Découvrez le droit européen relatif à la protection de la vie privée
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer les concepts de base du règlement général sur la protection des données (RGPD)
- Définir les termes essentiels relatifs à la protection de la vie privée.
- Décrire en quoi le RGPD modifie la législation européenne sur la protection de la vie privée.
La protection de la vie privée comme droit fondamental
Depuis plusieurs décennies, l’Europe est pionnière sur les questions de respect de la vie privée et de protection des données. Aujourd’hui, l’Union Européenne (UE) innove une nouvelle fois, avec la mise en application d’un cadre juridique complet sur la protection de la vie privée, appelée Règlement général sur la protection des données (RGPD). Si votre entreprise recueille, conserve ou utilise des données à caractère personnel sur des résidents européens, le RGPD peut avoir d’importantes répercussions sur vos processus métier.
L’idée que la protection de la vie privée est un droit fondamental est profondément ancrée dans la culture européenne depuis la fin de la Deuxième Guerre mondiale. L’une des premières grandes lois au monde sur la protection de la vie privée a donné corps à cette conviction : il s’agit de la directive européenne sur la protection des données adoptée en 1995. Cette directive oblige les entreprises et les gouvernements à faire preuve de transparence concernant les données à caractère personnel qu’ils traitent, à avoir une finalité légitime d’utiliser ces données, et à faire preuve de prudence dans leur gestion.
La directive était adaptée à la technologie de 1995, mais les progrès techniques rapides intervenus au cours des années suivantes imposaient une mise à jour. Les législateurs européens ont adopté le RGPD pour que le cadre juridique sur la protection de la vie privée reste pertinent dans un monde où l’on recueille plus de données que jamais ’auparavant. Ils voulaient également veiller à ce qu’une loi uniforme s’applique à toute l’UE, et éviter qu’il y ait des disparités d’un pays à l’autre. Le RGPD est entré en vigueur le 25 mai 2018 et a considérablement élargi les droits à la vie privée accordés aux individus. Il a également imposé de nombreuses nouvelles obligations aux organisations qui traitent des informations personnelles.
Termes clés
Avant d’entrer dans le détail du RGPD, passons en revue quelques définitions de base.
| Terme |
Définition |
Exemple |
|---|---|---|
| Personne concernée |
Un« Individu» qui peut être directement ou indirectement identifié par une information telle que son nom, un numéro d’identification, des données de localisation, un identifiant en ligne (un nom d’utilisateur, par exemple) ou une identité physique, génétique ou autre. |
Marie Dubois |
| Données à caractère personnel |
Toute information associée à une personnes concernée identifiée ou identifiable. |
Femme. 48 ans. Tél. : 33 1 7210 940. Adresse : 99 place de l’Étoile, 75008 Paris, France. Aime les chapeaux. Lit Le Monde en ligne tous les jours. |
| Données à caractère personnel sensibles |
Données à caractère personnel ayant trait à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’adhésion à un syndicat, à la santé, la vie sexuelle et l’orientation sexuelle, et données génétiques ou biométriques. |
Membre du parti En Marche ! Catholique. S’est fracturé la jambe l’année dernière. Copie de ses empreintes digitales et scan de sa rétine. |
| Traitement |
Tout ce qui peut être fait aux ou avec les données à caractère personnel. |
Toute forme de collecte, conservation, transfert, partage, modification, utilisation ou suppression de données à caractère personnel. |
| Responsable du traitement |
Une entité qui détermine les finalités et les moyens du traitement des données à caractère personnel. |
La Grande Banque du Nord est une institution financière qui accorde à Marie un prêt immobilier pour l’achat d’une maison. Quand Marie s’inscrit sur le site de la Grande Banque pour obtenir des informations sur les prêts immobiliers, la Grande Banque devient responsable du traitement des données personnelles fournies par Marie. |
| Sous-traitant |
Un entité qui traite des données à caractère personnel sur les instructions d’un responsable du traitement. |
Salesforce devient le sous-traitant du traitement des données à caractère personnel de Marie lorsque la Grande Banque envoie ses données dans son instance Sales Cloud. |
| Données pseudonymes |
Des données à caractère personnel qui ne peuvent être attribuées à une personne concernée sans avoir recours à des informations supplémentaires conservées à part, et soumise à des mesures technologiques les empêchant d’être combinées à d’autres informations. |
Lorsque Marie visite la communauté du site de la Grande Banque, hébergée sur Experience Cloud, pour en savoir plus sur la procédure de prêt immobilier, le système enregistre son adresse IP sous forme hachée et l’associe aux pages visitées par Marie. L’adresse IP hashée est considérée comme une donnée pseudonyme, car il est possible de la relier à d’autres informations concernant Marie, même si elle ne suffit pas à l’identifier. |
| Données anonymes |
Données qui ne pourront jamais être associées à une personne identifiée ou identifiable. |
Le site de la Grande Banque invite les visiteurs à laisser des avis. Le système ne recueille aucune information auprès des auteurs d’avis, pas même leur adresse IP. Les avis eux-mêmes peuvent donc être considérés comme anonymes. |
Qu’impose le RGPD ?
Maintenant que nous avons défini tous les termes, passons à ce que dit exactement le RGPD. Pour résumer, le RGPD établit des règles encadrant la façon dont les entreprises, les gouvernements et d’autres entités peuvent traiter les données à caractère personnel des personnes concernées qui résident dans l’UE. Nombre de ces règles étaient déjà prévues par le précédent texte européen, mais certaines sont plus strictes, d’autres plus simples, d’autres encore sont entièrement nouvelles. Les règles dépassent les frontières physiques de l’UE et s’appliquent à toute entreprise, qu’elle ait ou non une présence sur le sol européen, qui propose des produits ou des services à des personnes de l’UE, ou qui suit le comportement de ces personnes (par l’utilisation de cookies par exemple).
