Accord sur le Règlement européen de protection des données personnelles

18 décembre 2015

Le 15 décembre 2015, la Commission, le Parlement et le Conseil des Ministres de l'Union européenne sont parvenus à un accord sur le Règlement sur la protection des données personnelles, après plusieurs mois de négociation tripartite.

Ceux qui traitent des données à caractère personnel auront plus d'obligations et de responsabilités. Les personnes auront d'avantage de droits. Les autorités nationales de protection des données personnelles auront des pouvoirs de contrôle et de sanction plus importants.  Le Règlement s'applique aussi aux organisations hors de l'U.E. qui vendent des biens ou des services aux résidents de l'U.E. ou qui observent leur comportement. Il impose aussi aux responsables de traitement de mettre en place des mesures de protection des données personnelles dès la conception ("privacy by design") et par défaut.

Le Règlement reste muet sur la question de l'invalidation récente du  dispositif américain dit de "Safe Harbor" applicable aux transferts de données aux Etats-Unis : ce point devra être réglé séparément.

Le Règlement doit maintenant être formellement approuvé par les institutions de l'U.E. et sera publié au journal officiel début 2016. Il entrera ensuite en vigueur deux ans et vingt jours à compter de sa date de publication. 

La note ci-dessous fournit un récapitulatif des points principaux du Règlement. Au cours des semaines et des mois à venir, nous fournirons d’autres informations plus détaillées, en indiquant également les mesures à prendre par les organisations pour préparer l’entrée en vigueur du Règlement et s’y conformer.

Un champ d’application extra territorial très vaste

Application aux organisations établies dans l’UE

Quelles sont les données couvertes ?

Données pseudonymisées

Consentement explicite ou consentement indubitable?

Les enfants sont-ils habilités à donner leur consentement ?

Responsabilité, Etude d’Impact et Délégué à la Protection des Données

Transparence

D’avantage de droits pour les personnes

Responsables de traitements et Sous-traitants

Dommages et sanctions

« Guichet unique » (ou pas ?)

Déclarations et tenue des registres de traitements

Mise en œuvre de la directive relative à la protection des données à caractère personnel traitées par la police et les autorités judiciaires pénales


Un champ d’application extra territorial très vaste

Le Règlement s’appliquera à tout traitement de données à caractère personnel concernant des résidents de l’UE, pour : (1) leur offrir des biens ou des services ou (2) observer leur comportement au sein de l’UE. Ceci sera le cas même si l’organisation traitant les données à caractère personnel n’est pas établie dans l’UE.

Les facteurs pertinents pour évaluer cette portée extraterritoriale incluront la langue / la devise utilisée(s) dans les États membres de l’UE ; la capacité à passer des commandes dans l’UE ; les références faites à des utilisateurs ou clients dans l’UE. Le suivi des résidents de l’UE sur Internet, afin de créer des profils ou d’analyser ou de prévoir leurs préférences et leur comportement, est également couvert par le champ d’application.

Si une organisation hors de l’UE entre dans ce champ d’application très vaste du Règlement, elle devra alors désigner un représentant au sein de l’UE.

Application aux organisations établies dans l’UE

Comme dans le système actuel, le Règlement s’appliquera également aux traitements de données à caractère personnel mis en œuvre par une organisation « établie » dans l’UE (ce qui implique une forme d’établissement stable au sein de l’UE).

Quelles sont les données couvertes ?

Le Règlement s’applique aux données qui permettent d’identifier une personne vivante ou qui la rendent identifiable (par quiconque). Le critère actuel qui consiste à déterminer « tous les moyens susceptibles d’être raisonnablement utilisés » pour cette identification, est conservé.

Le Règlement souligne le fait que certaines catégories de données en ligne peuvent revêtir un caractère personnel ; identifiants en ligne, identifiants de l’appareil, données collectées via les cookies et adresses IP. En ce qui concerne les adresses IP, la Cour de justice de l’Union européenne devrait fournir des éclaircissements courant 2016 suite à un renvoi de la Cour suprême allemande (Bundesgerichtshof) déposé le 17 décembre 2014 (Affaire C-582/14).

