Règlement général sur la protection des données : explications et résumé

Depuis le 25 mai 2018, le RGPD (dit règlement général sur la protection des données) ou en anglais GDPR (General Data Protection Regulation) est définitivement entré en vigueur. Les instances européennes ont travaillé, pendant plus de cinq ans, sur cette importante réforme de la protection des données. La directive de 1995 sur la protection des données (directive 95/46/CE) était jusque-là encore en vigueur, mais les évolutions technologiques des dernières décennies ont rendu bien nécessaire une révision et une amélioration de la législation sur la protection des données. En effet, en 1995, Internet n’était alors qu’à ses débuts. Aujourd’hui, la protection des données à l’échelle de l’UE doit faire face au Big Data, à l’industrie 4.0, à la robotique et à l’intelligence artificielle notamment.

Le règlement européen sur la protection des données sert avant tout un seul but : réglementer et harmoniser le traitement des données au niveau de l’Union européenne. Ceci soulève au moins deux questions pour les entreprises : quelles sont les réglementations qui me concernent ? Et quelles mesures doivent être prises pour garantir un traitement des données internes et externes conforme au RGPD ? Depuis son entrée en vigueur, des modifications doivent être apportées, notamment pour le commerce en ligne, ainsi qu’au niveau de la protection des données personnelles dans les entreprises et les organismes ou institutions. Si vous n’avez pas encore réussi à vous adapter et à vous conformer au nouveau règlement européen, il est alors grand temps de le faire. Pour vous aider, nous vous présentons un résumé de la nouvelle situation juridique ainsi que tous les points importants à prendre en compte et les mesures relatives au RGPD.

Les lois ou directives européennes prennent en général beaucoup de temps pour s’appliquer, même après une entrée en vigueur officielle. En effet, si une nouvelle directive européenne est adoptée après de longs débats par le parlement à Bruxelles et à Strasbourg, les 28 états membres se voient souvent accorder des périodes transitoires plus ou moins généreuses pour intégrer la loi dans la législation nationale. Ainsi, un temps parfois important peut s’écouler avant la mise en œuvre concrète.

Cependant en plus des directives, il existe un deuxième type de législation européenne : ce sont les règlements. Ces derniers n’offrent pratiquement aucune souplesse en termes de délai d’application. Ils sont juridiquement contraignants pour l’ensemble des pays membres, et touchent bien entendu les entreprises qui travaillent dans l’espace européen. C’est le cas du RGDP qui est un règlement et non une directive.

En avril 2016, le règlement européen sur la protection des données a été définitivement adopté par le Parlement européen, avec une période transitoire de deux ans, et est entré en action le 25 mai 2018. Depuis cette date, ce règlement fait office de loi officielle sur la protection des données pour tous les états membres de l’UE, surpassant toutes les législations nationales existantes. Ainsi, toutes les entreprises et autorités publiques qui travaillent avec des données à caractère personnel doivent mettre en œuvre désormais les nouvelles dispositions imposées par l’UE.

L’application du RGPD a commencé à produire ses premiers résultats. La CNIL, qui est en France chargée de collecter les manquements et les cas de violations du droit défini par le règlement européen a réalisé un second bilan chiffré (6 mois après son entrée en application). On y apprend que le RGPD n’est plus inconnu des français, puisqu’une courte majorité (54 %) estime comprendre ce que le RGPD a changé au niveau des droits des personnes et des obligations pour les professionnels. Plus de 1000 notifications de violations de données ont déjà été reçues par la CNIL mais dans le même temps 32 0000 organismes ont désigné un délégué à la protection des données (nous expliquons son rôle plus en avant dans notre article). Ce bilan plutôt positif sur la mise en application du RGPD révèle cependant qu’il reste encore du chemin à parcourir pour que l’ensemble des acteurs du Web (entreprises, organismes et administrations) adaptent leurs structures et systèmes informatiques aux exigences du RGPD.

En effet, concernant les professionnels, une étude de Cisco publiée en janvier 2019 indique que 59 % des entreprises en Europe et dans le monde répondent aux exigences du RGPD. 29 % des sociétés prévoient d’ici un an de le faire.

