L'ABC des données personnelles

Introduction

Le 25 mai 2018, la réglementation sur la protection des données personnelles est entrée en vigueur. Elle balaya d’un seul coup la directive de 1995 qui était alors effective jusqu’alors. Pourquoi une nouvelle règlementation me direz-vous ? C’est très simple. Sur le plan des principes, l’ancienne l’législation est devenue obsolète. Elle date d’une époque où la technologie n’était pas aussi poussée, où la bulle internet n’avait pas encore explosée, où les réseaux sociaux se créaient seulement en dehors de tout espace digital. Bref, l’évolution rapide et sans cesse croissante des nouvelles technologies ont poussé les législateurs à aller encore plus loin. Des évolutions récentes, comme la maximisation des stockages de données via des espaces clouds ainsi que l’émergence du big data, nécessitent l’implémentation d’une réglementation permettant de contrôler les flux sensibles des données des individus sur le territoire européen.

D’un point de vue juridique, ce règlement va plus loin que la directive précédente dans la mesure où il harmonise l’ensemble de la législation pour les 28 états membres de l’union européenne. Plus question de parler de transposition, et de retrouver des différences significatives dans l’exécution des principes européens. Un seul corpus uniforme de règle s’applique désormais sur l’ensemble du territoire. La seule compétence décentralisée résidera dans la supervision réalisée par des autorités de contrôles nationales, qui chapeautent les activités et sont chargées d’appliquer cette législation et de sanctionner les irrégularités commises par les personnes collectant ces données. Il risque donc d’y avoir des divergences d’application entre les états membres. Mais pas de panique pour autant, la CJUE ainsi que le comité européen de la protection des données, instauré à cet effet, tenter en vain d’harmoniser au mieux l’application de cette règlementation.

Quelles sont donc les personnes concernées ? Ce sont ceux qui sont chargés de collecter l’ensemble de ces données, entendez dans la législation le « responsable du traitement » ou le « sous-traitant », sont soumis à un ensemble de prescrits. Il faut savoir au départ qu’il existe différents types de données personnelles. Il est important de les distinguer car la législation impose des règles et obligations différentes en fonction du caractère « sensible » des données en question.

D’une part, il existe les données personnelles générales, comme la date de naissance de la personne, son nom, sa photo, ses publications sur les médias sociaux, etc. Ensuite, il existe des données personnelles dites sensibles. Comme les données sur sa santé, son orientation sexuelle, son origine ethnique, sa religion, ses opinions politiques ainsi que son appartenance à une organisation professionnelle. Une dernière catégorie concerne les données génétiques et biométriques, que sont typiquement les empreintes digitales, les reconnaissances faciales, le scan rétinien, etc qui sont autant de nouvelles données personnelles qu’il faudra également gérer avec soin.

Mise au point chronologique

Afin d’embrasser les obligations de ce règlement de manière structurée, il est utile de mettre en exergue les obligations principales de la loi de manière chronologique, depuis la récolte des données jusqu’à leur surpression.

Vous souhaitez collecter les données personnelles de vos clients. Avant de les collecter, quelles sont vos obligations ?

- De manière principale, vous devez vous assurer que les données sont collectées avec le consentement des particuliers, qui sont les véritables propriétaires des données qui leur sont propres. Le Règlement tend en effet à protéger les individus de l’utilisation qui sera faite des données permettant de les identifier. Il faut donc un consentement clair, il doit être spécifique, intelligible et compréhensible. Parfois il suffit que ce consentement ne soit pas ambigu, ainsi un consentement implicite suffit. D’autre fois, pour des données plus sensibles, un consentement explicite est requis. Attention à cet égard aux clauses standardisées que vous pourriez mettre dans vos conditions générales : un espace distinct et clair doit également être réservé au consentement, afin que les individus puissent avoir l’œil attiré sur ce dernier. Le consentement est à tout le moins présumé dans le cas où le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

- D’autre part, pour qu’un consentement soit donné en bonne et due forme, il faut que les individus soient correctement informés. Vous devez toujours collecter les données de manière transparente, c’est-à-dire que vous devez informer les personnes concernées dans un langage clair et compréhensible, des données récoltées ainsi que des droits qui leur sont ouverts.

Vous devez préciser quels types de données sont collectées, à quelles fins, pendant combien de temps ces données vont être conservées, à qui les données peuvent être transmises et quels sont les droits de vos clients par rapport à leurs données. Le responsable du traitement devra respecter les principes de licéité, loyauté et transparence à l’égard des individus. Il devra égalment respecter un principe de proportionnalité des données ainsi récupérées. Il ne pourra prendre que ce qui est nécessaire au regard des finalités pour lesquelles ces données sont traitées. Il s’agit du principe de minimisation des données, prévu par la législation.

