RGPD et Protection des données personnelles

Qu’est-ce que le RGPD ? 

Le RGPD (règlement général sur la protection des données) est un règlement émanant de l’Union Européenne, visant à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données à caractère personnel entre les États membres et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel, afin de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Il s’applique à l’ensemble des Etats membres. 

Une donnée à caractère personnel correspond à une donnée permettant d’identifier une personne, par exemple un nom et un prénom, ou un prénom et une date de naissance, la plaque minéralogique d’un véhicule, un numéro de téléphone, une adresse mail, une adresse IP… Suivant les dispositions des Art 4, 9 et 10 RGPD, certaines données sont communes (dont celles citées plus haut), d’autres sont considérées comme sensibles (notamment les données médicales ou bancaires), et certaines totalement interdites (croyances philosophiques ou religieuses, opinion politique, origine raciale…, données relatives aux infractions et condamnations pénales). 

Il faut rappeler que la conformité ne concerne pas seulement les données à caractère personnel traitées numériquement, mais également sur tout autre support, dont le papier. 

Dans le cadre de son activité quotidienne, une entreprise traite des données à caractère personnel aussi bien pour sa comptabilité (devis, factures…), ses déclarations fiscales et sociales, des relations avec ses partenaires, fournisseurs, clients…. et même au niveau de son site web (formulaire de contact, inscription à une newsletter, cookies…). 

C’est le responsable de traitement, donc le responsable de l’entreprise, mais cela est également valable pour une institution publique ou une association, qui est juridiquement responsable des traitements effectués par sa structure, tant envers la CNIL qu’envers les personnes concernées. Au-delà des sanctions administratives prononcées par la CNIL, il peut y avoir des condamnations civiles ou pénales. Cela peut même affecter l’entreprise dans le cadre de marchés conclus qui peuvent être dénoncés pour absence de conformité au RGPD. 

Par ailleurs, les personnes concernées, c’est à dire les personnes dont les données sont collectées, disposent de droits quant à leur données : informations sur les modalités de collecte et de traitement des données, droit  d’accès, de rectification, droit à l’effacement (“droit à l’oubli”), droit à la limitation des traitements, droit à la portabilité des données, droit d’opposition. La personne concernée peut refuser de faire l’objet d’un traitement automatisé, y compris le profilage.

Le responsable de traitement doit s’assurer à tout moment de la  confidentialité, de l’ intégrité et de la disponibilité des données à caractère personnel. 

Avant toute opération de traitement, il est fortement conseillé de réaliser une analyse d’impact quant aux risques réels ou possible de violation et aux conséquences que cela pourrait entraîner pour la personne concernée. 

Par ailleurs, toute violation doit faire l’objet d’un compte rendu qui devra être stocké, et, selon la gravité de la violation, être signalé à l’autorité de contrôle (la CNIL pour la France) ainsi qu’aux personnes concernées. La simple panne d’électricité affectant un serveur correspond à une violation (mineure) qui devra être consignée. Si les données ne sont pas impactées (aucune perte, aucune détérioration, aucune fuite), il n’est pas nécessaire d’effectuer un signalement à la CNIL. 

En cas de sous-traitance ou de co-traitance des données, le sous-traitant ou le co-traitant doit tenir un registre de traitement des données à caractère personnel sous la responsabilité du responsable de traitement. Un contrat de sous-traitance devra être signé par les parties. 

Lorsque l’entreprise, ou son siège social, se situe en dehors du territoire de l’Union Européenne, mais qu’il a une activité professionnelle avec des acteurs (clients, fournisseurs…) situés sur le territoire de l’Union Européenne, il doit désigner un correspondant dans le pays dans lequel il a la plus grande part d’activité. 

De plus, lorsque l’entreprise ou son sous-traitant, ou co-traitant, transfère des données en dehors de l’Union Européenne ou auprès d’une organisation internationale (dont les GAFAM) doit s’assurer auprès de l’autorité de contrôle qu’une décision d’adéquation existe. Rappelons qu’une décision d’adéquation vient reconnaître qu’un pays, une organisation, un territoire ou encore un secteur assure un « niveau de protection adéquat »* (Art. 45 RGPD). Cette notion est à interpréter à la lumière de la Charte des droits fondamentaux de l’Union européenne (point 94), et comprend notamment le respect du principe de proportionnalité (article 52, 1. de la Charte) et un droit à un recours effectif (article 47 de la Charte). SInon, elle devra mettre en place un contrat spécifique, juridiquement contraignant et exécutoire, assurant des garanties appropriées assurant aux personnes concernées des droits opposables et des voies de droit effectives similaires à ce que propose le RGPD. Ce contrat devra être soumis à l’autorité de contrôle. 

L’Arrêt Schrems 2, du 16 juillet 2020, la CJUE (Cours de Justice de l’Union Européenne), invalidant le système du “Privacy Shield” qui permettait le transfert de données personnelles vers les Etats-Unis estimant que la législation actuellement en vigueur aux Etats-Unis ne permet pas d’assurer un niveau de protection adéquat pour les personnes concernées européennes dont les données transiteraient par les Etats-Unis, invalide le Privacy Shield, dont l’objet était précisément de pallier ces insuffisances. Or,  le CLOUD Act est une loi qui permet aux forces de l’ordre américaines de demander l’accès à des données stockées par des entreprises américaines dès lors qu’elles sont nécessaires dans une enquête judiciaire et le Patriot Act, fondés sur l’article 702 du Foreign Intelligence Surveillance Act (FISA) de 1978 et sur l’Executive Order (E.O.) 12333 de 1981, prévoit une extraterritorialité des lois américaines concernant les entreprises situés dans des pays tiers (dont l’Union Européenne), permettant aux services de renseignement américains de collecter et de traiter massivement des données, y compris relatives à des résidents européens, ce qui rend vulnérable tout accord de transfert de données vers des entités américaines. Dès lors, les organisations françaises (institutions, entreprises, associations….) n’ont plus le droit de transférer leur données à caractère personnel auprès d’entreprises américaines, quand bien même les données seraient stockées sur le territoire de l’Union Européenne. 

Cela pose donc le problème de l’utilisation de serveurs web hors de l’Union Européenne pour héberger des données des sites web ou des applications à destination de personnes situées dans l’espace géographique européen, mais également l’usage de services détenus par des entreprises américaines situés sur le sol européen, notamment les outils de stockage, logiciels SAAS ou applications web proposés par Google (Drive, Workspace…), Amazon, Microsoft, Salesforce, Oracle, Mailchimp, Zoom…., ainsi que des réseaux sociaux (Facebook, Club House, LinkedIn, Whatsapp….) ou de toute extension web faisant transiter de la donnée à caractère personnel au sein de son système d’information (dont les auto-répondeurs, les gestionnaires d’agenda, les plateformes e-learning…).