Mais l’ignorance n’est pas la raison principale des omissions. Il est vrai que les obstacles sont aussi l’incertitude juridique et le manque de clarté de la mise en œuvre du RGPD. D’où également la réaction du législateur français pour adapter et préciser la loi national avec le RGPD avec l’ordonnance du 12 décembre 2018. Son but est de simplifier la mise en œuvre et d’apporter des corrections pour être cohérent avec le règlement européen relatif à la protection des données à caractère personnel. Le texte procède donc à la réécriture de l’ensemble de la loi « Informatique et Libertés » de 1978. De plus, elle précise les missions de la CNIL.

Les modifications apportées par cette ordonnance accompagnent l’amélioration de l’articulation générale de la législation en matière de protection des données à caractère personnel mais aurait cependant pu permettre une plus grande cohérence ou clarification. Cette incertitude peut, il est vrai, toucher des pratiques assez courantes. Selon une interprétation juridique stricte, donner sa carte de visite peut ne pas être entièrement constitutif de consentement explicite à l’utilisation des données personnelles.

En cas d’infraction, les entreprises concernées par le RGPD sont menacées de lourdes amendes pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Des entreprises prestigieuses telles que Google ont déjà dû payer pour leurs échecs en matière de protection des données. Selon le cabinet d'avocats DLA Piper, la France à elle seule a infligé près de 55 millions d'euros d’amendes depuis l'entrée en vigueur du règlement, avec plus de 5 300 infractions signalées.

Les règlements de l’UE l’emportent sur les lois nationales ou sur le droit des États membres, c’est ce que l’on nomme le principe de primauté. Toutefois, le règlement général sur la protection des données comporte certaines clauses d’ouverture qui permettent aux États membres d’amoindrir ou de renforcer certaines règles ou dispositions sur la protection des données. C’est le cas par exemple de l’article 8 du règlement qui fixe à 16 ans le seuil d’âge à partir duquel un mineur pourra donner son consentement à ce que ses données personnelles puissent être collectées par des entreprises (Snapchat, Facebook etc.), mais laisse cependant aux parlements nationaux la possibilité de descendre jusqu’à 13 ans ; chaque pays est ainsi libre de renforcer cette disposition.

En France, pour l’instant, la majorité numérique a été fixée à 15 ans. Ainsi à partir de cet âge, un mineur peut consentir seul à un traitement de données à caractère personnel. Par contre, en dessous de 15 ans, l’accès aux données personnelles du mineur est soumis au double consentement de ce dernier et du titulaire de l’autorité parentale.

Le règlement général sur la protection des données a pour objectif principald’harmoniser au niveau européen le cadre juridique relatif à la protection des données. Alors que la directive de 1995 en vigueur dans l’espace européen offrait une certaine souplesse, le nouveau règlement donne lui beaucoup moins de possibilités d’actions unilatérales au niveau national.

Un deuxième domaine essentiel abordé par le RGPD concerne les changements technologiques intervenus au cours des 25 dernières années et les évolutions techniques futures. En effet, de nombreux défis en matière de protection des données sont encore à relever, par exemple au niveau de la collecte des données biométriques auprès des employés qui peut être obligatoire pour certains travaux sur des machines intelligentes. Il existe bien évidemment la tentation d’utiliser ces données à d’autres fins comme notamment pour calculer ou surveiller le rendement. Le nouveau règlement européen devrait également répondre à de tels développements ou de possibles dérives.

Un résumé du règlement général sur la protection des données doit en premier lieu aborder les changements liés aux données à caractère personnel. C’est notamment là que se produisent les changements les plus importants, et même si ce n’est pas le but originel du règlement européen général sur la protection des données, le RGPD renforce nettement la protection des données des particuliers. Tout un ensemble de paragraphes permet de réglementer et encadrer la collecte de données personnelles d’une manière compréhensible et appropriée.

Par exemple, la responsabilisation des entreprises, le processus de mise en conformité d’une entreprise (accountability) a été étendu : depuis la mise en place du règlement, des obligations plus contraignantes pour documenter et prouver quelles données une entreprise collecte sont obligatoires, et surtout à quelles fins une entreprise utilise ces données et enfin comment elle les traite. Le règlement général sur la protection des données ordonne avant tout un travail de documentation.

