Le Règlement général sur la protection des données (RGPD) contient diverses avancées pour encadrer la collecte et le traitement des données personnelles. Pour le particulier, cela se traduit par un certain nombre de droits. Voici les principales mesures qu'il faut retenir.

C’est le 25 mai que le Règlement général sur la protection des données (RGPD) a été appliqué. Imposé y compris aux entreprises basées hors de l’Union européenne, mais qui s’adressent à des personnes européennes, le texte détermine le socle de droits et de devoirs applicables aux traitements visant les données à caractère personnel, sur Internet, mais pas seulement.

99 articles composent ce texte, qui remplace une directive datant de 1995. Ils sont répartis dans 7 grands chapitres.

Il est à noter que certains articles s’adressent surtout aux professionnels et aux juristes, qu’il s’agisse des certifications de conformité au RGPD (article 42), de la définition du consentement (4.11), de l’obligation de faire des études d’impact en cas de risque (35), de l’obligation de faire du « privacy by design » par défaut (25) ou bien le rôle-clé du délégué à la protection des données (37 et suivants).

Si toutes ces dispositions ont bien sûr un rôle à jouer dans cette mécanique juridique, il y a des mesures qui revêtent une importance particulière et méritent donc qu’on s’y attarde, parce qu’elles concernent directement la population. C’est l’objet de ce guide, deuxième de notre série RGPD. Vous trouverez toutes les informations pratiques sur notre hub.

Le consentement de l’internaute

Il n’est plus question de supposer le consentement des internautes par des artifices juridiques, par un simple lien pointant vers une politique de vie privée ou par des cases d’acceptation pré-cochées par défaut. Toute entité qui procède à la collecte et au traitement de données personnelles doit obtenir au préalable un accord écrit, clair et explicite des individus.

Attention, toutefois : le recueil du consentement des personnes n’est absolument pas nécessaire dans tous les cas de collecte de données à caractère personnel. Si le RGPD insiste sur la question du consentement, c’est essentiellement sur les modalités de recueil de celui-ci, qui sont précisées : libre, explicite, spécifique, informé.

Cette collecte de données peut reposer sur d’autres bases juridiques, comme l’exécution d’un contrat, l’intérêt légitime du responsable de traitement, le respect d’une obligation légale, etc. Le recueil du consentement est seulement une des bases possibles pour collecter des données personnelles de manière légale, mais pas la seule et surtout pas nécessairement la plus utilisée.

Par exemple, si le consentement « est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples », explique le RGPD.

Bien entendu, outre la nécessité de matérialiser l’adhésion en laissant à l’internaute le soin de cocher lui-même la case requise (« opt in »), le Règlement rappelle que cette acceptation peut être retirée à tout moment, sans qu’il ne soit besoin de donner la moindre justification. Le fait de retirer son accord n’affecte en aucune façon le traitement qui a été opéré pendant la période où il a été donné.

La mesure est inscrite à l’article 7 du RGPD.

cgu-contrat
CC Catkin

Inscription d’un enfant

En dessous d’un certain âge, l’inscription d’un enfant à un réseau social requiert une autorisation des parents. Le RGPD laisse une marge d’appréciation aux États pour déterminer l’âge adéquat à partir duquel un mineur n’a plus besoin de solliciter au préalable son père ou sa mère (ou la personne qui exerce l’autorité parentale) avant d’ouvrir un compte en ligne.

Cette mesure ne porte pas que sur les réseaux sociaux

Il peut donc exister des seuils différents selon les pays membres de l’Union. En France, l’Assemblée nationale a estimé que l’âge de 15 ans constitue le seuil adéquat partir duquel un jeune peut s’inscrire sans demander de compte à personne. En la matière, l’Union européenne exigeait simplement que ce seuil dût se trouver dans la tranche d’âge 13 – 16 ans.

Il est à noter que cette mesure ne porte pas que sur les réseaux sociaux. Elle couvre toute « offre directe de services de la société de l’information aux enfants ». Elle a été mise en place du fait de la collecte et du traitement de données personnelles relatives à un enfant. Par ailleurs, il est exigé du service qu’il mette en place des moyens permettant de vérifier ce consentement.