Le concept actuel de données sensibles à caractère personnel est retenu et est étendu de façon à couvrir les données génétiques ainsi que les données biométriques. Comme avec la Directive actuelle, le traitement des données sensibles à caractère personnel fait l’objet de conditions plus strictes que pour d’autres formes de données personnelles. Les données sensibles pourront être traitées en cas de consentement explicite des personnes concernées.

Données pseudonymisées

Un nouveau concept de « pseudonymisation » a été introduit : il s’agit d’une technique d’amélioration de la protection de la vie privée selon laquelle les informations qui permettent que les données puissent être attribuées à une personne spécifique sont conservées séparément et soumises à des mesures techniques et organisationnelles afin d’assurer l’anonymat.

Les données pseudonymes restent une forme de données à caractère personnel. Toutefois leur utilisation est encouragée. Il s’agira par exemple d’un critère à considérer pour déterminer si le traitement est « incompatible » ou non avec les finalités pour lesquelles les données à caractère personnel ont été à l’origine collectées et traitées.

La pseudonymisation est également présentée comme un exemple de technique permettant de répondre aux exigences de mise en œuvre de mesures de protection de la vie privée dès la conception et par défaut, et qui peut constituer un moyen de répondre aux obligations d’assurer la sécurité des données.

Finalement, pour les organisations qui souhaitent utiliser des données à caractère personnel à des fins de recherches historiques ou scientifiques ou à des fins statistiques, l’utilisation de données pseudonymes est rendue obligatoire dans la plupart des cas.

Consentement explicite ou consentement indubitable?

Le consentement doit être indubitable. Seul le consentement requis pour traiter des données à caractère personnel sensibles doit être explicite, mais, il n’est pas nécessaire qu’il le soit pour le traitement d’autres types de données à caractère personnel.

Le consentement doit demeurer spécifique, éclairé et actif. Le consentement peut être exprimé par le choix de certains paramètres techniques ou au moyen de toute autre forme de déclaration ou conduite indiquant clairement une acceptation. Le silence ou l’inaction ne suffisent pas.

Le consentement doit être donné librement et les personnes doivent pouvoir le retirer (sans encourir de préjudice). L’utilisateur ne doit pas être tenu de donner son consentement pour pouvoir conclure un contrat ou bien bénéficier d’un service.

Les organisations doivent également demander des consentements séparés pour la mise en œuvre d’opérations de traitement séparées. Il apparait que les consentements forcés ou « omnibus » ne seront pas valables : les organisations devront donc concevoir de nouveaux mécanismes de consentement de façon à offrir un véritable choix à la personne afin que le consentement de celle-ci soit valable.

Par principe, il ne sera pas nécessaire d’obtenir le consentement de la personne pour procéder à tout traitement de données personnelles, car le consentement n’est pas le seul fondement juridique possible du traitement : les autres fondements juridiques possibles continueront à exister, incluant la nécessité contractuelle, le respect d’une obligation légale (d’un État membre ou de l’UE) et lorsque le traitement sera nécessaire à la poursuite des intérêts légitimes du responsable du traitement (ou d’une autre organisation), à condition que les droits à la protection des données de la personne ne l’emportent pas sur ces intérêts. Le traitement dans le but d’éviter des fraudes, le traitement à des fins de marketing direct et le traitement pour la sécurité du réseau sont tous cités comme des exemples de traitement mis en œuvre pour une finalité légitime. Le partage des données (à la fois relativement aux employés et clients) à l’intérieur d’un groupe peut également représenter un intérêt légitime.

Les organismes publics ne sont toutefois pas admis à se prévaloir de cette justification par l’intérêt légitime.

Les enfants snt-ils habilités à donner leur consentement ?

Peut-être.

