RGPD: La sous-traitance (notion, conditions, obligations)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

RGPD: Le droit à la limitation du traitement

Le droit à la limitation du traitement consiste à conférer à la personne concernée de suspendre le traitement dont elle fait l’objet tout en conservant les données traitées.

Par limitation du traitement, il faut entendre, selon l’article 4, §3 du RGPD, « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ».

Il, s’agit, autrement dit, d’enjoindre le responsable du traitement d’adopter des mesures conservatoires en vue de procéder à certaines vérifications.

==> Champ d’application

En application de l’article 18 du RGPD la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement dans les situations suivantes :

  • L’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
  • Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • Le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • La personne concernée s’est opposée au traitement en vertu de l’article 21, §1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

==> Principe

L’article 18, §2 du RGPD prévoit que lorsque le traitement a été limité, les données à caractère personnel doit être conservées par le responsable du traitement, sans qu’il puisse les traiter.

Le considérant 67 précise que les méthodes visant à limiter le traitement de données à caractère personnel peuvent consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet.

Dans les fichiers automatisés, la limitation du traitement doit en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l’objet d’opérations de traitements ultérieures et ne puissent pas être modifiées.

Le fait que le traitement des données à caractère personnel est limité doit être indiqué de manière claire dans le fichier.

==> Limites

L’article 18, §2 du RGPD autorise le responsable du traitement à traiter les données qui font l’objet d’une limitation dans quatre cas :

  • La personne concernée a donné son consentement
  • Les données sont traitées pour la constatation, l’exercice ou la défense de droits en justice
  • Les données sont traitées pour la protection des droits d’une autre personne physique ou morale
  • Les données sont traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

RGPD: Le droit à la portabilité des données

==> Ratio legis

L’article 20 du règlement général sur la protection des données (RGPD) introduit un nouveau droit à la portabilité des données.

Ce droit permet aux personnes concernées de :

  • Recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine
  • Transmettre les données récupérées sans obstacle à un autre responsable du traitement.

Ce droit, qui s’applique sous réserve de certaines conditions, encourage le choix et le contrôle de l’utilisateur, ainsi que sa responsabilisation.

Les personnes exerçant leur droit d’accès au titre de la directive 95/46/CE relative à la protection des données étaient limitées par le format choisi par le responsable du traitement lors de la fourniture des informations demandées.

Le nouveau droit à la portabilité des données vise à responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car il facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre (qu’il s’agisse de leur propre système, du système de tiers de confiance ou de celui de nouveaux responsables du traitement).

==> Les conditions d’exercice du droit à la portabilité

L’exercice du droit à la portabilité des données est subordonné à la satisfaction de trois conditions cumulatives

  • Première condition
    • Le droit à la portabilité ne peut porter que les données concernant la personne qui l’exerce.
    • Seules les données à caractère personnel peuvent faire l’objet d’une demande de portabilité.
    • Par conséquent, toute donnée anonyme ou ne se rapportant pas la personne concernée est exclue du champ d’application de la portabilité.
    • Toutefois, les données pseudonymisées qui peuvent clairement être liées à la personne concernée (par exemple, lorsque la personne concernée fournit l’identifiant correspondant) relèvent du champ d’application de l’article 20 du RGPD
  • Deuxième condition
    • Le droit à la portabilité ne peut porter que sur des données qui ont été fournies par la personne concernée au responsable du traitement
    • Une distinction peut être opérée entre différentes catégories de données, en fonction de leur origine, afin de déterminer si elles sont couvertes par le droit à la portabilité des données.
    • Les catégories suivantes peuvent être qualifiées de données « fournies par la personne concernée» :
      • Les données activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ;
      • Les données observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif. Ces données peuvent inclure, par exemple, l’historique de recherche, les données relatives au trafic et les données de localisation d’une personne. Elles peuvent aussi inclure d’autres données brutes comme le rythme cardiaque enregistré par un dispositif portable.
    • En revanche, les données déduites et les données dérivées qui sont créées par le responsable du traitement sur la base des données « fournies par la personne concernée», tel que le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ne peuvent pas être considérés en soi comme ayant été « fournies » par la personne concernée.
    • Bien que ces données puissent faire partie d’un profil conservé par un responsable du traitement et soient déduites ou dérivées d’une analyse des données fournies par la personne concernée (par ses actions, par exemple), ces données ne seront généralement pas considérées comme étant « fournies par la personne concernée» et ne relèveront dès lors pas du champ d’application de ce nouveau droit
  • Troisième condition
    • Les opérations de traitement doivent être fondées :
      • Soit sur le consentement de la personne concernée
      • Soit sur un contrat auquel la personne concernée est partie
  • Quatrième condition
    • La transmission des données doit s’opérer au moyen d’un traitement effectué à l’aide de procédés automatisés
  • Cinquième condition
    • Le droit à la portabilité des données ne doit pas porter atteinte aux droits et libertés de tiers
    • Cette condition vise à empêcher l’extraction et la transmission de données contenant les données à caractère personnel d’autres personnes concernées (non consentantes) à un nouveau responsable du traitement dans le cas où ces données sont susceptibles d’être traitées d’une manière qui porterait atteinte aux droits et aux libertés des autres personnes concernées
    • Une telle atteinte interviendrait, par exemple, si la transmission de données d’un responsable du traitement à un autre empêchait des tiers d’exercer leurs droits en tant que personnes concernées en vertu du règlement général sur la protection des données (comme le droit à l’information, le droit d’accès, etc.).