Les principes les plus importants en bref :

1. Interdiction de principe avec réserve d’autorisation : cela signifie que tout traitement de données à caractère personnel et « sensible » est interdit, à moins qu’il ne soit expressément autorisé à la fois par les personnes et par une autorité : en France, il s’agit de la CNIL. Ceci a provoqué auparavant de nombreuses controverses et des conflits juridiques. Mais toutes les données n’ont pas la même importance et il existe des données jugées « sensibles » comme la santé, les opinions, les origines ethniques, etc. Cependant, selon le RGPD, ce principe d’interdiction s’applique indifféremment à toutes les données personnelles. Il réaffirme donc le principe de la maîtrise par l’individu de ses données, et toute personne dispose ainsi du droit de décider et de contrôler les usages des données à caractère personnel la concernant.
2. La finalité : les entreprises ne peuvent collecter et traiter les données qu’à des fins spécifiques. Pour ce faire, les objectifs doivent être formulés avant la collecte, et l’utilisation future des données doit être documentée. Par exemple, dans le monde du travail, les données collectés par une entreprise pour rédiger un contrat sont stockées à ce titre et ne peuvent être utilisées à des fins publicitaires. Il s’agit là d’un autre objectif qui nécessite une justification particulière. Les changements d’objectifs ultérieurs ne sont autorisés que dans certaines circonstances.
3. Minimisation de la collecte : le principe de limitation ou de minimisation de données oblige les entreprises à collecter le moins de données possible. Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées, le fait de recueillir des données non pertinentes à la finalité énoncée est donc interdit. Ainsi, ce principe interdit la collecte de données « blinde » en mémoire.
4. Transparence : le traitement des données doit être clairement énoncé et compréhensible pour les personnes concernées. Ceci nécessite d’une part des déclarations de protection de données compréhensibles (des mentions d’information) et d’autre part, les utilisateurs bénéficient de droits étendus grâce aux progrès apportés par le RGPD : comme auparavant, les entreprises doivent fournir des informations sur les données dont elles disposent et sur l’utilisation de ces dernières.
5. Confidentialité : les entreprises doivent s’assurer qu’elles protègent les données personnelles de leurs clients sur le plan technique et organisationnel, qu’il s’agisse d’une protection contre un traitement non autorisé, d’altérations des données, de vols ou encore de la destruction des données. L’obligation explicite de prendre des mesures techniques pour sécuriser les données est nouvelle. Cependant, ces mesures ne sont pas précisément formulées dans le règlement européen de protection des données ; il existe donc plusieurs interprétations possibles. Dans le cas d’un vol de données, ceci va dépendre de l’adéquation des mesures de protection techniques et d’organisation en fonction du risque et du type de données collectées.

Tout d’abord, le règlement général sur la protection des données est une bonne base et une avancée pour tous les consommateurs, internautes et utilisateurs de systèmes informatiques. En effet, le RGPD assure une protection accrue. De plus, ce règlement européen affecte également les droits des employés.

Ces règles s’appliquent à toutes les entreprises qui emploient des salariés. Par ailleurs, de nombreuses entreprises sont concernées à plusieurs titres : la protection de la vie privée des employés (protection des données du travail) mais aussi des données clients, fournisseurs ou les utilisateurs des sites Web.

Désormais, toutes les autorités publiques et toutes les entreprises dont l’activité principale est liée au traitement de données à grande échelle doivent désigner un délégué à la protection des données, qui sera responsable, à l’échelle de l’institution ou de l’entreprise, de tous les sujets en rapport à la protection des données et de la mise en application du RGPD. Selon le règlement européen sur la protection des données, la désignation d’un tel délégué est obligatoire pour les autorités ou organismes publics et pour les entreprises dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et/ou dont les activités de base amènent à traiter à grande échelle des données dites « sensibles ». Ainsi, de nombreuses entreprises sont concernées par la désignation d’un délégué, et il peut même être judicieux pour d’autres entreprises de le faire également, afin d’aider et de garantir la sécurité juridique du processus de conformité au règlement général sur la protection des données.