Les enfants de moins de 13 ans ne peuvent en aucun cas donner leur consentement au traitement de données à caractère personnel requis pour la fourniture de services en ligne (par ex. la fourniture d’une adresse de courrier électronique ou d’un compte Facebook). À 16 ans et plus, ils peuvent donner leur propre consentement. Entre les deux, par défaut, c’est le consentement parental qui prévaut, sauf si les États membres décident de réduire l’âge requis.

Il n’existe pas de règles spécifiques relatives au consentement parental en ce qui concerne le traitement des données hors ligne : dans ce cas ce sont les règles habituelles des États membres qui s’appliquent.

Responsabilité, Etude d’Impact, et Délégué à la Protection des Données

Il ne suffira pas aux organisations d’être responsables de la conformité de leurs traitements, elles devront de surcroit être capables de démontrer leur conformité aux principes de protection des données personnelles, y compris par l’adoption de politiques et de procèdures. Le respect de codes de conduite approuvés pourra être une façon de démontrer la conformité (à la fois pour les responsables de traitement et pour les sous-traitants).

Lorsque de nouvelles technologies seront utilisées pouvant présenter un risque élevé pour le respect de la vie privé des personnes (comme des activités de surveillance, des évaluations systématiques ou le traitement de certaines catégories de données sensibles), le responsable de traitement devra entreprendre une évaluation détaillée de l’impact sur la vie privée et la documenter en évaluant notamment les risques et la façon dont il peut les limiter. Là encore, le respect d’un code de conduite établi pourra aider. Lorsque l’étude d’impact concluera à un risque important pour les personnes concernées, le responsable de traitement devra alors impliquer l’autorité de contrôle de la protection des données, et obtenir son avis.

De plus, chaque responsable du traitement des données qui est un organisme public, ou bien qui est impliqué dans certaines activités dites sensibles devra désigner un délégué à la protection des données. Un groupe de sociétés pourra désigner un délégué commun.

Transparence

Les organisations seront tenues de fournir des informations détaillées aux personnes sur le traitement de leurs données. Le Règlement combine les différentes obligations de transparence qui s’appliquent à ce jour dans toute l’UE. Les listes d’information à fournir couvrent 6 pages du Règlement ; cependant les organisations devront réussir là où les instances européennes ont échoué, car elles devront fournir ces informations de façon concise, transparente, intelligible et facilement accessible. L’utilisation d’icônes normalisées pourrait être une solution, si la Commission choisit ultérieurement de les introduire au moyen d’actes délégués. 

Davantage de droits pour les personnes

Les droits d’accès et de rectification sont maintenus. Certaines formes de protection sont prévues pour les responsables de traitement au cas où les demandes d’accès ne seraient pas raisonnables, voire seraient excessives.

Le droit à l’oubli est confirmé et les responsables de traitement qui ont rendu des données à caractère personnel publiques doivent prendre des mesures raisonnables pour répercuter auprès de tiers une demande d’effacement des données à caractère personnel faite par la personne concernée. Le droit à l’oubli n’est pas absolu : les responsables peuvent continuer à traiter des données à caractère personnel malgré l’objection de la personne, si des raisons impérieuses et légitimes justifient la poursuite du traitement.

Les personnes disposent également de droits pour s’opposer à certains types de traitement. Là encore, ces droits ne sont pas absolus et les intérêts du responsable de traitement peuvent l’emporter sur ceux de la personne. S’opposer au traitement à des fins de marketing direct est un droit absolu, ceci s’applique d’ailleurs également au profilage lorsque ce profilage est lié au marketing direct.

La capacité des responsables de traitement à s’engager dans une prise de décision entièrement automatisée est limitée si cette décision peut avoir des effets juridiques ou peut affecter la personne de manière significative. La personne est alors en droit de s’opposer à ce traitement. Des protections appropriées pour la personne doivent également être mises en place. Si le traitement est nécessaire pour conclure un contrat ou l’exécuter, alors la personne ne pourra pas s’opposer au traitement, mais disposera d’un droit d’intervention humaine et d’un droit de recours envers la décision. Les décisions automatisées impliquant des données sensibles sont restreintes encore d’avantage.