==> Modalités d’exercice du droit à la portabilité

  • Le destinataire de la demande
    • La demande de portabilité doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • L’article 12, §6, dispose que lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne concernée, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
    • Lorsqu’une personne concernée fournit des informations complémentaires permettant de l’identifier, le responsable du traitement ne peut refuser de donner suite à la demande.
    • Lorsque les informations et données collectées en ligne sont liées à des pseudonymes ou à des identifiants uniques, les responsables du traitement peuvent appliquer des procédures appropriées permettant à une personne de présenter une demande de portabilité des données et de recevoir des données la concernant.
    • En tout état de cause, les responsables du traitement doivent appliquer une procédure d’authentification afin d’établir avec certitude l’identité de la personne concernée demandant ses données à caractère personnel ou, plus généralement, exerçant les droits conférés par le règlement général sur la protection des données.
  • Le coût de la demande
    • L’article 12 du RGPD interdit au responsable du traitement d’exiger un paiement pour fournir les données à caractère personnel, à moins qu’il puisse démontrer que les demandes sont manifestement infondées ou excessives, « notamment en raison de leur caractère répétitif».
    • Ainsi, les coûts totaux liés à la mise en œuvre du système ne devraient pas être imputés aux personnes concernées ni invoqués pour justifier un refus de répondre à des demandes de portabilité.