Le RGPD modifie et encadre fondamentalement le rôle déjà existant au niveau national du Correspondant Informatique et Libertés (CIL). Son champ d’activité est élargi et sa responsabilité augmente. Cette tâche implique beaucoup de travail et le délégué doit se familiariser avec la nouvelle situation juridique. Pour cela, la Cnil offre un aperçu des obligations du délégué à la protection des données, qui est utile pour bien comprendre le rôle de ce dernier. Enfin, il est possible de retrouver sur ce sujet les lignes directrices de l’article 29 sur la protection des données sur les délégués à la protection des données (DPD).

Vous trouverez ci-après un résumé du règlement général sur la protection des données, qui tient compte en particulier des innovations et changements pour les exploitants de sites Web et pour les entreprises.

• Documenter la conformité : le RGPD met l’accent sur la responsabilité des entreprises, plus connue sous le terme d‘accountability. En effet, les entreprises sont obligées de documenter leur bonne conformité en matière de protection des données via une documentation interne. Les entreprises doivent être en mesure d’informer à tout moment les autorités compétentes, par le biais d’une liste correspondante, des données stockées, de la finalité et du traitement des données ainsi que la date à laquelle l’entreprise compte supprimer ces données.
• Privacy by Design : la notion de Privacy by Design signifie que les entreprises doivent dès la conception de la structure technique des processus tenir compte du respect de la protection des données. Il n’est plus autorisé de mettre en œuvre des mesures de protection de données de manière rétrospective : il faut les intégrer dès la conception d’un processus, service ou produit. De plus, ces derniers doivent donc être conçus de manière à ce qu’ils requièrent le moins de données personnelles possible (principe dit de « minimisation »).
• Privacy by Default : ou protection de la vie privée par défaut, cette disposition du règlement européen sur la protection des données stipule qu’en principe, la variante la plus respectueuse de la protection des données doit être techniquement prédéfinie et doit garantir le plus haut niveau de sécurité. Cela afin d’éviter aux consommateurs de se débattre pour obtenir des restrictions sur le traitement des données.
• Transparence et consentement : dans la majorité des cas, les individus doivent accepter explicitement l’utilisation de leurs données personnelles. En outre, le consentement de l’employé ou du consommateur n’est valable que pour les objectifs énoncés. De plus, la déclaration de consentement doit être formulée de manière claire et compréhensible et doit en principe être révocable. La révocation doit être aussi facile pour la personne que de donner son accord (consentement). Les exigences au niveau du consentement effectif ont été renforcées dans le cadre du RGPD.
• Suppression des données : les données personnelles ne peuvent être conservées que pour la durée nécessaire à l’objectif poursuivi. Si l’autorisation de traitement expire (par exemple si le consentement est révoqué), les données doivent être supprimées.
• Droit d’information et au déréférencement : les citoyens de l’Union européenne ont le droit de savoir, sur demande, quelles données sont détenues par une entreprise et comment elles sont utilisées. De plus, un consommateur peut aussi demander aux entreprises de supprimer les données. C’est notamment le droit au référencement qui est ainsi stipulé dans le RGPD.

Le règlement général sur la protection des données ne contient pratiquement pas de règles explicites pour l’e-commerce, mais énonce plutôt des principes généraux de la protection des données, dont les sous-domaines sont régis par d’autres lois et ordonnances. Néanmoins, les règles du RGPD apportent aussi quelques innovations pour le commerce en ligne. A ce sujet, pour plus d’informations, vous pouvez consulter les deux sections suivantes.

Outre les réglementations susmentionnées pour les entreprises, le RGPD implique finalement peu de changements pour le commerce en ligne. Les thèmes centraux pour les exploitants de sites Web comme les cookies, le suivi des utilisateurs, le spam et le marketing direct ne figurent pas explicitement dans ce règlement.