Cette disposition figure à l’article 8 du RGPD.

CC Pexels

Portabilité des données

Vous ne voulez plus utiliser Spotify pour écouter de la musique, mais plutôt Apple Music ? Vous comptez délaisser Facebook au profit de Diaspora ? L’envoi de courriers électroniques avec Gmail, c’est terminé, place à ProtonMail ? Le Règlement général sur la protection des données prévoit un mécanisme de portabilité, qui vous offre la possibilité de passer d’un service à un autre.

Emporter avec soi ses données

Le droit à la portabilité des données permet en effet d’emporter avec soi ses données — celles qui ont été collectées, traitées et produites via un service en ligne — pour les importer vers une plateforme concurrente, sans avoir, dans la mesure du possible, à perdre quoi que ce soit au cours de ce déménagement. En principe, l’internaute n’a même pas besoin de se charger de cette migration.

Lorsque cela est techniquement possible, indique le RGPD, un individu « a le droit d’obtenir que ses données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ». Naturellement, ces informations doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine », afin que le transfert se fasse de façon automatisée et pas de manière manuelle.

L’article 20 du RGPD porte sur la portabilité des données.

CC grover_net

Droit à l’effacement

Le RGPD prévoit un « droit à l’oubli », plus exactement un droit à l’effacement. Il est à noter que ce droit n’est pas né avec ce Règlement : il est reconnu depuis 2014, sous la forme d’un droit au déréférencement, faisant suite à l’arrêt rendu par la Cour de justice de l’Union européenne. En gros, celui-ci oblige Google à tenir compte des requêtes d’internautes demandant le retrait de certains liens les concernant.

Ici, la reconnaissance de ce droit à l’effacement permet à un particulier de demander la suppression des données qui lui sont liées, y compris chez les sous-traitants et les partenaires, à condition que leur conservation ne soit pas nécessaire pour un motif légitime (raisons historiques, scientifiques, statistiques, de santé publique, d’exécution d’un contrat, judiciaires…), y compris le droit à la liberté d’expression.

Ce droit doit être exécuté par le ou les responsables du traitement « dans les meilleurs délais » et la personne qui l’exerce a plusieurs motifs à disposition pour arriver à ses fins : il peut s’agir d’un retrait du consentement, de la constatation que les données personnelles ne sont plus requises pour les finalités pour lesquelles elles ont été recueillies, d’une obligation légale, d’un caractère illicite du traitement, etc.

C’est à l’article 17 du RPGD que l’on retrouve ce droit.

crayon-gomme-efface
CC Maxime Marais

Profilage par algorithme

Il n’est pas admissible qu’une décision entraînant des conséquences sur un individu ne repose que sur des algorithmes. C’est ce qu’énonce le RGPD : une personne «  a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cependant, cette consigne générale a plusieurs exceptions : si par exemple vous donnez votre consentement explicite, alors il pourra vous être appliqué une décision individuelle automatisée, y compris le profilage. Idem si une détermination purement algorithmique est « nécessaire à la conclusion ou à l’exécution d’un contrat » ou si elle est «  autorisée par le droit de l’Union ou le droit de l’État membre ».

Ce dernier point est contrebalancé par le critère de l’existence de « mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Il n’est donc pas question d’interdire purement et simplement ces décisions sur cette base, mais de les limiter et de les encadrer. La portée exacte de l’article reste toutefois à analyser en pratique, tant il semble souple.

L’article 22 du RGPD est consacré à cette disposition.

open-data-code
CC Ilya Pavlov

Actions de groupe

Avec le Règlement général sur la protection des données, les particuliers pourront être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données. Les individus pourront ainsi plus facilement se défendre en se regroupant sous une même bannière, plutôt que de partir dans une croisade solitaire. Tout le monde n’est pas Max Schrems.

Le RGPD précise que sont habilités à mener ces actions collectives les organismes, organisations et associations à but non lucratif « qui ont été valablement constitués conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et sont actifs dans le domaine de la protection des droits et libertés des personnes concernées », dans le cadre de la protection des données personnelles.

