Droit des données
le 24/01/2019

Principes fondamentaux du droit des données à caractère personnel

Le cadre législatif relatif au droit des données à caractère personnel trouve son origine dans la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 (loi n° 78-17). Cette loi a posé les règles fondamentales en matière d’utilisation des données à caractère personnel et a été réformée à plusieurs reprises.

Cette législation a connu une profonde transformation avec l’arrivée du règlement général sur la protection des données (ci-après « RGPD ») adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018.

Le droit des données à caractère personnel repose sur deux concepts (I) qu’il faut nécessairement appréhender pour comprendre les cinq principes issus de la loi informatique et libertés (II) alors que le règlement européen a apporté plusieurs modifications substantielles (III).

1 – Un cadre législatif reposant sur deux concepts

Le droit des données à caractère personnel repose sur deux concepts centraux :

  • la donnée à caractère personnel (ci-après « DCP ») ;
  • le traitement de données à caractère personnel.

La loi ne trouvera à s’appliquer que lorsque ces deux concepts seront réunis.

D’un côté, la donnée à caractère personnel correspond à toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Dans ce cadre, n’importe quel nom, prénom, photographie, empreinte, courriel, adresse postale, numéro de téléphone, matricule interne, numéro de sécurité sociale, adresse IP, identifiant de connexion informatique, enregistrement vocal sont des données à caractère personnel.

Par ailleurs, le droit des données à caractère personnel n’est pas concerné par la dichotomie entre informations confidentielles ou publiques ; une donnée à caractère personnel ne perdra jamais ses caractéristiques du seul fait qu’elle soit utilisée dans le cadre d’un traitement dissimulé ou occulte.

De l’autre côté, le traitement correspond à toute utilisation qui pourrait être faite de ces données à caractère personnel. En effet, toute opération ou ensemble d’opérations portant sur de telles données seront un traitement.

Ici, tous les procédés sont pris en compte. Il peut s’agir d’une action de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, d’extraction, de consultation, d’utilisation, de communication par transmission ou toute autre forme de mise à disposition, de rapprochement ou d’interconnexion, de verrouillage, d’effacement ou de destruction de données à caractère personnel.

2 – Les cinq principes cardinaux du cadre législatif

Le rappel des cinq principes cardinaux du droit des données à caractère personnel

 

Tous ces principes doivent être pris en compte au moment du traitement de données à caractère personnel.

 

A – La finalité du traitement

Le concept de finalité correspond au but précis que le traitement doit atteindre.

Par exemple, dans le cadre d’un traitement dédié à la gestion des contentieux au sein des organismes publics, la finalité de ce traitement serait : la préparation, l’exercice et le suivi d’une action disciplinaire ou d’un recours en justice et, le cas échéant, exécution de la décision rendue.

Définition et conséquences de la finalité

 

La finalité est le principe fondamental du droit des données à caractère personnel.

 

B – La proportionnalité du traitement

Le principe de la proportionnalité du traitement suppose que les données à caractère personnel qui ont été collectées sont bien en adéquation avec la finalité du traitement.

La proportionnalité est le lien permanent entre collecte et finalité. Une collecte sans finalité ou une finalité sans collecte sont strictement interdits.

Le cycle complet de questionnement pour déterminer si le traitement envisagé sera bien proportionnel

 

 C – La durée de conservation des données collectées

L’un des principes les plus importants du cadre législatif en matière de données à caractère personnel, et ce dès 1978, est la prohibition générale de conservation illimitées de données à caractère personnel. La durée de la collecte de données dépend des finalités et de son caractère attentatoire ou non à la vie privée des personnes.

Par exemple, les données bancaires nécessaires à un paiement ne pourront pas être gardées au-delà de la transaction qui a été effectuée. A l’inverse, les données relatives à la gestion de la paie pourront être conservées durant cinq ans et celles figurant dans un dossier médical jusqu’à dix ans après la fin du dommage.

Une fois l’objectif du traitement atteint et la durée échue, ces données doivent :

  • être archivées (archives intermédiaires puis définitives) ;
  • ou supprimées ;
  • ou anonymisées (aux seules fins de produire des statistiques ultérieurement).

 

D – La sécurité des données personnelles

La sécurité des données à caractère personnel a été pensée dès l’origine comme un élément fondamental permettant de protéger la vie privée des personnes dont les données sont collectées. Celle-ci s’entend comme l’ensemble les pratiques personnelles et des procédés techniques permettant la non divulgation des informations contenues dans les données.

La Commission nationale de l’informatique et des libertés (ci-après « CNIL ») a toujours accordé une très grande importance à la protection des données à caractère personnel et le manquement à ce principe est la principale source de sanctions CNIL.

Le cheminement permettant d’assurer la sécurité d’après le guide CNIL de 2018

 

E – Le droit des usagers

Lors de la mise en œuvre d’une collecte de données à caractère personnel, il est fait obligation à l’organisme collectant des données d’informer les individus concernés par cette collecte. Ces mentions d’information permettent aux individus de comprendre la raison et les finalités de la collecte tout en leur permettant d’exercer leurs droits.

