La loi relative à la protection des données personnelles

La loi de protection des données personnelles a été promulguée le 20 juin 2018. Cette loi a pour objet, non pas d'innover, mais d'appliquer le RGPD européen (règlement général sur la protection des données) du 27 avril 2016. Cela dit, l'Europe a laissé à ses pays membres quelques marges de manoeuvre. La loi a aussi pour objet de transposer la directive européenne adoptée le même jour que le règlement. En effet, les directives ne s'appliquent pas d'elles-mêmes, elles doivent être transposées par les états. Voir article précédent "le projet de loi relative à la protection des données personnelles".

Le « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016, comprend un règlement (règlement (UE) 2016/679 ou version pdf) et une directive (directive (UE) 2016/680). La France s'est dotée d'une loi : Loi n°018-493 du 20 juin 2018 relative à la protection des données personnelles.

Le RGPD et la loi Informatique et liberté de 1978

Avant le RGPD, la France était régie par sa loi n° 78-17 dite "informatique et liberté" loi n°78-17 du 6 janvier 1978. Le législateur français a décidé de conserver cette loi en l'actualisant car c'est une loi de référence et emblématique, même si depuis mars 2016 toutes les dispositions ont été codifiées dans le Code des relations entre le public et l'administration. L'article 20 de la loi a pour objet de permettre au Gouvernement de prendre, dans un délai de six mois, une ordonnance pour procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978 et d’en prévoir l’application à l’outre-mer.

Quel est l'objet du RGPD ?

Le RGPD a pour objet de conforter les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 et en créer de nouveaux. Le règlement porte une inversion de la logique de responsabilité qui contraint les managers publics à se réorganiser. Alors qu’auparavant, le contrôle des traitements s’exerçait a posteriori, les organismes publics auront dorénavant à garantir activement la protection des données des usagers. Cela passe en premier lieu par la constitution et la tenue, obligatoires, d’un registre à jour des traitements de données. Il établit de nouveaux droits pour les utilisateurs, réaffirme les principes de consentement et de proportionnalité, instaure le principe de traçabilité complète de la donnée. Le règlement consacre les principes de protection des données dès la conception et par défaut, de manière à ce que : « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement [soient] traitées », c’est-à-dire que ces données ne soient plus accessibles à un nombre indéterminé de personnes et dans un but non caractérisé, mais que sa finalité soit bien établie et renseignée.

Quel est le champ d'application du RGPD ?

D'abord, le règlement est d’application directe sans transposition. Son champ d’application territorial est fixé à l'article 3 du RGPD : Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens. Le RGPD sera applicable dès lors que les données sont collectées en Europe. Application aux personnes physiques : Le RGPD ne couvre pas les traitements des données personnelles qui concernent les personnes morales. Sont exclus du champ du RGPD : les traitements effectués dans le cadre de politiques qui ne relèvent pas de la compétence de l’UE mais de celle des États membres, ainsi que ceux réalisés par des personnes physiques dans le cadre de leur vie privée. Toutefois, le RGPD s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données personnelles pour de telles activités personnelles ou domestiques (les fournisseurs de services de réseaux sociaux).

Quelles marges de manoeuvre le RGPD laisse-t-il aux états ?

Il est permis aux États membres de préciser certaines dispositions que ce que prévoit le droit européen. Par exemple :

L’article 14 relatif aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique et historique, ou à des fins statistiques, précise les marges de manœuvre relatives aux mesures concernant de tels traitements sont permises par l’article 89 du règlement.

L’article 21 de la loi tire parti de la marge de manœuvre prévue au b) du 2 de l’article 22 du règlement, pour ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie.

L’article 24 utilise la marge de manœuvre prévue à l’article 23 du règlement qui prévoit la possibilité pour le droit national de limiter, par la voie de mesures législatives, la portée des obligations et des droits des personnes concernées.

Le RGPD liste les définitions-clés du vocabulaire concernant le traitement des données

L'article 4 du RGPD est essentiel car il donne une liste de définition des termes employés à consulter impérativement : « données à caractère personnel », « traitement », « limitation du traitement », « profilage », « pseudonymisation », « fichier », « responsable du traitement », « sous-traitant », « destinataire », « tiers », etc.

Les rubriques qui suivent traitent du RGPD appliqué par la loi de 2018.

