RGPD et ses idées reçues

   
  • Propriété intellectuelle & Nouvelles technologies
Image de l'article RGPD et ses idées reçues

Qu’il inquiète, qu’il angoisse ou qu’il indiffère…le Règlement Général sur la Protection des Données dit « RGPD » reste l’un des textes majeurs de l’année 2018.[1]

 

Le RGPD et de manière générale la règlementation relative aux données personnelles[2] véhiculent un grand nombre d’idées reçues. Cet article propose une brève réponse à quelques unes de ces idées reçues.

 

1. Le RGPD ne concerne que les grandes entreprises

 

Non, le RGPD ne concerne pas que les grandes entreprises. D’ailleurs, il ne concerne pas que les entreprises. Sans distinction de taille, d’effectifs, de chiffres d’affaires, d’activités…le RGPD s’applique, dans le territoire concerné[3], à toutes les personnes physiques et toutes les personnes morales qui collectent des données personnelles. Les seules exceptions sont celles visées à l’article 2 du Règlement. Ainsi, le RGPD concerne des associations, grandes entreprises, PME/TPE, personnes physiques, collectivités territoriales, administrations….

 

2. Le RGPD ne va pas s’appliquer aux « géants » du net, car ils sont hors de l’Union européenne

 

Les entreprises telles que Facebook, Amazon, Apple, GOOGLE…n’échappent pas au RGPD. Le champ d’application territorial du RGPD est décrit à l’article 3 du Règlement. Ainsi, dés lors notamment qu’elles collectent des données personnelles de personnes physiques domiciliées au sein de l’Union européenne, elles doivent respecter le RGPD. Il est donc inutile de déplacer le siège de votre entreprise hors de l’Union européenne pour tenter d’échapper au RGPD !

 

3. La CNIL va être tolérante dans les prochains mois

 

Oui…et non. La CNIL a annoncé une certaine tolérance. Il est d’ailleurs mentionné sur son site internet « les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. »[4]

 

Cette tolérance – qui est en réalité un accompagnement - sera cependant provisoire et ciblée. En effet, l’accompagnement concernera uniquement les « nouveautés » de la règlementation. Le respect des principes fondamentaux – qui existent en France depuis 1978 – sera contrôlé et sanctionné sans « tolérance » particulière. La CNIL souligne à ce titre « Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL ».

 

Concrètement, si une personne ne respecte pas les principes fondamentaux en matière de collecte des données personnelles, elle ne bénéficiera pas, sur ce sujet, d’une quelconque tolérance de la CNIL mais pourra faire l’objet de vérifications, voire de sanctions, rigoureuses. 

 

4. La CNIL ne contrôle que les multinationales ou les cybermarchands

 

La CNIL contrôle sans distinction toutes les structures/personnes. Ces derniers mois, la CNIL a contrôlé, voire sanctionné, une association[5], l’éditeur d’un site e-commerce[6], une PME de trois salariés[7], Facebook[8], une banque[9], des éditeurs de sites de rencontres[10], la Caisse d’assurance maladie[11], un parti politique[12] …Rappelons que la CNIL effectue des contrôles sur place mais également à distance.

 

5. La notion de « donnée personnelle » ne s’applique qu’aux clients

 

Non. Toutes les personnes physiques identifiées ou identifiables sont concernées : clients, fournisseurs, partenaires, prospects, salariés, tiers sans lien avec le responsable de traitement…

 

6. La donnée personnelle est une donnée relative à la vie privée d’une personne physique

 

La notion de « donnée personnelle » est souvent confondue avec la notion de vie privée alors que ces notions sont différentes.

 

La donnée personnelle est l’information ou ensemble d’informations qui permet d’identifier directement ou indirectement une personne physique. Il importe peu que l’information ou ensemble d’informations concerne ou non la vie privée de la personne physique.