Mais le RGPD a en effet été complété par un autre règlement du Parlement européen sur la protection de la vie privée en ligne : c’est l’ePrivacy. Le 23 octobre 2017, le Parlement européen a voté la proposition de règlement, qui vise à modifier la directive du même nom qui date de 2002. Toutefois, il n’est plus possible de prévoir quand ce règlement supplémentaire entrera en vigueur, car les États membres de l’UE ne se sont pas encore mis d’accord sur une ligne commune. En effet, le projet en cours de discussion prévoit une exigence de consentement très stricte pour les cookies. Et si le texte est définitivement adopté dans son état actuel, il aura de sérieuses répercussions sur l’utilisation des cookies, le ciblage et la publicité personnalisée. Il faut donc encore attendre de voir comment ce texte va être modifié.

Néanmoins, les exploitants de sites Web et les acteurs en e-commerce doivent absolument surveiller l’évolution du règlement ePrivacy dit aussi « vie privée et communications électroniques » puisqu’il vise à renforcer la protection de la vie privée des citoyens européens dans le domaine du numérique.

Qu’est-ce qui a changé pour les exploitants de sites Web avec le règlement général de l’UE sur la protection des données ? Voici les principaux changements :

1. L’obligation de documenter la conformité avec le règlement général sur la protection des données
2. Des consentements et autorisations plus complexes
3. Les principes de Privacy by Design et Privacy by Default
4. L‘extension des droits à l’information et au déréférencement (suppression des données).
5. Le droit à la transférabilité des données
6. Des exigences d’information beaucoup plus étendues (par exemple pour la déclaration de protection des données d’un site Internet)
7. Interdiction de subordonner le consentementà l’exécution d’un contrat
8. Amendes très élevées

La principale nouveauté du RGPD pour les exploitants de sites Internet est le consentement au traitement des données. En effet, le consentement doit désormais relever d’un « acte positif clair » de la personne avec une liberté de choix. Cela signifie notamment que dans le formulaire une case pré-cochée au consentement va désormais être interdite. Il faut que la personne coche elle-même la case signifiant qu’elle donne son consentement. Il est désormais également prévu que la personne puisse retirer son consentement aussi facilement qu’elle l’a donné. Ce dernier point est une avancée au niveau du droit des données personnelles.

Enfin, les experts considèrent que le fait que l’exécution d’un contrat ne doive pas être subordonnée au consentement est la plus grande restriction imposée par le règlement général sur la protection des données. Ainsi, si vous demandez l’abonnement à une newsletter en même temps que la conclusion d’un contrat (réalisation d’un achat), vous êtes en violation avec le cadre du droit communautaire de l’Union européenne.

Au final, il ne faut pas oublier aussi les modifications apportées au niveau de la documentation, des autorisations, du stockage des données, des droits d’informations et enfin du droit de suppression.

Si vous désirez appliquer le règlement européen de base sur la protection des données, la première règle est déjà de savoir que les mesures requises varient d’une entreprise à une autre. Cependant, il y a certaines mesures et précautions que toute entreprise doit obligatoirement prendre en compte. Nous les listons ci-dessous :

• Établir une documentation de conformité pour le traitement des données personnelles.
• Définir une liste des activités de traitement.
• Établir des moyens de communications pour les requêtes et demandes des clients et des utilisateurs au sujet de la protection des données.
• Vérifier si vous devez désigner un délégué à la protection des données.
• Adapter la politique de confidentialité de votre site Internet à la nouvelle réglementation.
• Consulter le responsable de votre département technique et le délégué à la protection des données pour déterminer si les mesures techniques actuelles de protection des données sont suffisantes. Dans certains cas, des mesures complémentaires peuvent être prises ou alors il peut suffire de mieux intégrer vos mesures existantes dans l’infrastructure informatique.
• Toutes les données personnelles collectées qui violent l’interdiction de la subordination d’un contrat au consentement doivent être collectées différemment et en tant que données fournies de manière volontaire.
• Si vous avez chargé des prestataires de services externes (sous-traitance) d’administrer et de gérer les données personnelles de votre entreprise, vous devez préciser avec eux si les accords conclus correspondent à la réforme de la protection des données, et si nécessaire modifier vos accords pour être en conformité avec les nouvelles spécifications.
• Vérifiez comment vous obtenez l’accord, le consentement de vos clients dans votre boutique en ligne et adaptez la procédure en fonction du RGPD.
• Restez attentif à l’application du règlement ePrivacy et notamment à sa date d’application car il va réglementer la façon dont les boutiques en ligne peuvent utiliser les cookies et les outils d’analyse.
• Si vous n’êtes pas sûr, n’hésitez pas à faire appel aux conseils d’un professionnel.