********************************************************

I – LE RGPD DU COTE DES PARTICULIERS

********************************************************

Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles. Il sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union européenne (UE). Les sociétés détentrices de données seront responsables des informations privées collectées et devront en assurer la protection sous peine d'amendes qui pourront aller jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros. Le texte donne aussi la possibilité aux ONG d'organiser des actions de groupe. Une disposition a pour but de s'assurer que Google et Apple ne puissent imposer leurs navigateurs et moteurs de recherche par défaut sur les smartphones, tablettes et PC.

Pour ce qui concerne les droits et protections, de nombreux grands principes, déjà présents dans le droit européen et français, sont repris par le RGPD.

1°) La notion de consentement est renforcée

Les entreprises devront, sauf exception, demander aux individus leur autorisation pour traiter leurs données personnelles, là encore, « sous une forme compréhensible ».

Le consentement des internautes doit être respecté

Néanmoins, les données pourront être traitées sans le consentement si elles remplissent les conditions du principe de finalité

Ce principe de finalité implique que les données sont collectées dans un but déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. C’est le cas pour l’objectif nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement : certaines missions de l’Etat en matière de sécurité (les fichiers de police par exemple). Le règlement prévoit d’autres objectifs nécessaires (Article 7 du RGPD) :

- à l’exécution d’un contrat auquel la personne concernée est partie (exemple : une vente en ligne),

- au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

- à la sauvegarde des intérêts vitaux de la personne concernée ;

- aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Le consentement des parents pour les mineurs

Consentir à une offre directe de services de la société de l'information

Le RGPD (article 8)  fixe à 16 ans l’âge de « majorité numérique », la France le fixe à 15 ans

L’âge à partir duquel un mineur n’a plus besoin de l’autorisation de ses parents pour utiliser un réseau social (« l'offre directe de services de la société de l'information ») est de 16 ans. Mais le RGPD dit aussi que « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans (…). » Le législateur français a utilisé cette latitude pour descendre l’âge à 15 ans (article 20 de la loi) : « …un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans. »

Conditions à respecter en-dessous de l’âge de 15 ans (en France)

« Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur. » (RGPD)

La loi française précise dans le même article 20 : « Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles. » Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne. »

« Traitements de données à caractère personnel dans le domaine de la santé".

L’article 16 de la loi modifie l’article 59 de la loi de 1978 et dit ceci : « Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l'exercice de l'autorité parentale » :

- « aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits. (...) »

- « soient informés du traitement de données... » (dans certains cas sensibles - dépistages, etc. - ou si le mineur mène une vie autonome).

2°) Portabilité des données

Le RGPD apportera un nouveau droit aux internautes : celui de pouvoir récupérer et transférer leurs données personnelles gratuitement d’un service à un autre. Le règlement prévoit la possibilité que le transfert puisse être fait automatiquement entre fournisseurs de services, sans que l’internaute ait besoin de les manipuler. Références : droit à la portabilité des données : article 20 du RGPD.

3°) Communication en cas de fuite

Des obligations de sécurité pèsent sur les entreprises gérant des données personnelles

Lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation de données personnelles à la personne concernée dans les meilleurs délais.

Toutefois, le RGPD prévoit trois hypothèses dans lesquelles la communication à la personne concernée n’est pas nécessaire :

- Si les données étaient protégées par de la cryptographie - donc illisibles par d’éventuels pirates -, l’entreprise n’aura pas l’obligation d’avertir ses clients ou usagers.

- Si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser.

- Si elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire faite « en des termes clairs et simples ».

L’article 24 de la loi introduit après le II de l’article 40 de la loi de 1978 des dispositions qui indiquent qu’un « décret en Conseil d’Etat » sera pris après avis de la Cnil et fixera la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement. Références : article 34 du RGPD.

4°) Recours, réparations et amendes

Recours individuel

Si un Européen estime que ses données personnelles ont été utilisées ou collectées en contradiction avec la loi, il sera possible d’introduire un recours auprès des autorités de protection des données, la CNIL en France. C’est déjà le cas. Références : article 16 de la loi qui insère après l’article 43 ter de la loi de 1978, un article 43 quater (action de groupe).