 

L’information peut être publique : une adresse postale qui serait publiée dans un annuaire par exemple ou une photographie qui serait publiée sur internet. L’information peut également concerner l’activité professionnelle d’une personne physique: une adresse email professionnelle qui serait publiée sur un site internet d’entreprise par exemple.

 

Le traitement juridique d’une donnée personnelle peut varier notamment selon la nature de la donnée : donnée manifestement rendue publique par la personne physique, donnée « sensible »[13]…mais toutes ces données sont des données personnelles dés lors qu’elles permettent d’identifier une personne physique directement ou indirectement.

 

7. Pour être en conformité, il suffit de changer les mentions des formulaires/ contrats

 

Si cette modification est nécessaire et importante, elle n’est pas suffisante. Il appartient aux personnes qui sont responsables de traitements de données personnelles non seulement de s’assurer de la licéité des traitements, de respecter les droits des personnes physiques mais également de prendre des mesures techniques et organisationnelles appropriées, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.

 

Le Règlement cite des exemples de mesures techniques et organisationnelles telles que la pseudonymisation et le chiffrement, des procédures de test, des procédures/moyens permettant de rétablir la disponibilité des données après un incident…

 

Certains responsables de traitements sont également tenus de désigner un DPO[14], tenir un registre des activités de traitements, effectuer une analyse d’impact…, étant précisé que ces mesures sont recommandées lorsqu’elles ne sont pas obligatoires.

 

8. Il faut et il suffit d’obtenir le consentement de toutes les personnes physiques pour qu’un traitement de données personnelles soit licite

 

Non, un traitement de données personnelles peut être licite sans obtenir le consentement de la personne physique concernée. Le Règlement détaille six conditions, non cumulatives, de licéité d’un traitement de données personnelles.

 

Ainsi, un traitement de données personnelles peut être licite si au moins une des conditions suivantes est remplie :

 

  • la personne physique a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques
  • le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci
  • le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant

 

Notons que ces conditions diffèrent dans certaines situations notamment si le traitement porte sur les données « sensibles »[15] ou des données de mineurs[16].

 

Si le consentement n’est pas toujours nécessaire, lorsqu’il est requis il n’est pas suffisant en lui-même. Pour qu’un consentement soit valable, encore faut-il qu’il soit avisé ! Avant de recueillir le consentement de la personne physique, le responsable du traitement doit s’assurer que certaines informations[17] soient portées à la connaissance de cette personne. Si le consentement n’est pas avisé, il n’est pas valable.

 

Notons que le droit à l’information est applicable même lorsque le traitement de données personnelles est fondé sur l’une des cinq autres conditions que le consentement (cf. supra).

 

9. J’ai absolument besoin d’un DPO !

 

La désignation d’un DPO – Data Privacy Officer (ou DPD – Délégué à la Protection des Données) n’est pas toujours obligatoire. La désignation est obligatoire dans les trois hypothèses visées à l’article 37 du Règlement :

 

  • Le traitement est effectué par une autorité publique ou un organisme public (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle)

 

Ou

 

  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées

Ou

 

  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 (données dites « sensibles ») et de données à caractère personnel relatives à des condamnations pénales et à des infractions

 

En dehors de ces trois hypothèses, la désignation d’un DPO n’est pas obligatoire. Elle est facultative et conseillée, mais non obligatoire. Lorsqu’un DPO est désigné, il doit être déclaré à la CNIL. La CNIL a mis en ligne un formulaire de déclaration des DPO.[18]

 

Enfin, le DPO ne concerne pas que les structures de plus de 250 salariés.[19]

 

10. Je peux nommer n’importe quelle personne de ma structure comme DPO

 

Pour mener à bien ses missions, le DPO doit être en mesure de comprendre le RGPD sur le plan juridique et pratique[20]. La mission du DPO ne doit pas entrer en conflit avec ses (éventuelles) autres missions. Le DPO doit être une personne de confiance, compte tenu des informations auxquelles il doit avoir accès ; et capable de respecter la confidentialité de ces informations. Enfin, la personne doit bénéficier du temps nécessaire à l’accomplissement de ses missions de DPO.