==> L’exécution de l’obligation

  • L’obligation d’information préalable
    • Afin de respecter le nouveau droit à la portabilité des données, les responsables du traitement doivent informer les personnes concernées de l’existence de ce nouveau droit.
    • Deux situations doivent être distinguées :
      • Lorsque les données à caractère personnel concernées sont collectées directement auprès de la personne concernée, cette information doit avoir lieu « au moment où les données en question sont obtenues».
      • Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14, §3 du RGPD, exige que les informations soient fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, au moment de la première communication avec la personne concernée ou lorsque les données à caractère personnel sont communiquées à des tiers
    • Lorsqu’ils fournissent les informations requises, les responsables du traitement doivent veiller à opérer une distinction entre le droit à la portabilité des données et les autres droits.
    • Aussi, le Groupe de l’article 29 recommande-t-il que les responsables du traitement expliquent clairement la différence entre les types de données qu’une personne concernée peut recevoir en exerçant son droit d’accès et son droit à la portabilité.
  • Le délai d’exécution
    • L’article 12, paragraphe 3, requiert que le responsable du traitement fournisse à la personne concernée « des informations sur les mesures prises» « dans les meilleurs délais » et en tout état de cause « dans un délai d’un mois à compter de la réception de la demande ».
    • Ce délai d’un mois peut être prolongé à un maximum de trois mois pour les affaires complexes, à condition que la personne concernée ait été informée des motifs de cette prolongation dans un délai d’un mois à compter de la réception de la demande initiale.
    • Le responsable du traitement qui ne donne pas suite à une demande de portabilité informe la personne concernée, conformément à l’article 12, paragraphe 4, « des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel », dans un délai maximal d’un mois à compter de la réception de la demande.
    • Au bilan, les responsables du traitement doivent respecter l’obligation de répondre à la demande dans les conditions prescrites, même s’il s’agit de signifier un refus.
    • En d’autres termes, le responsable du traitement est tenu de répondre à une demande de portabilité des données.
  • Modalités d’exécution
    • Le RGPD exige du responsable du traitement qu’il fournisse les données à caractère personnel demandées par la personne concernée dans un format qui permet leur réutilisation.
    • Plus spécifiquement, l’article 20, §1 dispose que les données à caractère personnel doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine».
    • Le considérant 68 précise que ce format doit être interopérable, un terme qui est défini comme suit dans l’Union :
      • « La capacité de diverses organisations hétérogènes à interagir en vue d’atteindre des objectifs communs, mutuellement avantageux et convenus, impliquant le partage d’informations et de connaissances entre elles, selon les processus d’entreprise qu’elles prennent en charge, par l’échange de données entre leurs systèmes TIC respectifs. »
    • Les qualificatifs « structuré », « couramment utilisé» et « lisible par machine » constituent une série d’exigences minimales qui devraient faciliter l’interopérabilité du format de données fourni par le responsable du traitement.
    • En ce sens, les termes « structuré, couramment utilisé et lisible par machine» donnent des précisions sur les moyens, tandis que l’interopérabilité est le résultat escompté.
    • Le considérant 21 de la directive 2013/37/UE33 définit le format « lisible par machine» comme suit :
      • « Un format de fichier structuré de telle manière que des applications logicielles puissent facilement identifier, reconnaître et extraire des données spécifiques, notamment chaque énoncé d’un fait et sa structure interne.
      • Les données encodées présentes dans des fichiers qui sont structurés dans un format lisible par machine sont des données lisibles par machine.
      • Les formats lisibles par machine peuvent être ouverts ou propriétaires ; il peut s’agir de normes formelles ou non.
      • Les documents encodés dans un format de fichier qui limite le traitement automatique, en raison du fait que les données ne peuvent pas, ou ne peuvent pas facilement, être extraites de ces documents, ne devraient pas être considérés comme des documents dans des formats lisibles par machine.
      • Les États membres devraient, le cas échéant, encourager l’utilisation de formats ouverts, lisibles par machine. »
    • Compte tenu de la grande variété de types de données potentiels qui pourraient être traités par un responsable du traitement, le règlement général sur la protection des données n’impose pas de recommandations spécifiques quant au format des données à caractère personnel à fournir.
    • Le format le plus approprié différera d’un secteur à l’autre et des formats adéquats peuvent déjà exister, et doivent toujours être choisis de manière à pouvoir être interprétés et offrir à la personne concernée un degré élevé de portabilité.
    • Dès lors, les formats qui sont soumis à des contraintes de licences onéreuses ne sont pas considérés comme relevant d’une approche adéquate.
    • Le considérant 68 précise que « [l]e droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles».
    • Dès lors, la portabilité vise à produire des systèmes interopérables, et non des systèmes compatibles.

RGPD: Le droit à l’effacement ou le « droit à l’oubli »

Le droit à l’effacement, dit encore, droit à l’oubli se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée.

Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire du 13 mai 2014 (CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.), le RGPD met en place une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le considérant 65 du RGPD précise à cet égard, que ce droit à l’effacement est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

La personne concernée doit donc pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant.

Afin de renforcer le «droit à l’oubli» numérique, le RGPD pose encore, en son considérant 66, que le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

§1 : Le principe du droit à l’effacement

L’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Dans le même sens, l’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Il ressort de ces deux textes que c’est un véritable droit à l’oubli qui a été consacré par le législateur.

§2 : Les conditions du droit à l’effacement

Le législateur a entendu limiter l’exercice du droit à l’effacement à certains cas. A cet égard, il ne peut être exercé que lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement;
  • La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information, soit lorsque la personne était mineure au moment de la collecte de ses données

§3 : L’exercice du droit à l’effacement

  • Le destinataire de la demande
    • La demande d’effacement doit être adressée au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée

§4 : L’exécution du droit à l’effacement

  • Délai
    • A réception de la demande d’effacement, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
    • En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
    • Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
    • En cas de non-exécution de l’effacement des données à caractère personnel dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
  • Cas particuliers des données rendues publiques
    • L’article 17 du RGPD prévoit que lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
    • L’obligation est ici, non pas de résultat, mais de moyen

§5 : Les limites du droit à l’effacement

Le législateur européen a assorti le droit à l’effacement de plusieurs limites énoncées à l’article 17 du RGPD.