Le RGPD ajoute la possibilité de lancer une action collective

La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXI^e siècle a introduit une action de groupe en matière de protection des données à caractère personnel. L’article 25 de la loi crée un nouvel article 43 quater dans la loi du 6 janvier 1978 pour prévoir qu’une personne concernée peut mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la CNIL (article 77 du règlement), un recours juridictionnel contre la CNIL (article 78) ou contre un responsable de traitement ou un sous-traitant (article 79). Références : article 83 du RGDP

5°) Des conditions d’utilisation plus claires

L’obligation pour les entreprises d’informer les individus est renforcée

L’information porte déjà dans le Droit français sur la façon dont les entreprises manipulent leurs données personnelles et dans quel but. Désormais, le droit européen leur impose de le faire « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. » Références : article 12 du RGPD.

6°) Les principes concernant la manière d’utiliser les données

Les données doivent ainsi être traitées de manière « licite, loyale, transparente » (article 5 du RGPD)

La « finalité », c’est-à-dire le but pour lequel les données sont traitées doit être « déterminée, explicite, légitime ». Les données collectées doivent être « adéquates, pertinentes, limitées, exactes, à jour  », et conservées en sécurité.

Les données sensibles

Elles sont soumises à un cadre un peu plus restrictif. L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié, en conformité avec l’article 9 du RGPD. : 1° Le I est ainsi rédigé : « I. - Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. » Le RGPD ne concerne pas les traitements de données qu’une personne pourrait réaliser pour son usage strictement personnel.

L’article 13 traite enfin des traitements de données à caractère personnel dans le domaine de la santé : il modifie le chapitre IX de la loi du 6 janvier 1978.

7°) Les garanties concernant le traitement des données

Droit à la communication d’informations

Comme auparavant, un certain nombre d’informations doivent être communiquées à l’individu lorsqu’on lui réclame ses données, comme la nature des données demandées, l’identité de la personne ou de l’entité qui va les traiter, la raison pour laquelle elle les demande, combien de temps elles seront conservées…Références : article 12 du RGPD, article 70-18-I modifié de la loi de 1978.

Droits concernant le contrôle des données

La loi met en application les articles suivants du RGPD : droit d’accès (article 15), droit de rectification (article 16), droit à l’effacement ou « droit à l'oubli » (article 17). L’art. 70-20. – I prévoit que « la personne concernée a le droit d'obtenir du responsable du traitement :

« 1° Que soit rectifiées dans les meilleurs délais des données à caractère personnel la concernant qui sont inexactes ;

« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

« 3° Que soit effacées dans les meilleurs délais des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement. »

Toutefois, ce droit n’a vocation à s’appliquer que pour des motifs limitativement énumérés. Toutes les hypothèses visées supposent que le traitement en cause ne soit pas ou plus conforme au RGPD.

Le droit à l’effacement se réduit à une limitation du traitement dans les cas prévus à l’article 70-20-III loi 1978.

Restrictions de droits

« Art. 70-21. - I. - Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne pour… » (Suit l’énumération des cas).

Droit d'opposition : article 21 du RGPD.

Prise de décision individuelle automatisée

Le RGPD permet à la personne d’interdire qu’une décision « produisant des effets juridiques » soit basée sur un « traitement automatisé  », sauf si la loi l’autorise expressément et l’assortit de garanties « des droits et libertés » ou si l’individu donne son consentement.

Article 22 du RGPD : « 1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision :

• est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;
• est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
• ou est fondée sur le consentement explicite de la personne concernée (…). »

Références  : article 22 du RGPD transposé par l’article 14 de la loi 2018 modifiant l’article 10 de la loi de 1978.

Le cas des archives

L’article 14 de la loi de 2018 modifie l’article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;

2° Les deuxième à dernier alinéas sont supprimés ;

3° Sont ajoutés deux alinéas ainsi rédigés :

« Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l'article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique. »

*****************************************

II – LE RGDP DU COTE DE LA CNIL

************************************

Les dispositions concernant la Cnil figurent au chapitre Ier du titre Ier de la loi. La Cnil « est l'autorité de contrôle nationale au sens et pour l'application du règlement » du RGPD (article 1er de la loi).

La Cnil est les collectivités locales

Ce même article dit que la Cnil :

« peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » (article 11 modifié de la loi n° 78-17 du 6 janvier 1978).

« a bis) (…) Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; » (même article de la loi de 78).

1°) L’inversion de la logique de contrôle supprime des formalités

Principe de responsabilisation des opérateurs de données : en vertu de ce principe », le système de contrôle des données est assoupli. L’article 5 du RGPD dit que « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ».

