Le 25 mai 2018 est entré en vigueur le nouveau Règlement Général sur la Protection des Données Personnelles (RGPD) qui définit les nouvelles règles relatives à la protection des données personnelles des citoyens européens sur le territoire de l’Union.

De quoi s’agit-il ? Qu’est-ce qu’un traitement de données à caractère personnel ? Quelles sont les nouveautés ?

Ce Règlement poursuit deux objectifs principaux qui sont :  le renforcement de la protection des droits et libertés des personnes dont les données sont traitées[1]et l’harmonisation de la matière pour permettre une meilleure circulation des données au sein de l’Union européenne[2]. Il est considéré donc commele chien de garde des entreprises et des administrations par sa révolution numérique.

Selon le Règlement, le « traitement » englobe toute une série d’opérations dont notamment l’enregistrement, la collecte des données, la conservation, l’utilisation, l’extraction, l’effacement mais aussi la structuration et la limitation des données[3].

La notion de « donnée à caractère personnel » quant à elle, vise « toute information concernant une personne physique identifiée et identifiable »[4].  Sont donc exclus du champ d’application du Règlement, les informations totalement anonymes[5]et les traitements de données effectués à des fins personnels ou domestiques[6]. Toutefois, la Cour de Justice a fait une interprétation très stricte de cette dernière condition en décidant qu’une activité qui s’étend même partiellement dans l’espace public (par exemple une caméra de vidéosurveillance) rentre dans le champ d’application du Règlement[7].  

Notons aussi que le paragraphe 2 de l’article 25 reprend le principe de la protection des données par défaut en énonçant que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». Cela s’applique donc à la quantité de données des personnes collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.[8]

Ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Un mécanisme de certification approuvé peut servir toutefois de justificatif pour prouver d’une manière évidente le respect des exigences du principe de la protection des données dès la conception et par défaut[9].

Les principes cardinaux auxquels doivent répondre tout traitement de données à caractère personnel sont repris aux articles 41 et suivants du Règlement. Il s’agit des principes de licéité, loyauté et transparence, de la limitation des finalités, de la minimisation des données, de l’exactitude, de la limitation de la conservation, de l’intégrité et confidentialité, de la responsabilité, du droit d’information,  du droit d’accès, du droit de rectification, du droit à la limitation du traitement, du droit d’opposition, du droit à l’effacement, du droit de ne pas faire l’objet d’une décision individuelle automatisée et profilage, du droit à la portabilité des données.

A coté de cela, le Règlement tend à renforcer la responsabilité des responsables du traitement de données et des sous-traitants en instaurant un système de responsabilité partagée. Ceux-ci doivent s’assurer qu’ils respectent les obligations qui découlent du Règlement et doivent être en mesure de le prouver auprès des autorités de contrôle.[10]

En outre, le responsable du traitement de données doit mettre en œuvre les principes de protection dès sa conception et par défaut, ce qui veut dire que le respect de la vie privée et des données des personnes est assuré et pris en compte tout au long du cycle de vie des technologies, et ce dès leur conception jusqu’à leur déploiement, utilisation et élimination définitive[11].

A noter qu’un nouveau personnage est également apparu qui est le « délégué à la protection des données (DPO) ». On le considère tantôt comme un facilitateur, tantôt comme expert du droit et pratiques en matière de protection des données.[12]

 

_________

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

[2] Considérant 7 du Règlement

[3] Communication de la Commission, « Une approche globale de la protection de données à caractère personnel dans l'Union européenne », 4 novembre 2010, COM (2010) 609 final.

[4] Art 4, 2) du Règlement.

[5] Art 4, 1) du Règlement.

[6] Considérant (26) du Règlement.

[7] Art 4, 2, pt 2, c) du Règlement.

[8]Voy. C. DE TERWANGNE, K. ROSIER et B. LOSDYCK, « Lignes de force du nouveau Règlement relatif à la protection des données à caractères personnel », R.D.T.I., n°62/2016, p. 13, qui citent notamment l’arrêt : C.J.U.E., 11 décembre 2014, František Ryneš / Úřad pro ochranu osobních údajů, aff. C212/13, curta.europa.eu.

[9] T. BEAUGRAND, S. MARCELIN, S. STAUB, P. BLUM, M. BROGLI, C. CASTETS-RENARD, B. RASLE, V. YOUNES-FELLOUS, « protection des données personnelles », Editions législatives, 2017, p.50.

[10] Art. 25, §3 du Règlement.

[11] R. ROBERT et C. PONSART, « le règlement européen de protection de données personnelles », J.T., 2018/20, n°6732, p. 421 et suivants.

[12 ]A. BENSOUSSAN, « Règlement européen sur la protection des données », Larcier, 2016

[13] K. ROSIER, « délégué à la protection des données : une nouvelle fonction, un métier en devenir », vers un droit européen de la protection des données ?, Bruxelles, Larcier, 2017, p135 et suivants.