Ainsi, le droit à l’oubli ne s’applique pas :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

RGPD: le droit de rectification

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit de rectification des données à caractère personnel.

Le droit de rectification est le pendant de l’obligation qui échoit au responsable du traitement de traiter, en application de l’article 6, 4° de la LIL, des données à caractère personnel « exactes, complètes, si nécessaire, mises à jour ».

Pour assurer le respect de cette obligation, il appartient au responsable du traitement de « prendre les mesures appropriées pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».

A cet égard, dans une délibération du 1er mars 2016, la CNIL a précisé que « l’article 6-4° consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir » (CNIL Délib. 2016-053 du 1 mars 2016).

Reste qu’il s’infère du RGPD que l’exigence d’un traitement portant sur des données exactes et complètes est une obligation, non pas de résultat mais de moyen.

Le texte prévoit, en effet, que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

Dans l’hypothèse où les données traitées par le responsable du traitement ne seraient pas complètes, exactes ou non actualisées, la personne concernée dispose d’un droit de rectification.

==> Le contenu du droit de rectification

L’article 16 du RGPD prévoit en ce sens que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

De son côté, l’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Il ressort de cette disposition que le droit de rectification est entendu par les textes dans un sens large.

Cette rectification peut, en effet, consister à appliquer plusieurs traitements sur les données visées.

Elles peuvent, en effet, être :

  • Rectifiées
  • Complétées
  • Mises à jour
  • Verrouillées

Pour ce faire, il est cependant nécessaire que ces données soient :

  • Inexactes
  • Incomplètes
  • Équivoques
  • Périmées

Dans l’hypothèse où les données visées par la demande de rectification seraient parfaitement exactes et n’auraient pas été collectées en contravention de la LIL, le responsable du traitement sera légitimement en droit de refuser de procéder à la rectification sollicitée.

==> L’exercice du droit de rectification

  • Le destinataire de la demande
    • La demande de rectification doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulées
  • Le coût de la demande
    • L’exercice du droit de rectification est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.
    • A cet égard, l’article 40, I, al. 4 de la LIL prévoit que lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie

==> L’exécution du droit de rectification

  • Délai
    • A réception de la demande de rectification, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • En cas d’absence de réponse du responsable du traitement dans le délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

RGPD: le droit d’opposition

Pour le législateur de 1978, le droit d’opposition constituait la contrepartie de la liberté de collecte des données à caractère personnel, sous réserve qu’elles soient recueillies de manière loyale.

Lors de l’adoption de la directive du 24 octobre 1995, il a été question de reconnaître à ce droit un caractère discrétionnaire, en ce sens que son exercice ne serait subordonné à la justification d’aucun motif légitime.

Le législateur européen n’a pas retenu cette approche du droit d’opposition. L’article 38 de la directive prévoyait, en effet, que le droit d’opposition ne pouvait pas être exercé :

  • Soit lorsque le traitement répondait à une exigence légale
  • Soit lorsque son application a été écartée par une disposition expresse de l’acte autorisant le traitement, ce dernier cas visant les traitements dits « de souveraineté», autorisés par un acte réglementaire, pris après avis de la CNIL, conformément aux dispositions des articles 26 et 27 nouveaux de la loi du 6 janvier 1978.

Dans le droit fil de la directive du 24 octobre 1995, le RGPD a encadré l’exercice du droit d’opposition qui demeure donc toujours assorti de limites.

I) Le contenu du droit d’opposition

L’article 21 du RGPD prévoit que la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant, y compris un profilage fondé sur ces dispositions.

Dans le même sens, l’article 38 de la LIL dispose que toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Il ressort de ces deux dispositions qu’il existe un vrai droit pour la personne concernée de s’opposer au traitement de ses données à caractère personnel.

Cette faculté qui lui est conférée n’est, cependant, pas sans limite, le droit d’opposition n’étant pas discrétionnaire.

II) Les conditions du droit d’opposition

==> Principe : un droit relatif

Tant le RGPD, que la loi informatique et libertés assortissent le droit d’opposition de limites.

Tandis que la LIL subordonne le droit d’opposition par la personne concernée à l’existence de « motifs légitimes », le RGPD exige que son exercice soit justifié par « des raisons tenant à sa situation particulière ».

De toute évidence, la notion de « situation particulière » et plus large que celle de « motifs légitimes ».