Les formalités déclaratives sont simplifiées hormis pour les données sensibles (données de santé, biométriques ou génétiques).

Le contrôle a priori est remplacé par un contrôle a posteriori, ce qui laisse au soin du responsable de traitement la définition du niveau de protection adapté, au regard des moyens, des enjeux et des risques relatifs aux données collectées.

La charge de la conformité d’un traitement repose essentiellement sur son responsable : celui-ci doit être en mesure de démontrer à tout moment sa régularité : « s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » (Article 24 RGPD)

Suppression de la grande majorité des formalités préalables à un traitement de données : C’est la conséquence de la logique de responsabilisation : la loi, par son article 11 supprime les formalités prévues aux articles 22 à 24, et 25 et 27, de la loi du 6 janvier 1978.

Les responsables de traitement devront donc mener une analyse d'impact (voir III point 3), et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (considérant 84 du RGPD).

2°) Dans certains cas, la Cnil pourra cependant être saisie préalablement à un traitement de données à caractère personnel

L’article 11 de la loi modifie l’article 22 de la loi de 1978. Cette formalité préalable particulière est liée au caractère sensible de certaines données, en particulier pour les traitements qui nécessitent l’utilisation du numéro d’inscription des personnes au RNIPP (répertoire national d’identification des personnes physiques). Le RNIPP « est l'image des registres d'état-civil » (Insee).

3°) La CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes.

La Cnil avertit le responsable du traitement d’une éventuelle violation. Elle peut prononcer une injonction de conformité (article 6 modifiant l’article 45-I de la loi 1978). L’article 83 du RGPD fixe les conditions générales pour imposer des amendes administratives : « effectives, proportionnées et dissuasives. ». Le calcul précis du montant de la sanction déjà déterminé par le RGPD qui prévoit des « amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. » (Article 7 modifiant l’article 45 de la loi de 1978).

Cnil : ce qui ne change pas

La Cnil continuera de procéder à des vérifications dans les locaux des organismes (en ligne, sur audition et sur pièces). La décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou pour faire suite à un précédent contrôle. Les principes fondamentaux de la protection des données tels que la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité des données notamment, continueront à faire l’objet de vérifications par la Cnil.

*************************************************

III – LE RGPD DU COTE DES COLLECTIVITES

********************************************

La loi du 6 janvier 1978 étant toujours applicable aux collectivités, celles-ci doivent toujours respecter les grands principes qu’elle énumère pour la collecte, le traitement et la conservation des données.

Les collectivités sont responsables, dès la conception, du traitement de leurs données, et par défaut (elles définissent les outils utilisés et les paramétrages par défaut).

L’article 70-11 de la loi de 1978 modifié par l’article 30 de la loi  : « Art. 70-11. - Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. (…) »

Le cas des données à caractère personnel

Des dispositions visent à faciliter l'application des règles relatives à la protection par les collectivités territoriales :

Article 31 de la loi  : « Sans préjudice du dernier alinéa de l'article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel. 

Les collectivités territoriales et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »

Obligation de notification aux personnes

En ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement, une obligation de notification est prévue par l’article 19 du RGPD (article 70-20-VI loi 1978) aux personnes qui ont demandé l’exécution de ces opérations.

Notification d’une violation de données à la CNIL

Le responsable du traitement doit informer la CNIL de toute violation de données personnelles (télé procédure de notification en ligne). Le responsable du traitement a l’obligation de notifier la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Le RGPD impose au sous-traitant de notifier au responsable du traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance.

Les collectivités territoriales doivent désigner un DPO

Trois cas de désignation

L'article 37 du RGPD définit trois cas de désignation obligatoire du délégué à la protection des données (DPO : Data Protection officer »), dont le premier cas est : lorsque « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle (...) » Les personnes privées, mêmes lorsqu’elles sont structurellement liées aux personnes publiques et qu’elles gèrent des services publics locaux, ne doivent pas être considérées comme des organismes publics au sens de l'article 37 § 1.a) du RGPD.

La mission du DPO

Le DPO (ou, en français, DPD pour délégué à la protection des données), a pour missions, d’après l’article 39 du RGPD, de :

- « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (…),

- contrôler le respect du présent règlement (…),

- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;

- coopérer avec l'autorité de contrôle ;

- faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement (…) ».

