prévu à l’article 7, §3, les articles 12 à 22 prévoient les différents droits « de la personne concernée » ; le droit d’accès, de rectification et d’opposition. A cette liste s’ajoutent désormais le droit à la limitation du traitement, le droit à ne pas être soumis à des décisions entièrement automatisées, le droit à la portabilité des données et, enfin, de manière explicite, le droit à l’effacement des données (droit qui avait déjà été affirmé par la jurisprudence dans l’arrêt Google du 13 mai 2014, C-131/12).
Ainsi, les entreprises (ou entités) collectant des données personnelles de personnes physiques dans l’Union (ou dans les Etats tiers dans l’hypothèse où le RGPD leur est applicable, voir ci-dessus) devront désigner un délégué à la protection des données dans trois cas prévus à l’article 37, §1 RGPD. Sa désignation est par ailleurs conseillée par la Commission de protection de la vie privée même lorsqu’il n’existe pas d’obligation en ce sens. Le délégué doit posséder une expertise dans le domaine de la protection des données personnelles et doit pouvoir conseiller l’entreprise.
Ces entités devront par ailleurs passer en revue le types de données qu’elles traitent ainsi que l’éventuelle nécessité d’obtenir le consentement des personnes physiques concernées et, éventuellement, adapter leurs conditions générales. Ces responsables du traitement devront également se préparer à l’éventualité que certaines personnes physiques mettent en œuvre leur droits (voir ci-avant). Il conviendra également de vérifier l’âge de ces personnes et d’agir en conséquence. Il serait également judicieux de prévoir une procédure dans l’hypothèse où une violation dans le traitement des données surviendrait.
Nous renvoyons au règlement lui-même et à la doctrine, de plus en plus abondante, sur le sujet pour d’autres développements sur le RGPD et sa prochaine entrée en vigueur. Notons par ailleurs que les législateurs nationaux sont appelés à adopter des mesures nationales de mise en œuvre du RGPD et qu’il conviendra également de s’y référer.
Laura Marcus, « Protection des données à caractère personnel : une (r)évolution », Actualité du 4 mai 2018, disponible sur www.ceje.ch