Les conditions d’exercice du droit d’opposition posées par le RGPD sont, de la sorte, moins restrictives.

S’agissant de la notion de « motifs légitimes », il n’est pas inintéressant de relever que dans un arrêt du 28 septembre 2004, la Cour de cassation avait considéré qu’en matière politique, philosophique ou religieuse, la condition de l’existence de motifs légitimes « est remplie par le seul exercice de la faculté, pour la personne concernée, de s’opposer au traitement de données » personnelles (Cass. crim., 28 sept. 2004, n° 03-86.604).

C’est donc une appréciation extrêmement large de la notion qui est faite par la Cour de cassation.

A la lumière de l’article 21 du RGPD, pour la CNIL, le refus de faire droit à la demande de la personne concernée peut tenir :

  • A l’existence de motifs légitimes et impérieux à traiter les données ou que celles-ci sont nécessaires à la constatation, exercice ou défense de droits en justice ;
  • Au consentement qui a été préalablement donné de sorte qu’il appartient à la personne concernée de se rétracter et non de s’opposer au traitement
  • A l’existence d’une relation contractuelle avec le responsable du traitement
  • A l’existence d’une obligation légale qui impose au responsable du traitement de traiter les données visées
  • A la nécessité d’assurer la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
  • A l’existence d’un traitement nécessaire à l’exécution d’une mission d’intérêt public lorsque données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques

==> Exception : un droit discrétionnaire

L’article 21, 2 du RGPD prévoit que lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

Autrement dit, dès lors que le traitement de données est effectué dans le cadre d’une opération de prospection commerciale, la personne concernée n’a pas à justifier de « raisons tenant à sa situation particulière ».

Elle est irréfragablement présumée remplir cette condition, dès lors qu’elle fait l’objet d’une opération de prospection commerciale.

III) Les modalités d’exercice du droit d’opposition

  • Le destinataire de la demande
    • Le droit d’opposition doit être exercé auprès du responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée
  • Formalisme
    • Aucun formalisme n’est exigé quant à l’exercice du droit d’opposition (V. en ce sens crim., 28 sept. 2004, n° 03-86.604)
    • A cet égard, l’article 21 du RGPD prévoit que dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
    • Autrement dit, le droit d’opposition peut valablement être exercé par voie électronique.
    • Dans une délibération n° 2016-264 du 21 juillet 2016, la CNIL a considéré en ce sens que dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit pouvoir s’exprimer par un moyen simple et spécifique, tel qu’une case à cocher.
  • Le coût de la demande
    • L’exercice du droit d’opposition est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.

IV) L’exécution du droit d’opposition

==> L’obligation d’information

L’article 21, 4 du RGPD prévoit qu’il appartient au responsable du traitement, au plus tard au moment de la première communication avec la personne concernée, de l’informer de l’existence de son droit d’opposition.

Cette information doit être explicitement portée à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

==> Le délai d’exécution

L’article 21 du RGPD prévoit que lorsque la personne concernée s’oppose au traitement, les données à caractère personnel ne doivent plus être traitées.

L’article 12 précise que le responsable du traitement dispose en tout état de cause d’un délai d’un mois à compter de la réception de la demande.

Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.

En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

V) Cas particulier du profilage

==> Définition

Le profilage est défini à l’article 4 du RGPD comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Il s’agit, autrement dit, de dresser un profil individualisé de la personne concernée aux fins de lui appliquer une décision fondée sur un traitement automatisé.

La CNIL précise qu’une décision est automatisé lorsqu’elle est prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

Les décisions automatisées peuvent intervenir dans de nombreux domaines d’activité (finance, fiscalité, marketing, etc.) et produire des effets juridiques ou des effets significatifs pour les personnes concernées.

Par exemple, une décision de refus de crédit peut avoir pour seul fondement l’utilisation d’un algorithme qui applique automatiquement certains critères à la situation financière du demandeur, sans aucune intervention humaine.

Compte tenu du danger que représente le profilage pour les droits et libertés des personnes, le législateur européen est intervenu aux d’encadrer strictement cette pratique.

==> Principe

L’article 22 du RGPD prévoit que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Par principe, il est donc interdit de prendre une décision entièrement automatisée à l’endroit de personnes, dès lors que cette décision :

  • Soit produit des effets juridiques les concernant
  • Soit les affecte de manière significative de façon similaire

==> Exceptions

Le principe d’interdiction du profilage ne s’applique pas lorsque la décision :

  • Soit est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
  • Soit est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
  • Soit est fondée sur le consentement explicite de la personne concernée.