Les six différents droits des personnes dont les données sont traitées

 

Il existe six droits en matière de données à caractère personnel qui sont les suivants :

  • droit d’accès : permet à la personne dont les données sont collectées d’avoir accès aux données détenues sur lui ;
  • droit de rectification : permet à la personne dont les données sont collectées de faire corriger des données inexactes ou incomplètes ;
  • droit d’opposition : permet à la personne dont les données sont collectées de s’opposer à la poursuite du traitement le concernant ;
  • droit à l’effacement : permet à la personne dont les données sont collectées de demander l’effacement de celles-ci sous conditions (données utilisées à des fins commerciales, non nécessaires au traitement, consentement retiré, traitement illicite par exemple) ;
  • droit à la portabilité de leurs données (ajouté par le RGPD) : ce droit offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine pour pouvoir les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles ;
  • droit à la limitation du traitement (ajouté par le RGPD) : ce droit offre à l’usager la possibilité de demander à un organisme de geler temporairement l’utilisation de ses données pendant qu’un autre droit (rectification, effacement par exemple) est étudié.

 

3 – Les modifications issues du RGPD

Le RGPD a été une réforme européenne pour harmoniser les différentes législations nationales en matière de données à caractère personnel. La multiplication des traitements et les usages commerciaux toujours plus attentatoires à la vie privée des citoyens ont conduit la Commission européenne à repenser le cadre législatif s’appliquant aux données et aux traitements de données.

Les différentes modifications induites par le RGPD

 

Premièrement, le principe de responsabilisation des acteurs gérant des données à caractère personnel a été un bouleversement du paradigme existant. Jusqu’à l’entrée en vigueur du règlement européen, tout responsable de traitement devait informer préalablement la CNIL avant la mise en place d’un traitement de données à caractère personnel. Certains traitements devaient faire l’objet d’une simple déclaration, tandis que d’autres, de nature plus sensible, devaient être autorisés préalablement par la CNIL. Aujourd’hui, il est simplement fait obligation aux organismes gérant des données de tenir leurs registres de traitements personnellement.

Dès lors, il appartient au responsable de traitement de s’assurer de la conformité de son traitement en le documentant. La documentation doit se faire à tout moment au travers du registre de traitement. La CNIL n’effectuera qu’un contrôle a posteriori de ce registre et du respect des droits des administrés/usagers/clients/agents/salariés d’où la notion de responsabilisation des acteurs du traitement de données.

Deuxièmement, il a été fait obligation, dès lors que le traitement est effectué par une autorité publique ou un organisme public, de nommer un délégué à la protection des données (ci-après « DPD »). Le DPD a pour mission d’accompagner les opérationnels mettant en œuvre les traitements, tout en gérant le registre des traitements et d’être un interlocuteur privilégié avec la CNIL en cas de questionnement ou de contrôle.

L’obligation de nommer un DPD peut aussi concerner les personnes privées dès lors que leurs activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées ou que leurs activités de base consistent en un traitement à grande échelle de catégories de données sensibles visées à l’article 9 du RGPD (opinion politique, religieuse, syndicale, orientation sexuelle par exemple) ou relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD.

Il convient de souligner la difficulté qu’ont les organismes à trouver un DPD en interne puisque celui-ci doit être indépendant, c’est-à-dire qu’il ne peut pas déterminer les finalités et moyens du traitement, tout ayant des compétences juridiques et informatiques pointues et une légitimité importante pour assurer le respect de la règlementation au sein des organismes. Dans une collectivité territoriale, il s’agit d’un métier en développement alors qu’il existe la possibilité d’externaliser la prestation et de mutualiser le DPD pour les collectivités territoriales et les établissements publics de coopération intercommunale.

Troisièmement, le RGPD a promu des principes de tempérances et de minimalisation de la collecte des données. Il n’est plus possible aujourd’hui de collecter des données qui ne seraient plus utiles au regard de la finalité qui a été définie au moment du traitement.

Au-delà, le RGPD a promu les deux concepts de privacy by design qui impose à chaque nouvelle technologie traitant des données personnelles de garantir dès sa conception le plus haut niveau possible de protection des donnée et privacy by default qui signifie qu’une fois qu’un produit ou un service a été rendu public, les paramètres de confidentialité les plus stricts devraient s’appliquer par défaut, sans aucune saisie manuelle par l’utilisateur final.

Quatrièmement, les sanctions ont été graduées en fonction de la violation des principes du RGPD tout en étant considérablement renforcées. Cette gradation s’organise aujourd’hui comme suit :

  • avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD ;
  • injonction de cesser la violation ;
  • limitation ou suspension temporaire des traitements de données (non obligatoire) ;
  • sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle.

Les sanctions ont été portées à hauteur de 20 millions d’euros maximum pour les méconnaissances les plus graves ou, pour les entreprises, jusqu’à 4 % de leur chiffre d’affaires annuel mondial ; le plus élevé de ces deux montants étant retenu.

A titre de conclusion, quelques chiffres six mois après l’entrée en vigueur du RGPD :

  • 15000 DPD en France ;
  • 32000 organismes ont un DPD ;
  • le site internet de la CNIL a reçu 7 millions de visites (4,4 millions en 2017) ;
  • 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour depuis le RGPD ;
  • la CNIL a reçu 9 700 plaintes, soit 34% de plus qu’en 2017 sur la même période.

 

Par David Conerardy