La majorité des politiques avaient un avis assez positif lorsque le règlement général sur la protection des données a été adopté. En effet, ce dernier apporte une sécurité juridique pour les citoyens, consommateurs et cela garantit pour les entreprises des conditions de concurrence équitables entre les différents acteurs du marché européen. En France, la CNIL a donné son avis, et salue cette nouvelle étape. Elle souligne que le projet de loi joue pleinement le jeu du Règlement et de l’harmonisation, et note que ce cadre « renforce en effet les droits des personnes, responsabilise davantage l’ensemble des acteurs qui traitent des données personnelles ». En revanche, la commission a émis quelques critiques et « regrette que d’autres propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques ».

Un premier changement assez radical et visible est le fait que certaines entreprises américaines coupent désormais l’accès aux internautes européens. En effet, au lieu de modifier leurs propres directives et règles sur la protection des données pour se conformer au RGPD, de nombreuses entreprises américaines et des sites d’information dont de nombreux journaux comme le New York Daily ou encore le Chicago Tribune, bloquent purement et simplement les internautes avec des adresses IP européennes. D’autres sites réduisent l’information offerte ou bien ne l’active que moyennant des frais supplémentaires. De nombreux détracteurs du RGPD avaient déjà alarmé sur ce scénario.

L’introduction du RGPD a aussi eu un inconvénient pour les clients, consommateurs et internautes. En effet, pendant des semaines, ces derniers ont reçu d’innombrables emails des boutiques en ligne et d’entreprises présentant leurs nouvelles lignes directrices en matière de protection des données et demandant une déclaration de consentement. Beaucoup des destinataires étaient peu réceptifs et finalement peu intéressés par la lecture complète de textes juridiques extrêmement longs. La solution fut pour beaucoup de simplement cliquer sur le bouton « confirmer ».

Enfin, les premières plaintes viennent d’être déposées partout en Europe. En France, c’est la Quadrature du Net, association de défense des internautes, qui a déposé cinq plaintes contre les géants du Web : Google, Apple, Facebook, Amazon et LinkedIn. L’association accuse ces sociétés d’exploiter de manière illégale les données à caractère personnel des usagers. Il faut noter que ce sont des plaintes collectives qui rassemblement plus de 12 000 personnes.

Suite à ces plaintes, la CNIL a procédé à plusieurs contrôles afin de vérifier la conformité à la loi et au RGPD notamment pour Google. Elle a constaté particulièrement deux séries de manquement au règlement comme l’explique de manière détaillée l’article du magazine le nouvel OBS.

La première concerne l’obligation de transparence et d’information, la CNIL estime en effet que les informations fournies par Google ne sont pas suffisamment accessibles pour les utilisateurs. La seconde touche au recueillement du consentement et estime l’information trop restreinte et ne permet donc pas à l’utilisateur de prendre conscience de l’ampleur du consentement. De plus, il n’est pas « spécifique » et « univoque ». Ainsi la Commission informatique et libertés a infligé à Google une sanction de 50 millions d’euros en janvier 2019. Amazon, quant à elle, a été condamnée à payer une amende de 35 millions d’euros en décembre 2020 pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable.

Le RGPD va déjà fêter ses trois ans en mai 2021. On commence donc à pouvoir mieux quantifier les sanctions et changements et ainsi faire un bilan plus complet. Le cabinet d’avocats international DLP Piper a récemment réalisé une enquête sur le nombre de notifications recensés depuis le RGPD. On compte ainsi depuis son introduction, plus de 160 000 notifications en Europe, dont 3459 en France et que les sanctions atteignent au total 114 millions d’euros en Europe. La France, en neuvième position pour le nombre de notifications se place en tête au niveau du montant des sanctions du fait notamment de la sanction de 50 millions infligée à Google en janvier 2019.