Quelles sont les différences entre le correspondant informatique et libertés (CIL) et le DPO ?

Le DPO est le successeur naturel du correspondant informatique et libertés (CIL), car leurs missions sont comparables. Néanmoins, les prérogatives du DPO sont renforcées. Des exigences accrues sur la qualification du DPO sont posées. Le DPO doit réunir des compétences particulières, comme le précise l’article 37 § 5 du RGPD. Il doit jouir d’un positionnement efficace s’il est désigné en interne, afin de pouvoir dialoguer directement avec le niveau le plus élevé de l’organisation et d’animer une équipe d’experts.

Obligations et responsabilités du DPO

Le DPO ne peut pas être tenu pour responsable de l’absence de conformité des traitements qu’il a pour mission de contrôler. Le responsable du traitement doit aider le DPO à exercer ses missions en lui fournissant les « ressources nécessaires » (article 38 § 2 du RGPD).

Le DPO doit éviter le conflit d’intérêts. Ce qui veut dire que :

- lorsque le DPO est interne à l’organisme, il faudra veiller à ce que ces fonctions ne l’amènent pas à participer à la détermination des finalités et des moyens du traitement.

- En cas de DPO externe, il y aura également conflit d’intérêts si celui-ci est appelé à représenter le responsable du traitement devant les juridictions pour des affaires en lien avec la question de la protection des données.

Le DPO doit agir en toute indépendance et ne peut être exposé à des sanctions par l’organisme au titre de l’exercice de ses fonctions. Qu’ils soient internes, externes ou mutualisés, les DPO peuvent adhérer à la charte de déontologie du délégué à la protection des données personnelles publiée 28 décembre 2017. Cette charte garantit le bon exercice des fonctions de ces DPO et peut être invoquée à l’encontre des responsables de traitement, sous-traitants, employeurs, partenaires internes et externes des organismes, de la Cnil, d’autres DPO ainsi qu’aux personnes concernées.

Un DPO peut être commun à plusieurs administrations

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille » (article 37 § 3 du RGPD). La mutualisation des fonctions de DPO ne doit pas nuire au bon exercice de l’une de ses missions essentielles : la disponibilité.

Comment est formalisée la désignation d’un DPO en interne ?

La Cnil a publié un formulaire de désignation en ligne du DPO. Une fois le DPO interne désigné et ce formulaire rempli, l’article 37 § 7 du RGPD impose au responsable du traitement de publier les coordonnées du délégué et de les communiquer à l’autorité de contrôle.

IV – Le RGPD et l’open data

A – Les documents concernés

La loi (article L312-1-1 du CRPA) oblige à publier en open data 4 types de données

Conformément à l’article L. 312-1-1 du CRPA, les collectivités territoriales de plus de 3500 habitants comptant plus de 50 agents sont tenues, lorsque ces documents sont disponibles sous format numérique, de publier en ligne les documents suivants (4 catégories). Pour pouvoir s’y référer facilement :

- les données qui sont communicables au sens de la loi de 1978 sur l’accès aux documents administratifs et au sens de la Cada,

- Les « les documents figurant au répertoire tenu par les administrations / des principaux documents contenant des informations publiques »

- Les « les bases de données » : mises à jour de façon régulière / et qui ne font pas l’objet d’une diffusion publique par ailleurs »,

- Les « données, / mises à jour de façon régulière, / dont la publication présente un intérêt économique, social, sanitaire ou environnemental. » 

Les cétégories de données 3 et 4 doivent être en accès libre (en open data) à partir du 7 octobre 2018, tandis que les datas de catégories 1 et 2 sont en principe disponibles, respectivement, depuis avril et octobre 2017.

Cas particulier du RIP (Répertoire des Informations publiques)

Il est mentionné au premier alinéa de l'article L. 322-6 du CRPA).

