==> La loi du 6 janvier 1978
Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement
- Principe
- Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
- Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
- S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
- Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
- Exception
- Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.
==> La loi du 6 août 2004
Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.
Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».
Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.
Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.
- Principe : le régime de déclaration
- Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
- La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
- La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
- Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
- Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
- Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
- Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
- En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
- Exception : le régime d’autorisation
- Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
- La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
- L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
- Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
- Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.
- Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
==> La loi du 20 juin 2018
Transposant le Règlement général sur a protection des données (RGPD), la loi du 20 juin 2018 simplifie, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.
Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.
Toutefois, comme l’autorise le règlement, la loi maintient des formalités préalables pour certains traitements.
Pour les données les plus sensibles, leur traitement est purement et simplement interdit par la loi informatique et libertés
Au bilan, trois sortes de régimes juridiques sont applicables aux traitements de données à caractère personnel :
- Un régime de responsabilité
- Un régime d’autorisation
- Un régime de d’interdiction
==> Le principe d’accountability
L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.
Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.
Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.
Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :
- La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
- L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
- La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
- La désignation d’un délégué à la protection des données (article 37)
- L’adhésion à des codes de bonne conduite (articles 40 et 41)
- La participation à des mécanismes de certification (articles 42 et 43)
Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.
Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.
En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.
On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.
Au fond, le principe d’« accountability » s’articule autour de deux axes :
- D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
- D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.
Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.
Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.
L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.
Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations qu’il convient d’examiner.