Voici quelques-uns des changements essentiels apportés par le RGPD :
Bases du traitement des données : Pour traiter des données à caractère personnel, les entreprises doivent disposer d’une base légale, par exemple l’exécution d’un contrat passé avec la personne concernée ou l’obtention de son consentement. Dans les cas où le consentement est la seule base légale, ce consentement doit être donné librement, spécifique, éclairé et sans ambiguïté. En d’autres termes, les entreprises doivent donner aux personnes concernées une véritable liberté de choix quand elles leur demandent l’autorisation de traiter leurs données, et les personnes concernées doivent donner leur accord au moyen d’une déclaration ou d’un acte positif clair. Demander aux personnes concernées de donner leur consentement au traitement de leurs données à caractère personnel ,de manière générale, lorsqu’elles s’enregistrent pour utiliser un service en ligne ne constitue pas nécessairement un consentement donné librement dépassant le cadre du traitement requis pour la prestation du service. De plus, les entreprises doivent être en mesure de prouver qu’elles ont obtenu un consentement valide.
Obligations de conformité : Le régime européen antérieur encadrait principalement les responsables du traitement, tandis que le RGPD impose de nombreuses obligations de conformité directement aux sous-traitants. Il exige notamment que les sous-traitants ne traitent les données que conformément aux instructions du responsable du traitement, qu’ils ne communiquent pas ces données à d’autres fournisseurs sans leur accord, et qu’ils mettent en place des mesures de sécurité appropriées (dont nous discuterons dans la prochaine unité). De plus, le texte impose aux responsables du traitement comme aux sous-traitants plusieurs autres obligations de conformité concernant la mise en œuvre de politiques appropriées, l’évaluation de l’impact des modifications des pratiques commerciales sur la protection de la vie privée, et la tenue de registres détaillés sur les activités touchant les données.
Notification de violation : Les responsables du traitement doivent signaler toute violation de données à leur autorité de protection des données dès que possible, et 72 heures au plus tard après avoir eu connaissance de la violation, à moins que la violation ne soit pas susceptible de causer de préjudice aux personnes concernées. En cas de risque élevé de préjudice, les responsables du traitement doivent signaler les violations aux personnes concernées le plus rapidement possible. Les sous-traitants doivent également informer les responsables du traitement de toute violation dans les meilleurs délais.
Délégué à la protection des données : Toute entreprise qui traite régulièrement des données à caractère personnel sensibles à grande échelle ou qui est impliquée dans la surveillance régulière et systématique de personnes concernées doit désigner un délégué à la protection des données chargé de veiller à ce que l’entreprise respecte le droit relatif à la protection de la vie privée.
Application : Selon le régime européen récemment en vigueur, les autorités de protection des données en Europe n’avaient que peu de moyens pour sanctionner les entreprises enfreignant les règles relatives à la protection de la vie privée. En vertu du RGPD, les autorités peuvent imposer aux entreprises des amendes dont le montant peut attendre 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise au niveau mondial (le montant le plus élevé étant retenu), selon la gravité de la violation et les dommages encourus.
Utilisation des sous-traitants : Les responsables du traitement doivent passer des contrats écrits avec les sous-traitants pour garantir que ceux-ci n’agissent que conformément à leurs instructions, mettent en œuvre des mesures de sécurité appropriées pour protéger les données, les assistent dans leurs obligations de conformité, retournent ou détruisent les données personnelles à la fin de la relation, et respectent les dispositions du RGPD qui s’appliquent aux sous-traitants.
Profilage : Le RGPD impose certaines restrictions au traitement automatisé des données à caractère personnel visant à évaluer une personne concernée : une démarche également appelée « profilage ». Elle consiste notamment à surveiller ou suivre les personnes concernées pour analyser ou prédire leurs performances professionnelles, leur situation économique, leur santé, leur comportement, leurs préférences ou leurs attitudes. Les processus automatisés qui peuvent avoir des répercussions importantes sur une personne, tel que le refus d’un emploi ou d’une demande de crédit, sont considérés à haut risque et ne sont autorisés que dans des cas limités.
Le RGPD maintient les restrictions actuelles sur les flux transfrontaliers de données à caractère personnel vers des pays dont les lois sur la protection de la vie privée sont considérées comme « inadéquates », à moins que les entreprises qui transfèrent et reçoivent les données ne prennent des mesures supplémentaires pour assurer leur protection. En plus de valider des mesures existantes comme les règles internes d’entreprise et les clauses contractuelles types, le RGPD indique que l’adhésion aux codes de conduite de certaines associations ou à des programmes de certification de protection des données approuvés par les autorités de régulation peut également constituer un mécanisme de transfert acceptable.
Droits des personnes concernées : Le RGPD offre aux personnes concernées un large éventail de droits s’agissant de leurs données à caractère personnel. Les personnes concernées peuvent demander à ce que les responsables du traitement leur donnent accès à toutes les données à caractère personnel qu’ils détiennent à leur sujet, et elles peuvent en demander la rectification, la suppression, le gel et la portabilité (par téléchargement, par exemple). De plus, elles peuvent s’opposer à certains traitements et révoquer un consentement préalablement accordé. Nous reviendrons sur ces droits dans l’unité suivante.
Un guichet unique : Le RGPD fournit un dispositif centralisé pour toutes les entreprises exerçant des activités dans plusieurs états-membres de l’UE en leur imposant de travailler avec une autorité de supervision principale sur les questions transfrontalières relatives à la protection des données.
Maintenant que vous connaissez mieux le RGPD et comprenez pourquoi ce texte est important, nous allons nous pencher dans la prochaine unité, sur l’impact concret de ces obligations sur les entreprises qui traitent des données à caractère personnel.
