AEDH

RGPD : l’heure tourne !

This post is also available in: enEnglish (Anglais)

Le 25 mai 2018 le Règlement Général sur la Protection des Données (RGPD) devra être appliqué dans tous les pays membres de l’UE. Toutefois, à l’heure actuelle, seulement deux pays ont adopté une loi mettant en œuvre ce règlement : l’Autriche et l’Allemagne. C’est l’occasion de revenir sur ce règlement, rappeler ses principaux apports et ses principales faiblesses, et de revenir sur le « Computer, Privacy & Data Protection » (CPDP), conférence à laquelle l’AEDH a participé fin janvier et durant laquelle le RGPD a été abordé à de multiples reprises.

Les principaux changements que le RGPD va entraîner sont les suivants :

Le point majeur est la portée du RGPD, qui a désormais un caractère international. En effet, le règlement s’appliquera au traitement des données personnelles par les responsables du traitement des données et les sous-traitants dans l’UE, indépendamment du fait que le processus ait lieu ou non dans l’UE. Le RGPD s’appliquera également au traitement des données dans l’UE par un responsable du traitement ou par un sous-traitant non établi dans l’UE.

En cas de violation des données, le RGPD peut entraîner la condamnation à une amende, pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires global annuel. C’est le montant le plus élevé qui sera retenu[1].

-En ce qui concerne le droit des personnes concernées (« Data Subjects »), une des forces majeures de ce nouveau règlement est le consentement. Les conditions du consentement ont été renforcées, et ce dernier doit notamment être demandé sous forme intelligible et facilement accessible, et il doit être aussi facile de retirer son consentement que de le donner[2]. Les personnes concernées bénéficient également :

– D’une notification de violation. Elle deviendra obligatoire dans tous les États membres où une violation des données est susceptible de « porter atteinte aux droits et libertés des individus »[3].

– D’un droit d’accès, qui est le droit pour les personnes concernées d’obtenir du responsable du traitement la confirmation du traitement ou non des données personnelles les concernant, où et dans quel but. Le responsable du traitement doit fournir gratuitement une copie des données à caractère personnel sous forme électronique. Ce changement renforce la transparence des données et l’autonomisation des personnes concernées[4].

– Du droit d’être oublié, lorsque les données des citoyens ne sont plus pertinentes aux fins initiales du traitement, ou que les personnes concernées retirent leur consentement, ces derniers ont droit de demander l’effacement des données[5].

– A la portabilité des données qui est le droit pour une personne de recevoir les données la concernant précédemment fournies et qui a le droit de transmettre ces données à un autre « Maitre de fichier » (responsable de traitement)[6].

Les entreprises auront de nouveaux devoirs tels que :

– Le principe du « Privacy by design », qui est l’inclusion de la protection des données dès la conception des systèmes de traitement[7].

– Un Délégué à la protection des données (DPO) : La nomination d’un DPO ne sera obligatoire que pour les responsables de traitement et les sous-traitants dont les activités principales consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées ou de catégories particulières de données ou de données relatives aux condamnations et infractions pénales[8].

Ainsi, le RGPD a un caractère international et place au premier plan le consentement, et la personne concernée. Toutefois, le RGPD présente une faiblesse majeure, qui a fait l’objet de critiques lors du CPDP 2018 auquel l’AEDH a participé ; il s’agit de certaines flexibilités laissant une marge de manœuvre importante aux états membres. Plus particulièrement, le RGPD a notamment été décrit comme une « co-régulation ». Il se compose de dispositions obligatoires que les états membres doivent appliquer, mais aussi d’options, permettant aux états membres de créer leurs propres dispositions, résultat d’une forte campagne de lobbying par les industries. Le RGPD permet aux états membres d’introduire des dérogations dans certaines situations, mettant ainsi à mal le but premier de ce dernier qui était l’harmonisation des lois de protection des données dans l’UE. Une analyse plus poussée des flexibilités du RGPD a été réalisée par EDRi[9].

Face à ces critiques, une représentante de la commission européenne a rétorqué en insistant sur le fait que ces clauses d’ouverture peuvent être utilisées dans certains domaines seulement et à condition de ne jamais tomber en dessous du niveau de protection requis, ainsi que sur le rôle strict que les autorités de surveillance exerceront.

Concernant l’application du RGPD et comme évoqué plus haut, à ce jour, seulement l’Allemagne et l’Autriche ont adopté les lois nécessaires à l’application du RGPD, ce qui inquiète l’AEDH dans la mesure où la date limite d’application du règlement est très proche. Comment ces deux pays ont-ils fait usage des ‘clauses d’ouverture’ ? Celles-ci concernent, par exemple la légalité du traitement, l’obligation de désigner un délégué à la protection des données, les règles sur les autorités de surveillance et le traitement des données dans des situations spécifiques[10]. Alors que l’Autriche a opté pour une approche ‘minimaliste’ concernant l’usage de ces clauses d’ouverture, et n’a globalement appliqué que les clauses d’ouverture obligatoires, l’Allemagne a quant à elle utilisé ces clauses « d ‘une manière qui pourrait occuper les tribunaux à l’avenir », selon IAPP[11]. Plus précisément, l’Allemagne a limité les droits des personnes concernées et notamment le droit de notification, le droit d’accès aux données et le droit d’être oublié[12].

Pour conclure, l’AEDH regrette qu’une telle marge de manœuvre ait été laissée aux états membres dans la mesure où « l’utilisation excessive des clauses d’ouverture par les législateurs nationaux entravera l’harmonisation (…) »[13]. L’AEDH plaide pour qu’un réel travail de surveillance soit effectué par les autorités en charge et pour que les autres pays de l’UE adoptent rapidement les lois nationales nécessaires à l’application du RGPD.


[1] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[2] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[3] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[4] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[5] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[6] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[7] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[8] GDPR Key Changes, 2018 https://www.eugdpr.org/key-changes.html

[9] Proceed with caution : Flexibilities in the General Data Protection Regulation – https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf

[10] The New German Privacy Act, Deloitte, 2017 – https://www2.deloitte.com/dl/en/pages/legal/articles/neues-bundesdatenschutzgesetz.html

[11]Germany’s GDPR implementation law, it’s just the beginning, IAPP, 2018 –https://iapp.org/news/a/germanys-gdpr-implementation-law-its-just-the-beginning/

[12]Germany is the first EU Member State to enact new Data Protection Act to align with the GDPR, Lexology, 2017 – https://www.lexology.com/library/detail.aspx?g=2a2ff4e6-e0cd-4ca8-b0fc-2f8dd7d3f617

[13]GDPR: Data Protection Compliance in Austria and CEE, CEE Legal Matters, 2017 –http://ceelegalmatters.com/index.php/austria/6601-gdpr-data-protection-compliance-in-austria-and-cee

webmin