L’article 22, §3 précise que pour la 1ère et la 3e exception, il appartient au responsable du traitement de mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

Le considérant 71 précise que, afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement doit :

  • Utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage
  • Appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risques d’erreur soit réduit au minimum
  • Sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée
  • Prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur la l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou qui se traduisent par des mesures produisant un tel effet.

En tout état de cause, la prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne doivent être autorisés que dans des conditions spécifiques.

==> Exception à l’exception

Les exceptions prévues par l’article 22 ne s’appliquent pas lorsque le traitement porte sur des données sensibles à moins que :

  • Soit la personne concernée ait explicitement donné son consentement
  • Soit le traitement est nécessaire pour des motifs d’intérêt public

RGPD: le droit d’accès aux données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit d’accès aux données à caractère personnel.

Il ressort des textes qu’il convient de distinguer le droit d’accès direct du droit d’accès indirect.

Tandis que dans le premier cas, le droit d’accès s’exerce directement auprès du responsable du traitement, dans le second, il s’exerce par l’entremise d’un tiers.

§1 : Le droit d’accès direct

A) Le principe du droit d’accès

  1. La reconnaissance d’un droit d’accès

==> La loi informatique et libertés

Dès 1978, le droit d’accès aux données à caractère personnel avait été envisagé par le législateur.

L’ancien article 35, al. 1er de la loi informatique et libertés prévoyait en ce sens que « le titulaire du droit d’accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements ».

==> La directive du 24 octobre 1995

Ce droit d’accès a, par suite, été reconnu et précisé par le législateur européen lors de l’adoption de la directive du 24 octobre 1995.

L’article 12 de ce texte prévoyait, en effet, que :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

 a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ».

==> Le RGPD

Le RGPD a poursuivi dans cette voie en énonçant au considérant 63 que la personne concernée doit avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité.

Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés.

Le législateur européen en a tiré la conséquence que toute personne concernée par un traitement devait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.

2. Le contenu du droit d’accès

Désormais, l’article 15 du RGPD prévoit que la personne concernée a le droit d’obtenir du responsable du traitement :

  • D’une part, la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et,
  • D’autre part, lorsque les données la concernant font l’objet d’un traitement, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
    • Les finalités du traitement ;
    • Les catégories de données à caractère personnel concernées ;
    • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
    • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
    • L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
    • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
    • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
    • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    • Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3. Les modalités d’exercice du droit d’accès

==> Qui ?

Le droit d’accès est un droit personnel qui s’exerce à la demande par la personne concernée par le traitement ou ses ayants droit.

Il peut être observé que le titulaire de ce droit d’accès n’a pas à motiver sa demande. Il lui faudra simplement justifier son identité.

Par ailleurs, l’exercice du droit d’accès est gratuit de sorte qu’il ne saurait être subordonné à la fourniture d’une contrepartie de quelque nature que ce soit.

==> Auprès de qui ?

Le droit d’accès s’exerce directement auprès du responsable du traitement et non auprès de l’autorité de contrôle (la CNIL).

Pour identifier la personne ou le service à contacter, il conviendra de se reporter aux mentions légales du site web du responsable du traitement et, plus précisément, à sa politique de confidentialité.

==> Comment ?

Le droit d’accès peut dans tous les cas s’exercer par écrit. Il peut également s’exercer sur place.

  • Par écrit
    • L’exercice du droit d’accès peut être effectué par courrier ou par voie électronique
    • Il conviendra d’adresser le courrier directement au service ou à la personne concernée et de définir une adresse de réponse.
  • Sur place
    • Il conviendra de se munir d’une pièce d’identité
    • Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n’est possible que sous réserve de la protection des données personnelles des tiers.
    • Une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
    • Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l’intéressé toutes les données qui le concernent et pendant une durée suffisante.
    • Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.

==> Délivrance d’une copie

L’article 39 de la loi informatique et libertés prévoit qu’une copie des données à caractère personnel est délivrée à l’intéressé à sa demande.

Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

Dans le même sens l’article 15 du RGPD dispose que le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Cas de dissimulation ou de disparition des données

L’article 39 de la loi informatique et libertés prévoit que, en cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

B) Les limites au droit d’accès

Le législateur a assorti le droit d’accès de deux limites.

