Actualité > Focus sur...

Focus sur...

[ 18 octobre 2018 ] Imprimer

Le nouveau règlement sur la protection des données

Si tous les sites vous demandent de valider de nouveau leurs politiques de confidentialité, c’est en raison du RGPD, le nouveau règlement sur la protection des données. Céline Castets-Renard, membre Junior de l’Institut Universitaire de France, professeure à l’Université Toulouse-Capitole, directrice du Master Droit du Numérique et Visiting Professor (Fordham Law School) a bien voulu répondre à nos questions.

Qu’est-ce qu’une donnée personnelle ?

Selon la définition du règlement 2016/679/UE (règlement général de protection des données personnelles dit « RGPD »), une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4.1). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le croisement de données massives (big data) facilite aujourd’hui l’identification des individus, aussi le champ d’application matériel de la protection des données personnelles a-t-il vocation à s’étendre.

Qu’est-ce que le RGPD ?

Le RGPD ou règlement général de protection des données est le règlement 2016/679/UE du Parlement européen et du Conseil, adopté le 27 avril 2016 et entré en application le 25 mai 2018. Il abroge la directive 95/46/CE du 24 octobre 1995.

Ce règlement est dit sui generis ou hybride car, bien que règlement en principe d’application directe, les États membres ont en réalité une large marge de manœuvre, spécifiquement prévue à de nombreuses reprises dans le texte (clauses ouvertes). Les États membres ont donc adapté leurs législations nationales de protection des données personnelles. La France a ainsi modifié la loi n° 78-17 du 6 janvier 1978 dite informatique et libertés par la loi n° 2018-493 du 20 juin 2018. Viennent s’ajouter des règles d’application, tel le décret n° 2018-687 du 1er août 2018 qui complète la loi, mais aussi des actes délégués de la Commission européenne pour préciser le règlement.

Au final, on assiste à une profusion normative dont l’articulation n’est pas toujours aisée, d’autant que le RGPD encourage les parties prenantes à élaborer des normes souples, à l’instar des codes de conduite ou certifications.

Qu’est-ce qu’il modifie ?

Le RGPD est un long texte complexe de 99 articles et modifie non seulement les règles applicables mais aussi l’esprit de la loi. Désormais, le principe est de ne plus contrôler a priori mais a posteriori le respect de la règlementation des données personnelles. Concrètement, cela se traduit notamment par la suppression des déclarations préalables de traitement des données personnelles, auparavant à la charge des responsables de traitement, au profit d’un système de responsabilisation, suivant un calcul des risques et une obligation de rendre compte qui oblige à documenter les décisions prises pour protéger les données personnelles. Le renforcement des obligations du responsable de traitement se traduit a contrario par une augmentation des droits des personnes concernées, en particulier le droit à l’effacement (« droit à l’oubli ») et le droit à la portabilité des données.

On peut noter également un renforcement des pouvoirs et missions des autorités nationales de contrôle. En France, la CNIL (Commission nationale de l’informatique et des libertés) voit ainsi ses pouvoirs accrus, à la faveur du RGPD et de la loi n° 2018-493 du 20 juin 2018. On peut aussi retenir la volonté d’améliorer la coopération entre ces autorités de contrôle et l’institutionnalisation du Comité européen de protection des données en remplacement du groupe informel de l’article 29 (« G29 »).

Enfin, il faut noter l’extension du champ d’application territoriale, dans la mesure où l’article 3, § 2 confère un effet extraterritorial au RGPD, en prévoyant son application à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées : soit à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non, soit au suivi du comportement de ces personnes (profilage), dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

Les sanctions en cas de non-respect de ses dispositions sont-elles efficaces ?

L’augmentation des sanctions est l’une des avancées majeures du RGPD. Alors que la directive laissait les États membres en décider librement, l’article 83 du RGPD prévoit désormais le montant des sanctions administratives, pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Ces sanctions semblent dissuasives car la plupart des entreprises établies sur le territoire de l’Union européenne ou collectant les données des personnes s’y trouvant, par exemple les entreprises du numérique situées aux États-Unis, font aujourd’hui des efforts de mise en conformité avec le RGPD.

Le questionnaire de Désiré Dalloz

Quel est votre meilleur souvenir d’étudiant ?

Les cours d’histoire du droit du Professeur Romuald Szramkiewicz en licence à l’Université Panthéon-Sorbonne. Passionnant !

Quel est votre héros de fiction préféré ?

Le chat de Philippe Gelluck.

Quel est votre droit de l’homme préféré ?

Le droit à la protection de la vie privée (art. 7 de la charte des droits fondamentaux de l’UE) et des données personnelles (art. 8 de la charte) bien sûr ! Dans une société de surveillance par des acteurs privés comme publics, de plus en plus intrusive et dominée par des décisions automatisées prises envers les individus par des algorithmiques obscurs, ces droits sont les remparts contre un traitement trop personnalisé des citoyens qui peut conduire à des exclusions, ruptures d’égalité et discriminations inacceptables. Ces droits paraissent cependant fragiles et méritent d’être réaffirmés sans cesse avec vigueur.

 

Auteur :M. B. C.


  • Rédaction

    Directeur de la publication-Président : Ketty de Falco

    Directrice des éditions : 
    Caroline Sordet
    N° CPPAP : 0122 W 91226

    Rédacteur en chef :
    Maëlle Harscouët de Keravel

    Rédacteur en chef adjoint :
    Elisabeth Autier

    Chefs de rubriques :

    Le Billet : 
    Elisabeth Autier

    Droit privé : 
    Sabrina Lavric, Maëlle Harscouët de Keravel, Merryl Hervieu, Caroline Lacroix, Chantal Mathieu

    Droit public :
    Christelle de Gaudemont

    Focus sur ... : 
    Marina Brillié-Champaux

    Le Saviez-vous  :
    Sylvia Fernandes

    Illustrations : utilisation de la banque d'images Getty images.

    Nous écrire :
    actu-etudiant@dalloz.fr