Toutes ces informations doivent se trouver dans un document disponible sur votre site internet qui doit pouvoir être consulté et sauvegardé à tout moment par vos clients. Typiquement, on parle d’un ‘Privacy Statement’ (ou d’une ‘Charte Vie Privée’ en français). Idéalement, ce document doit être séparé de vos conditions générales de vente pour plus de clarté.

Pendant le traitement des données, à quoi devez-vous vous attendre ? :

- En tout état de cause, même si le consentement est donné à un moment, le particulier peut décider de le retirer. Ce qui lui donne d’une part un droit d’accès à tout moment aux données ou de les recevoir dans un fichier informatique lisible ainsi qu’un droit d’update de ces données pour que celles-ci soient à jour), mais également, en cas de retrait du consentement, à un droit de voir ces données effacées. Et là où la législation va plus loin, c’est que cette dernière prévoit désormais un droit à l’oubli, à savoir faire en sorte que l’historique même de ces données soit effacé, afin que ces dernières ne soient plus diffusées et traitées. Il suffit pour la personne concernée de retirer son consentement ou encore que les données soient obsolètes ou non-pertinentes afin que celles-ci soient réduites à néant.

Bref, autant de droits qui feront l’objet de demandes multiples de la part des individus qu’il vous faudra désormais gérer avec un back-office solide qui vous permettra de les traiter dans un délai convenable ces demandes.

- Une fois les données collectées, elles peuvent donc être utilisées. Mais il faut néanmoins que celles-ci soient protégées. Pour cette raison, il est imposé à toute organisation de disposer d’un système d’information sécurisé. Le responsable doit en effet déterminer les mesures techniques et organisationnelles appropriées au sein de sa boîte, de manière à protéger le droit fondamental des personnes concernées par ces données. Cette sécurisation sera donc plus ou moins stricte en fonction des données concernées. Néanmoins, plusieurs techniques informatiques devront être mises en œuvre pour ce faire. Mais l’opportunité et le choix de celle-ci sera laissée au responsable du traitement, en fonction du degré de gravité des données traitées.  Ce qui pourra s’avérer comme étant un vrai casse-tête, tant le flou est laissé quant à la réponse à cette question.

- S’il s’avère que la prévention mise en place a connu des failles et que des données ont été violées, vous devrez notifier dans les meilleurs délais cette faille, et si possible dans les 72 heures après la prise de connaissance de cette intrusion, à l’autorité de contrôle nationale, ainsi qu’à la personne concernée par ladite violation. Un vrai travail administratif certes, mais qui permettra d’agir rapidement contre cette usurpation de données. Une seule exception quand même : cette obligation de « reporting » devient obsolète lorsque les droits des personnes ne risquent pas d’être mis à mal par cette fuite. Difficile cependant de le savoir avec certitude au moment de la prise des données si elles pourront nuire au client in fine. Il faudra à mon sens toujours réaliser ce reporting, par précaution.

- Pensez-vous que cela s’arrête là ? Et bien pas du tout.   En plus de devoir mettre en place des procédures techniques pour sécuriser des données, ainsi que de nombreux instruments juridiques pour justifier de la légitimité de la collecte de ces données, certaines entreprises devront en outre tenir un registre de l’ensemble des activités de traitement qu’elles réaliseront. En quelque sorte, ces documents permettront aux autorités de contrôle de contrôler le flux de données et de s’informer sur la façon dont elles sont utilisées. Cette procédure assez lourde ne s’applique fort heureusement qu’aux entreprises comptant plus de 250 employés. Mais attention, il existe néanmoins certaines exceptions fondamentales. Si le traitement effectué comporte un risque pour les droits et libertés des personnes concernées, si le traitement réalisé par l’entreprise n’est pas seulement occasionnel, ou même si le traitement réalisé porte sur des données sensibles, alors vous serez également tenus de rédiger ces fameux registres.

- Lorsque vous avez collecté ces données et qu’elles font partie intégrante de vos bases de données internes, il sera à mon sens encore indispensable de résoudre un certain nombre de questions. Qui pourra avoir accès aux données ? Serait-il utile de centraliser l’ensemble des données des différents départements de votre société en une seule base complète de données ? Cette base de données pourra-t-elle être protégée au sens du droit intellectuel afin de vous assurer une pérennité des données qu’elles recoupent ?