  1. Les demandes manifestement abusives

L’article 39, II de la loi informatique et libertés dispose que le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Ainsi, lorsque l’exerce du droit d’accès est abusif, le responsable du traitement peut opposer un refus à la personne concernée, sans s’exposer à des sanctions.

Il en irait ainsi d’une demande de copie intégrale d’un enregistrement tous les trois mois.

2. Les finalités statistiques, scientifiques ou historiques

L’article 39, II de la loi informatique et liberté prévoit que le responsable du traitement peut refuser d’accès à la demande de la personne concernée lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.

Reste que ce refus ne sera fondé qu’à la condition que le responsable du traitement ait porté à la connaissance de la CNIL son intention de limiter le droit d’accès.

II) Le droit d’accès indirect

L’accès à certaines données spécifiques n’est pas sans soulever, dans certains cas, des difficultés, en ce que les données ou les finalités du traitement sont sensibles par rapport aux intérêts de la puissance publique ou de la personne elle-même.

Aussi, pour ces cas très particuliers, le législateur a-t-il institué une procédure spécifique qui impose à la personne concernée de s’adresser à un tiers, la CNIL, pour exercer son droit d’accès, lequel devient alors indirect.

Ce droit d’accès, dit indirect, concerne notamment :

  • Les fichiers qui intéressent la sûreté de l’État, la défense ou la sécurité publique
  • Le fichier relatif au Traitement des Antécédents Judiciaires (TAJ)
  • Les fichiers des services de renseignement des ministères de l’intérieur
  • Le fichier de gestion informatisée des détenus en établissement pénitentiaire (GIDE)
  • Le fichier des comptes bancaires dénommé FICOBA
  • Le fichier du service TRACFIN

Lorsque le droit d’accès porte sur l’un de ces fichiers (liste non exhaustive, la personne concernée doit d’adresser à la CNIL qui sera son seul interlocuteur.

Cette dernière ne détenant pas les fichiers visés, elle n’a pas connaissance des informations qui y figurent.

Aussi, est-ce un magistrat de la CNIL qui exercera au nom et pour le compte de la personne concernée son droit d’accès.

A cet égard, il pourra demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

RGPD: le droit à être informé de la mise en œuvre d’un traitement de données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent, le droit à être informé du traitement.

Il convient ici de distinguer selon que la collecte des données est directe ou indirecte

§1 : La collecte directe de données à caractère personnel

==> L’obligation d’informer la personne concernée

  • Principe
    • Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités.
    • Aussi, le responsable du traitement a-t-il pour obligation de fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.
    • Les informations qui doivent être communiquées à la personne concernée en cas de collecte directe de ses données, soit lorsque ladite collecte a été effectuée auprès de la personne, ont été définies à l’article 13 du RGPD.
  • Exception
    • L’obligation d’informer la personne concernée en cas de collecte directe est assortie d’une exception
    • Le RGPD prévoit que le responsable du traitement est dispensé de cette obligation lorsque la personne concernée dispose déjà de des informations qui doivent lui être communiquées
    • Il appartiendra alors au responsable de prouver que la personne concernée disposait de ces informations pour s’exonérer de sa responsabilité.

==> Le contenu de l’information à fournir à la personne concernée

L’article 13 du RGPD prévoit que le responsable du traitement doit fournir à la personne concernée les informations suivantes :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Lorsque le traitement est fondé sur la poursuite d’un intérêt légitime, ceux poursuivis par le responsable du traitement ou par un tiers ;
  • Les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement est fondé sur le consentement l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

==> Le moment de la fourniture de l’information à la personne concernée

La fourniture de l’information doit intervenir au moment où les données à caractère personnel de la personne concernée sont collectées

A cet égard lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, il doit fournir, au préalable, à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente

§2 : La collecte indirecte de données à caractère personnel

==> L’obligation d’informer la personne concernée

  • Principe
    • La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.
    • Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.
    • En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.
    • Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).
    • Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.
    • L’article 14 du RGPD prévoit ainsi que lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci un certain nombre d’informations
  • Exceptions
    • L’exigence d’informer la personne concernée en cas de collecte indirecte de ses données à caractère personnel est assortie de plusieurs exceptions :
      • La personne concernée dispose déjà de ces informations ;
      • La fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
      • L’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;
      • Les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