Il existe un nouveau droit à la portabilité des données. Lorsqu’une personne aura fourni des données à caractère personnel à un prestataire de services, elle pourra demander à ce prestataire de « porter » les données vers un autre prestataire, à condition que cela soit techniquement faisable. Toutefois les liens entre ce droit à la portabilité des données et l’exigence de protection des données dès la conception (« by design ») et par défaut, ne sont pas clairs.

Responsables de traitements et Sous-traitants

Le système actuel selon lequel des responsables de traitement sont responsables des actes de leurs sous-traitants, est conservé. Cependant, dans certains domaines (par ex. dans le cas des transferts de données) les sous-traitants assumeront désormais également une responsabilité directe.

Le contrat permettant de désigner un sous-traitant devra être davantage détaillé : en particulier, le Règlement stipule que les sous-traitants devront demander l’autorisation du responsable de traitement pour désigner des sous-traitants ultérieurs et transférer des données à caractère personnel hors de l’EEE. Le Règlement reconnaît également le droit du responsable de traitement d’auditer le sous-traitant. Des contrats type sont prévus.

Si deux organisations déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel, elles seront alors conjointement responsables du traitement des données. Elles devront déterminer entre elles la façon dont elles vont respecter leurs obligations, mais les personnes dont les données sont traitées pourrontexercer leurs droits vis-à-vis de l’un ou l’autre des responsables conjoints. 

Dommages et sanctions

Les personnes ont le droit d’obtenir une indemnité en cas de dommage matériel ou immatériel de la part du responsable de traitement ou du sous-traitant, toutefois les sous-traitants ne seront tenus responsables que du non-respect des dispositions du Règlement concernant les sous-traitants, ou s’ils agissent sans respecter les instructions légales du responsable de traitement. 

Les organisations auront la charge de prouver qu’elles ne sont pas responsables de l’événement qui a été à l’origine du dommage.

Si plusieurs responsables de traitement ou sous-traitants sont impliqués dans le traitement de données, si l’un d’eux est responsable de l’un des dommages, il sera alors responsable vis-à-vis de la personne concernée pour tous les dommages causés, mais aura la possibilité de récupérer l’indemnité auprès des autres responsables de traitement.

Les autorités de contrôle pourront imposer des sanctions financières aux responsables de traitement ou aux sous-traitants (en fonction du type de disposition du Règlement qui n’aura pas été respectée). La sanction peut être adaptée en fonction de facteurs aggravants ou atténuants. L’amende maximale s’élèvera à 4% du chiffre d’affaires annuel total d’une entreprise au niveau mondial réalisé l’année précédente. Un plafond plus « bas » de 2% du chiffre d’affaires est prévu en cas de non-respect de dispositions mineures du Règlement.

« Guichet unique » (ou pas ?)

Le Règlement va révolutionner le processus de contrôle des règles de protection des données. Sauf dans les cas où une législation nationale spécifique s’applique, une autorité de contrôle principale située dans l’État membre de l’UE dans lequel une organisation impliquée a son « principal » ou unique établissement, sera en charge de contrôler l’application du Règlement. Un processus détaillé est défini en vertu duquel cette autorité fera le lien et coopèrera avec les autres autorités de contrôle, par exemple au cas où les autorités ne seraient pas d’accord les unes avec les autres, comprenant la création d’un Comité européen de la protection des données (CEPD) qui, entre autres donnera son avis sur certaines décisions prises. Le CEPD sera constitué d’un représentant des autorités de contrôle de chaque État membre de l’UE et d’un représentant de la Commission européenne (sans droit de vote.) Les organisations devront déterminer qui sera leur autorité de contrôle, sur la base de critères tels que le lieu d’établissement des fonctions de management pour la supervision du traitement des données qui permettra d’identifier l’établissement « principal », y compris lorsqu’une seule société gère les opérations d’un groupe. Le développement de bonnes relations avec son autorité de contrôle sera essentiel.