 

Il convient donc d’éviter de nommer un DPO sans y réfléchir sérieusement ; étant précisé que le DPO peut être un prestataire de services indépendant du responsable du traitement.  

 

11. Le « responsable de traitement » se désigne librement

 

La désignation du responsable de traitement n’est pas un choix totalement libre. Le responsable du traitement est « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ».

 

Notons tout d’abord que le responsable de traitements peut être une personne physique. Par ailleurs, au sein d’un ensemble de sociétés (holding et filiales ou franchiseur/réseau de franchisés), chaque entité n’est pas obligatoirement responsable de traitements : pour certains traitements, il est possible qu’une seule entité soit « responsable de traitements », les autres pouvant être destinataires des données et/ou sous-traitants des données. Cela s’apprécie au cas par cas.

 

Le responsable du traitement ne collecte pas et n’accède pas nécessairement aux données personnelles. Enfin, pour un traitement de données personnelles, il peut exister plusieurs co-responsables du traitement.

 

Citons à titre d’exemple, la décision récente de la Cour de Justice de l’Union européenne (CJUE) concernant les pages « fan » Facebook. La CJUE, dans un arrêt du 5 juin 2018[21], a jugé que l’administrateur d’une page fan Facebook pouvait être co-responsable de traitements de données personnelles avec la société Facebook Ireland Ltd, même si l’administrateur ne collecte pas lui-même les données personnelles et n’accède qu’à des données anonymisées. 

 

Les idées reçues concernant la règlementation applicable à la collecte et au traitement de données personnelles sont très nombreuses. En cas de doute ou de question, les équipes LEXCAP sont à votre disposition.

 

[1] Rappelons néanmoins qu’il est entré en vigueur en 2016. Le 25 mai 2018 correspond à sa date de mise en œuvre

[2] Ou « donnée à caractère personnel »

[3] Article 3 du Règlement

[13] « qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi […] les données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » Article 9 du Règlement.

[14] Data Privacy Officer ou DPD : Délégué à la Protection des Données

[15] Article 9 du Règlement

[16] Article 8 du Règlement

[17] Section 2 du Règlement

[19] Ce critère, non exclusif, s’applique à la tenue d’un registre des activités de traitement – Article 30 du Règlement

[20] « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions »

[21] CJUE 5.06.2018, Affaire C‑210/16.

A propos de l'auteur

Photo de Karen  BERTELOOT

Juriste Karen BERTELOOT est titulaire d'un Master en Droit de la distribution, de la concurrence et de la consommation obtenu en 2005 ainsi que d’un Master en Droit de la propriété intellectuelle... En savoir +

Expert dans :

Droit commercial Droit des sociétés Propriété intellectuelle & Nouvelles technologies Droit des associations et des fondations
Photo de Karen BERTELOOT

Karen BERTELOOT

Juriste

Karen BERTELOOT est titulaire d'un Master en Droit de la distribution, de la concurrence et de la consommation obtenu en 2005 ainsi que d’un Master en Droit de la propriété intellectuelle et des nouvelles technologies obtenu en 2006, auprès de l’Université du Droit et de la Santé de LILLE II.

Après avoir travaillé en entreprises, en cabinets d’avocats et au sein d’universités, Karen BERTELOOT intègre le Cabinet LEXCAP en septembre 2016.

Au sein d’une équipe spécialisée, les domaines d’intervention de Karen BERTELOOT sont plus particulièrement :

  • Droit de la propriété intellectuelle,
  • Droit économique,
  • Droit de la distribution,
  • Droit de la consommation,
  • Droit des contrats,
  • Droit de la concurrence,
  • Droit des nouvelles technologies.

 

Dans ces domaines, Karen BERTELOOT a su notamment développer une compétence particulière dans le secteur des entreprises de distribution (généralistes et spécialisées).