De plus, vous avez tort si vous pensez que seules les données de vos clients sont concernées. Vous êtes également dans l’obligation d’assurer la protection des données de vos travailleurs, que ce soit initialement à des fins de recrutement, mais aussi dans le cadre de l’exécution du travail ainsi lors de sa rupture/fin éventuelle. Il sera dès lors indispensable de mettre à jour votre règlement de travail pour ce faire ainsi que d’adapter d’autres instruments juridiques propres à votre entreprise.

Le cas particulier de la cession des données

On le sait, l’économie des données est devenue fondamentale. Ces dernières sont en effet souvent collectées pour être vendues à d’autres personnes à des fins commerciales, ou pour lancer des nouveaux produits sur le marché, etc. Le fait de pouvoir utiliser ces données à d’autres fins que leur simple stockage est devenu source de revenu économique. Si la cession est explicitement prévue entre sociétés de pays membres de l’UE qui sont donc soumis dorénavant au même standard de règles, il en va différemment des cessions vers des pays tiers ou des organisations internationales. Il faut en effet que le pays en question offre un niveau de protection des données jugé adéquat, c’est-à-dire équivalent à celui qui est garanti au sein de l’UE. C’est la Commission européenne qui détermine quels sont les pays qui offrent un niveau de protection adéquat. Elle publie régulièrement sur son site internet une liste des pays offrant des garanties suffisantes. Si vous souhaitez transférer des données vers un pays tiers qui n’est pas repris dans la liste, vous pouvez le faire, mais vous devez alors « recréer » le cadre de protection adéquat dans votre contrat avec votre partenaire, ou vous devez demander à vos clients leur accord explicite pour le transfert.

Quid de la fin du traitement ?

Ce qui est fondamental, c’est qu’à partir du moment où la finalité pour laquelle les données sont demandées devient obsolète, le responsable du traitement est obligé de détruire les données personnelles. Il ne peut plus les garder si la finalité du traitement est caduque. Le traitement des données personnelles n’a donc par essence aucune existence perpétuelle.

Cependant, des possibilités sont prévues par la règlementation pour que les informations ne soient plus reliées à une personne. Le règlement mise à cet égard sur la pseudonymisation, entendez l’anonymisation des données personnelles. Si les données ont été anonymisées, elles pourront évidemment être conservées dans la mesure où elles ne répondent plus à la définition de données personnelles, puisque ne permettant plus d’identifier les personnes concernées. Pour réaliser des études, des statistiques, elles seront intéressantes et conserveront une certaine valeur. Par exemple, si l’entreprise sépare le nom de la date de naissance de la personne, la date de naissance ne permettra plus de l’identifier mais gardera néanmoins une valeur statistique pour cibler un lancement de nouveaux produits par exemple.

 De Nombreux procédés techniques permettent de réaliser cette pseudonymisation, et seront l’enjeu fondamental de ces prochaines années : le cryptage, le hashing, le masquage, la collecte en base de données, etc. Bref, autant de procédés qui permettent de garder sous un certain aspect les données recueillies au départ. Les individus ne seront plus en droit de réclamer l’effacement de ces données car elles ne seront plus susceptibles de leur causer un préjudice. Cette loi est basée sur le bon sens, à savoir quelle ne fonde des droits que chez les individus que dans le cas où ceux-ci sont mis à mal. La pseudonymisation est également intéressante en vue d’atteindre l’objectif de sécurisation de celles-ci. Si elles sont anonymisées, la fuite éventuelle de celles-ci ne sera plus de nature à leur porter préjudice, et ne devra donc plus faire l’objet d’un reporting.

Application territoriale

Comme nous l’avions esquissé en ce début d’article, ce règlement a une vocation à s’appliquer de manière tout à fait extra territoriale. Il s’applique à tous les responsables de traitement, pour autant que ceux-ci collectent des données des individus européens, si ceux-ci effectuent en réalité des livraisons de biens ou prestations de service dans l’Union européenne. Peu importe qu’ils soient établis ou non sur le territoire européen. Il n’est pas toujours aisé de savoir pour autant si on offre effectivement des biens et services dans l’UE. Des critères viennent donc à la rescousse. Par exemple, si on a un bureau, une filiale, une succursale dans l’UE, c’est évident que le marché européen est affecté. Mais quid dans le cas d’un service complètement dématérialisé, tel un site e-commerce ? le tout sera d’analyser la portée de votre site internet relais. Fait-on usage d’une langue européenne autre que l’anglais ? Vend-ton des services en devise européenne ou dans une monnaie d’un pays d’un état membre européen ? Le site comporte-t-il un nom de domaine européen ou d’un état membre national ? Dans ces cas, on est soumis au GDPR.