Déclarations et tenue des registres des traitements

Le système actuel de déclarations systématiques à l’autorité de contrôle sera supprimé. Mais pour le remplacer, les responsables de traitement et les sous-traitants devront tenir des registres internes sur les traitements qu’ils mettent en œuvre, comprenant les noms et coordonnées des sous-traitants, des responsables de traitement et des responsables conjoints. Une dispense est prévue pour les PME, à savoir pour les organisations employant moins de 250 personnes. Mais cette dispense ne s’applique pas si l’organisation s’engage dans un traitement à risques, dans le traitement de données sensibles, ou de données relatives à des condamnations pénales ou si le traitement n’est pas « occasionnel ». Au vu de cette dernière clause conditionnelle il apparait que de nombreuses start-ups en ligne ne seront pas exemptées de l’obligation de tenir un registre interne de leurs traitements. 

Notification des violations de sécurité

Les responsables de traitement devront notifier les violations de données :

- Aux autorités de contrôle, sans retard injustifié et sous réserve de faisabilité, dans les 72 heures à partir du moment où ils auront connaissance de la violation. La notification pourra se faire par étape si nécessaire.

  • Il n’y a pas d’obligation de notifier une violation insusceptible de porter atteinte aux droits des personnes, toutefois, les organisations devront tenir un registre des violations de façon à ce que les autorités de contrôle puissent évaluer la conformité
  • La notification devra contenir des détails sur la nature de la violation et sur sa portée (types de données,nombre de personnes et enregistrements concernés)
Aux personnes concernées également, mais seulement s’il apparait probable que la violation représente un « risque élevé » pour elles

  • Cette notification devra être effectuée sans délai, de façon claire, et devra indiquer les mesures prises pour atténuer l’atteinte aux droits des personnes ainsi que l’interlocuteur à joindre pour obtenir de plus amples informations.
  • La notification des violations ne sera pas obligatoire si le risque a pu être restreint (par ex. par le cryptage de données ou du fait des actions prise par le responsable de traitement suite à la découverte de la faille)

  • Cette notification pourra être effectuée par annonce publique dans certains cas.

Les sous-traitants devront faire part des violations aux responsables de traitement mais pas aux autorités de contrôle ni aux personnes.

Par ailleurs, les organisations relevant des dispositions distinctes de la directive relative à la sécurité des réseaux et de l’information (directive « cybersécurité ») devront s’assurer de mettre en place les processus permettant de respecter les dispositions des deux corpus législatifs, en particulier celles ayant trait à la notification des violations.

Transferts de données hors UE

Le système actuel est largement repris par le Règlement, avec quelques améliorations.

Les méthodes existantes de transfert de données à caractère personnel (autres que le Safe Harbor) restent reconnues par le Règlement. Les clauses contractuelles type et les pays figurant sur la liste blanche de pays disposant d’une protection adéquate conservent leur statut spécial, bien que la Commission doive revoir leur statut de façon continue. Les autorisations concernant les Règles internes d’Entreprise (BCR – « Binding Corporate Rules ») resteront valables et le texte du Règlement reprend toutes les règles actuelles applicables aux BCR pour les responsables de traitement et les sous-traitants. Ceci sera utile dans les quelques rares États membres de l’UE qui ne sont toujours pas en mesure de reconnaître des BCR.

Le processus actuel, selon lequel des transferts basés sur des clauses contractuelles type doivent être notifiés ou approuvés par des autorités de protection des données sera supprimé.

Ce qui est nouveau c’est que des transferts pourront également être autorisés sur la base de labels / certifications délivrés selon le régime de l’Article 39 du Règlement, à condition que le responsable de traitement ou le sous-traitant ait pris des engagements contraignants pour mettre en œuvre les garanties appropriées, y compris en matière de droits des personnes concernées. 