- Critère de libre appréciation, par la collectivité, de ce qui est nécessaire : Le RIP « La CADA a précisé que les dispositions de l’article 36 du décret du 30 décembre 2005 ne confèrent pas un caractère exhaustif à ce répertoire et laissent ainsi à chaque collectivité une marge d’appréciation. Le but n’est donc pas de dresser une liste complète des documents existants… » (Source : site de la Cada)

- Critère de la pertinence externe : Le RIP doit rassembler « des informations publiques susceptibles de présenter un intérêt pour des réutilisateurs »,

- Critère de l’existant : Le RIP ne prend en compte que les répertoires existants (cada : « publication en ligne du répertoire sollicité, sous réserve que celui-ci ait été élaboré par l'administration, ainsi qu'elle a l'obligation de le faire depuis 2005. » (avis n° 20180159 du 22 février 2018). Publication en ligne obligatoire, si « ces documents sont disponibles sous forme électronique » (article L312-1-1 du CRPA),

- Critère de l’utilité pratique et de la lisibilité : Le RIP doit « faciliter, par nature d’informations publiques, l’identification des documents qui les contiennent lorsqu’elle peut poser problème »

Sources : conseils n° 20061361 et 20061452 du 27 avril 2006). (Source : site de la Cada)

B – L’effectivité de la mise en œuvre

Quelles sont les sanctions encourues en cas de méconnaissance par une collectivité de ces nouvelles obligations ?

Sur cette page, la CADA a indiqué que l’absence de constitution d’un tel répertoire n’exposait pas la collectivité publique à des sanctions (conseil n° 20062173 du 8 juin 2006).

Lorsqu’une collectivité ne procède pas spontanément à mise en ligne d’un document soumis à une obligation « open data », un administré peut saisir la Cada de ce refus de publication (article L. 342-1 du CRPA). Toute procédure contentieuse devant les juridictions administratives est conditionnée à la saisine préalable pour avis de la Cada.

Retards dans l’application de la loi dans les ministères

Beaucoup de ministères ne sont pas en règle. Comme le prévoit la loi, la Cada a été saisie et a rendu ses avis et a émis « un avis favorable à la publication en ligne du répertoire sollicité… ». Toutefois dans un cas, une demande d’avis adressée par un tiers à la Cada a été déclarée « sans objet ». Elle concerne le ministère de l’environnement : les services ont reconnu que leurs informations publiques « n'étaient pas accessibles en ligne à partir d'une page unique mais que les liens permettant d'accéder en ligne à ces informations avaient été transmis au demandeur par courrier électronique du 21 février 2018 », soit un jour avant la réunion de la Commission.

C – Les règles fondamentales à respecter

Quelles préconisations respecter en cas de mise en ligne d’un document comportant des données personnelles ?

- concilier les exigences de transparence et de protection des données personnelles

- parvenir à un niveau d’anonymisation qui, à défaut d’être parfait, soit a minima satisfaisant au regard de l’avis rendu par les Cnil européennes le 10 avril 2014

- proscrire toute réutilisation des données ayant pour objet ou effet d’identifier de nouveau les personnes physiques initialement concernées par les informations diffusées.

1°) La protection des secrets

Avant d'être communiqués, les documents administratifs doivent être expurgés de tout secret protégé. Il s’agit des secrets indiqués aux articles L.311-5 et L.311-6 du CRPA : secret de la vie privée, secret industriel et commercial, secret médical, jugement de valeur, etc.

2°) La protection des données personnelles

Pour être publiés en ligne, mais aussi réutilisés, ils doivent en outre ne comporter aucune donnée à caractère personnel.

Cas d’exemption de communication

Les administrations ne sont tenues de les communiquer et de les publier que s'il est possible d'occulter ou de disjoindre les mentions non communicables et non publiables : la Cada considère qu'un document comportant un très grand nombre de mentions couvertes par un secret et dont l'occultation s'avérerait difficile pour l'administration peut être regardé comme non communicable. Voir par exemple cet avis de 2009 : avis n°20090682.

3°) Le cas des subventions individuelles

Les mentions des identités des bénéficiaires et des montants accordés ne portent pas en elles-mêmes atteinte à la vie privée. Ces données sont communicables et donc publiables comme données de première catégorie. Voici ce que disent la loi et la Cada.

Obligation de publication des données essentielles pour subventions > 23000 €

Cette obligation s’applique aux subventions d’un montant supérieur à 23 000 euros pour lesquelles une convention est obligatoire en vertu de l’article 10 de la loi 2000-321 du 12 avril 2000 sur les relations administrations-citoyens modifiée par l’article 18 de la loi du 7 octobre 2016 « pour une République numérique » (PRN).

L’arrêté du 17 novembre 2017 fixe les conditions de mises à disposition de ces données essentielles (article 1^er). Parmi les données essentielles figure « le nom de l'attributaire » (décret du 5 mai 2017).