La difficulté résidera néanmoins parfois dans le rattachement à une autorité de contrôle nationale. Si vous vendez des produits en euros sur un site e-commerce et que vous possédez uniquement un nom de domaine européen ( .eu), quelle sera votre autorité de contrôle  nationalement compétente ? Le rattachement paraît moins évident dans ce cas. La problématique réside dans le fait que la logique du règlement n’a pas été poussée à son paroxysme. Les données étant par essence immatérielles, il sera parfois difficile de rattacher leur traitement à un territoire national, même en se basant sur des prestations de services et livraisons de biens, car ces dernières deviennent également de plus en plus dématérialisées et les critères de rattachement classique au territoire matériel d’un état membre sont obsolètes.

Sanctions

Quelles sont les raisons de s’inquiéter de s’intéresser à cette législation ? En dehors de l’attrait économique qui pourrait en résulter suite à la valorisation économique qui pourrait être faite de ces données, il existe de lourdes sanctions pour ceux qui décideraient d’en faire fi. Si la première infraction au règlement découlerait sur un simple avertissement, des audits plus intrusifs pourront être imposés par l’autorité de contrôle dans votre boîte, tous les 3 mois, pour voir si vous vous êtes bien conformés entre temps au prescrit de la loi. Et vous savez pertinemment au combien il est désagréable d’avoir des gens présents dans une entreprise à tout bout de champ. En dernier lieu, l’UE a décidé de frapper là où cela fait mal, et donc de toucher au portefeuille en imposant des amendes qui peuvent grimper jusqu’à 4% du chiffre d’affaire annuel avec un montant maximal de 20 millions d’euros si c’est une société. Autant dire que ces obligations ne sont pas à prendre à la légère.

Interaction avec d’autres législations

Il est évident que de nombreuses questions restent en suspens. Pensons simplement à la nouvelle loi sur le blanchiment d’argent. Celle-ci implique pour la société de continuellement pouvoir identifier leurs clients (règles de know your costumer), en prévoyant désormais que les données relatives à l’identification des clients doivent être gardées dans l’entreprise pendant 10 ans, et effacées directement après l’écoulement de ce délai. Quid de la compatibilité avec ce nouveau règlement ? Si la finalité pour laquelle ces données ont été sélectionnées a expiré au préalable, devra-t-on supprimer l’ensemble des données directement ou pourra-t-on les garder dans le but de nous conformer à nos obligations en matière de blanchiment ? Lequel des deux textes primes ? Il y aura sans doute une adaptation nécessaire. Certains seront évidemment tentés d’invoquer le respect de leurs obligations en matière de blanchiment pour justifier de la légalité de la conservation de leurs données.

Conclusion 

Cette législation apparaît comme un pas en avant dans la mesure où elle prend en compte l’ensemble des évolutions et technologies d’utilisation des données, ainsi que la plus-value économique que l’utilisation des données peut représenter au détriment des intérêts des particuliers. Les autorités nationales risquent d’être intransigeantes tant la ratio legis de cette règlementation est de protéger les personnes concernées qui communiquent leurs données. Il n’est dès lors pas toujours aisé pour toute société de s’y retrouver, le flux de données traité étant bien souvent tel que les entreprises doivent faire face à de nombreuses demandes de la part des particuliers.

Si le règlement apparaît comme un texte clair détaillant les nombreux principales applicables, sa transposition dans la pratique apparaît comme étant abstraite. Celle-ci semble avoir été laissée de côté par le législateur européen. Le travail a en réalité été délégué aux différentes autorités de contrôle nationales. En Belgique, il s’agit de l’autorité de protection des données qui a succédé à la commission vie privée. Celle-ci est chargée de publier les interprétations et le sens concret à donner aux obligations prévues par le législateur. Je ne saurais que trop vous recommander de suivre attentivement les développements récents repris afin de vous familiariser au mieux avec la matière. Le site de l’autorité intervient comme une vraie plateforme interactive vous permettant de poser des questions, de notifier les fuites de données, de solliciter un avis ou encore de déposer des plaintes en tant que particulier. Si d’aventure, vous préférez obtenir un avis éclairé et individualisé sur la manière dont vous collectez les données, ou si vous souhaitez vous opposer à l’utilisation de celles-ci, n’hésitez pas à nous contacter pour un avis personnalisé.

Pour la SPRL TROXQUET & LAMBERT

Jonas MATHIEU

Mars 2019