Finalement, le Règlement indique clairement qu’il est illégal de transférer des données à caractère personnel hors de l’UE sur la base d’une obligation résultant des règles d’un pays tiers à l’UE.

Cas particuliers

Dérogations générales : Les États membres conservent la capacité de prévoir des dérogations si cela s’avère nécessaire aux fins de sécurité nationale, de prévention et de détection des crimes et dans certaines autres situations spécifiques. Conformément à la jurisprudence de la Cour de Justice de l'Union européenne, ces dérogations doivent respecter l’essence même du droit à la protection des données et constituer une mesure nécessaire et proportionnée.

Recherche dans le domaine de la santé : les données sensibles pourront être traitées à des fins de santé publique (largement définie) et dans l’intérêt du public sans consentement, à condition que ce soit sur la base de la législation européenne ou de celle des États membres.

Recherche historique et scientifique et traitements à des fins statistiques : les données sensibles pourront également être traitées à ces fins si la législation européenne ou celle de l’État membre le prévoit. Les données devront être pseudonymisées dans la mesure du possible. 

Les États membres auront la possibilité d’adopter d’autres conditions (plus permissives, probablement) ou au contraire de  prévoir des limitations relativement au traitement de données génétiques, biométriques ou de santé.

En plus de l’accord sur le Règlement, un accord a été obtenu lors du trilogue européen sur la Directive relative à la protection des données dans le secteur de la police et de la justice pénale, censée remplacer la décision cadre du Conseil 008/977/JHA du 27 novembre 2008. Le Règlement prévoit qu’il ne doit pas s’appliquer aux  traitements poursuivant les finalités prévues par la directive, sauf si cela est expressément mentionné dans la directive.

La Directive prévoit de nouvelles règles relatives à la protection des données dans l’espace judiciaire et vise à assurer un haut niveau de protection des données à caractère personnel lorsqu’elles sont traitées par la police et les autorités judiciaires au niveau national. De plus, la Directive relative à la protection des données dans le secteur de la police et de la justice pénale prévoit en termes généraux que l’échange des données à caractère personnel soit facilité entre autorités chargées de l’application de la loi au sein de l’UE. La Directive relative à la protection des données dans le secteur de la police et de la justice pénaleva s’appuyer sur le Règlement, elle inclut un certain nombre de concepts compris dans le Règlement, comme la protection des données dès la conception et par défaut et la nomination d’un délégué à la protection des données. De plus, l’autorité de contrôle établie par le Règlement pourrait être la même que celle qui traiterait les affaires relevant de la directive relative à la protection des données à caractère personnel traitées par la police et les autorités judiciaires pénales. En outre, nonobstant l’existence de droits accrus au profit des personnes concernées inspirés par le Règlement, la Directive inclut des limitations quant au droit d’accès afin d’éviter par exemple de nuire à la prévention, à la détection, à la recherche ou à la poursuite d’infractions pénales. Cette Directive accorde aux personnes concernées le droit de recevoir une indemnisation si elles ont subi des dommages suite à un traitement non conforme aux dispositions qui seront adoptées conformément à la Directive.

La Directive relative à la protection des données dans le secteur de la police et de la justice pénale entrera en vigueur le premier jour suivant sa publication officielle. Toutefois, les États membres auront deux ans pour transposer les dispositions dans leurs lois nationales. Ce faisant, les États membres peuvent déterminer des normes de protection plus élevées que celles énoncées dans cette Directive

Retrouvez l’article en anglais >

Auteurs

Van Asbroeck-Benoit

Benoit Van Asbroeck

Partner
Belgique

Me joindre +32 (0)2 282 6000
Mole-Ariane

Ariane Mole

Partner
France

Me joindre +33 (0)1 42 68 6000

Ruth Boardman

Partner
Royaume-Uni

Me joindre +44 (0)20 7415 6000

James Mullock

Partner
Royaume-Uni

Me joindre +44 (0)20 7415 6000