Publication des données sur les subventions quel que soit le montant

La Cada opère une distinction entre l’aide prise sur des critères individuels et l’aide indépendante de la situation individuelle. Cada avis 20055081 - Séance du 19/01/2006

« Pour les aides versées en considération de la situation d’une personne physique ou dont le calcul est fonction de celle-ci, la commission estime que le secret de la vie privée fait obstacle à la communication de la liste des bénéficiaires de telles aides et du montant des aides perçues par chacun.

En revanche, lorsqu’il s’agit d’aides versées pour l’exercice d’une activité économique ou culturelle ou encore pour améliorer l’état de l’environnement, indépendamment de la situation personnelle d’une personne physique, la commission estime que le nom des bénéficiaires de ces aides, que ce soient des personnes physiques ou des personnes morales, n’est pas couvert par le secret de la vie privée ni par le secret des affaires. Il en va de même du montant de l’aide perçue sous réserve que la révélation de ce montant ne permette pas d’en déduire une information couverte par le secret en matière industrielle et commerciale telle que le montant du chiffre d’affaires ou celui d’un investissement. »

Fiche thématique Cada

4°) Les règles du RGDP

Afin de permettre l'exercice le plus effectif possible des droits de l'open data, les collectivités devront veiller à ce que leurs outils de traitement permettent de rendre facilement communicables, publiables et réutilisables les documents administratifs et les informations publiques qu'ils contiennent.

Voir cet article pour : les règle des minimisation et de pseudonymisation, les responsabilités qui pèsent sur le responsable du traitement des données à caractère personnel, les analyses d’impacts sur la vie privée

IV – Le RGPD du côté des sous-traitants des collectivités

Les obligations qui incombent aux sous-traitants

L’article 12 de la loi (modifiant l’article 35 de la loi de 1978) énonce que le sous-traitant respecte les conditions prévues au chapitre IV du RGPD. Depuis le 25 mai 2018, les sous-traitants ne peuvent plus se contenter de suivre les instructions des collectivités responsables du traitement pour protéger la sécurité et la confidentialité des données. Ils doivent adopter une démarche active auprès des responsables de traitement dès lors qu’ils sont eux aussi concernés par la logique de responsabilisation. Les sous-traitants ont une obligation de transparence et de traçabilité. Ils doivent garantir le respect des principes de protection de données dès la conception et par défaut. Ils doivent garantir la sécurité des données traitées notamment au regard des principes de l’obligation de confidentialité imposée à leurs salariés. Ils ont enfin une obligation d’assistance, d’alerte et de conseil.

La conformité

- Certification (des personnes, produits, systèmes…) et agrément (des organismes certificateurs) ainsi que les critères de ces opérations sont du ressort de la Cnil (article 11 de la loi de 1978 modifié, point 6 et suivants).

- L’analyse d’impact ou DPIA (« Data Privacy Impact Assessment »)

Elle est obligatoire dans les cas indiqués par l’article 70-4 modifié de la loi de 1978 : « Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable du traitement effectue une analyse d’impact relative à la protection des données à caractère personnel. »

Elle est particulièrement requise aussi pour le traitement à grande échelle des catégories de données sensibles citées à l’article 9 du RGPD et, en cas de surveillance systématique, à grande échelle d’une zone accessible au public.

Elle peut s'avérer utile dans le cadre des transferts de compétences entérinés par la loi « Notre » du 7 août 2015 ou les délégations de compétences fondées sur l’article L. 1111-8 du CGCT donnant lieu à la redistribution de données personnelles entre les différents niveaux de collectivités territoriales concernées.

- Le registre de traitements :

Il doit être en conformité avec la loi « informatique et libertés ». Mais il est aussi un des principaux outils permettant aux organismes de prouver le respect des obligations imposées par le RGPD, ce qui implique qu’il soit mis à la disposition de la CNIL. La collectivité doit donc, en premier lieu, disposer d’un registre qui liste les traitements qui ont eu lieu sous sa responsabilité.

Le registre des activités de traitement est tenu par le responsable du traitement mais le sous-traitant en tient un aussi.

Le RGPD précise la forme du registre (écrite y compris électronique) ainsi que son contenu. S’agissant du registre tenu par le sous-traitant, les mêmes informations doivent être fournies, à l’exception notable de l’indication des délais prévus pour l’effacement des différentes catégories de données, puisque la politique d’effacement est décidée par le responsable du traitement.