Il est à noter que ce type de recours est prévu depuis le 18 novembre 2016 par la loi de modernisation de la justice du 21e siècle. Plus exactement depuis mai 2017, car un décret prenant « les dispositions de coordination nécessaires à l’introduction d’un socle commun aux actions de groupe et à la création de l’action en reconnaissance des droits » était requis pour compléter le dispositif juridique.

L’article 80 du RPGD détaille ce mécanisme.

Allégorie justice
CC Tim Evanson

Information en cas de piratage

Vous vous souvenez du piratage de la société Uber, révélé fin novembre 2017 ? À l’époque, on apprenait que les informations de 57 millions de clients avaient été dérobées, dont 1,4 million de Français. De nombreuses critiques avaient alors été émises, notamment de la part du gouvernement français et des autorités de protection de la vie privée en Europe, parce qu’Uber n’avait procédé à aucun signalement.

Le RGPD inclut un droit d’information en cas de piratage des données

Le RGPD inclut un droit d’information en cas de piratage des données  : si une entreprise ou une organisation quelconque est victime d’un piratage de données de ses clients ou de tiers, elle devra immédiatement en informer l’autorité de protection des données — en France, c’est la Cnil — et dans le cas où cette divulgation ne pose pas de problème de sécurité, en informer les principaux concernés.

La notification aux particuliers n’est pas obligatoire. Elle dépend de certains paramètres, si par exemple « le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées », de sorte que les données dérobées sont « incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès », grâce au chiffrement.

Les articles 33 et 34 du RGPD encadrent l’impératif de notification.

alerte
CC Alan Levine

Guichet unique

Vous avez un problème avec une entreprise qui traite vos données personnelles, mais celle-ci ne se trouve pas en France ? Vous pouvez quand même vous adresser à la Commission nationale de l’informatique et des libertés (Cnil), qui portera alors votre réclamation auprès de l’autorité de protection des données du pays dans lequel l’entreprise a son établissement principal.

Un cas de figure est proposé par la Cnil pour illustrer ce mécanisme :

Si une banque a son siège social en Allemagne, mais que son département assurance est localisé en Autriche, là où sont prises les décisions sur les traitements en matière d’assurance, alors c’est l’équivalent allemand de la Cnil qui sera missionné pour contrôler ces traitements en matière bancaire, tandis que leur homologue autrichien sera sollicité pour les traitements en matière d’assurance.

L’Union européenne étant une force politique de 28 États membres, il y a de fait une ribambelle d’autorités de contrôle. Si chacune incarnera à un moment où à un autre le rôle d’autorité de contrôle chef de file, en fonction de l’emplacement des établissements visés par les réclamations, le Règlement prévoit naturellement divers mécanismes de coopération, d’assistance mutuelle et d’opérations conjointes.

Ce mécanisme est organisé par les articles 56 et 60, 61 et 62 du RGPD.

europe-drapeau
CC Giampaolo Squarcina

Grosses amendes

Jusqu’à récemment, le droit français n’autorisait la Cnil qu’à infliger des amendes de 150 000 euros maximum, ce qui est absolument insignifiant pour contraindre des grands groupes internationaux — on pense à Google, Facebook ou Amazon — à se montrer plus précautionneux envers les données personnelles qu’ils collectent et traitent. Avec le RGPD, on change complètement d’échelle.

Les plafonds des sanctions prévues par le texte sont en effet particulièrement élevés : en cas d’infraction sur la protection des données, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Naturellement, il est attendu du discernement de la part des autorités qui prononceront ces amendes. Pour décider s’il y a lieu d’imposer une amende administrative et, le cas échant, fixer le montant de la peine, il faudra prendre en compte divers critères, comme la gravité de l’incident, la coopération du responsable du traitement, les actions correctrices, le nombre de personnes touchées, etc.

L’article 83 du RGPD est consacré aux amendes administratives.

euro-argent
CC Skitter

Partager sur les réseaux sociaux