==> Le contenu de l’information à fournir à la personne concernée

Au nombre des informations qui doivent être communiquées à la personne concernée en cas de collecte indirecte de ses données à caractère personnel figurent :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Les catégories de données à caractère personnel concernées ;
  • Le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • La durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • Lorsque le traitement est fondé sur la poursuite d’un intérêt légitime, ceux poursuivis par le responsable du traitement ou par un tiers ;
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement est fondé sur le consentement, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • La source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

==> Le moment de la fourniture de l’information à la personne concernée

  • Principe
    • L’article 14 du RGPD prévoit que les informations communiquées à la personne concernée doivent lui être fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées
  • Tempéraments
    • Si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, elles doivent lui être communiquées, au plus tard, au moment de la première communication à ladite personne
    • S’il est envisagé de communiquer les informations à un autre destinataire, elles doivent lui être communiquées, au plus tard, lorsque les données à caractère personnel sont communiquées pour la première fois.

RGPD: les droits des personnes à l’égard des traitements de données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent :

  • Le droit à être informé du traitement
  • Le droit d’accès aux données à caractère personnel
  • Le droit de rectification des données à caractère personnel
  • Le droit d’effacement des données à caractère personnel
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données à caractère personnel
  • Le droit d’opposition au traitement et à la prise de décision automatisée

Biens que divers et variés, ces droits obéissent à des règles communes énoncées à l’article 12 du RGPD

==> Obligation de transparence

Lorsque le responsable du traitement doit fournir des informations à la personne concernée au titre de l’un des droits qu’elle est susceptible d’exercer, il lui appartient de prendre des mesures appropriées et de procéder à toute communication d’information d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

L’article 12 du RGPD précise que les informations ainsi communiquées peuvent être fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique.

Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

A cet égard, lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Délai de fournir des informations sollicitées

L’article 12 du RGPD prévoit que le responsable du traitement doit fournir à la personne concernée des informations pertinentes et adaptées dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.

Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.

En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.

Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

==> Coût d’exercice des droits de la personne concernée

L’article 12, 5 du RGPD prévoit que aucun paiement ne peut être exigé par le responsable du traitement pour fournir à la personne concernée les informations sollicitées, pour procéder à toute communication et prendre toute mesure au titre de l’exercice de ses droits.

Toutefois, lorsque les demandes de la personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées

==> Limites générales à l’exercice des droits de la personne concernée

Deux limites générales à l’exercice des droits de la personne concernée sont posées par le RGPD :

  • Première limite : la demande de précision complémentaires à la personne concernée
    • Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande d’exercice de ses droits, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
  • Seconde limite : le refus de déférer à la demande de la personne concernée
    • L’article 12 du RGPD prévoit que dans l’hypothèse où les demandes de la personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à ces demandes.
    • Si cette situation se présente, il incombe alors au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

RGPD: le régime d’interdiction

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement

  • Principe
    • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
      • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
      • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
  • Exception
    • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

  • Principe : le régime de déclaration
    • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
    • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
    • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
      • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
      • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
      • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
      • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
      • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
  • Exception : le régime d’autorisation
    • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
      • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
      • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
      • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
      • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Transposant le Règlement général sur a protection des données (RGPD), la loi du 20 juin 2018 simplifie, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, comme l’autorise le règlement, la loi maintient des formalités préalables pour certains traitements.

Pour les données les plus sensibles, leur traitement est purement et simplement interdit par la loi informatique et libertés

Au bilan, trois sortes de régimes juridiques sont applicables aux traitements de données à caractère personnel :

  • Un régime de responsabilité
  • Un régime d’autorisation
  • Un régime de d’interdiction

S’agissant de ce dernier régime, deux catégories de données à caractère personnel ne peuvent, par principe, faire l’objet d’un traitement :

  • Les données sensibles
  • Les données d’infraction

I) Les données sensibles

==> Principe

Les données sensibles, au sens de la loi informatique et libertés, sont de deux ordres :

  • D’une part, il s’agit des données qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique
  • D’autre part, il s’agit des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Pour ces données dites sensibles, le principe posé à l’article 8 de la loi informatique et libertés c’est l’interdiction du traitement. Une justification à cette interdiction est avancée au considérant 51 du RGPD.

Aux termes de ce considérant, il est précisé que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits.

==> Exceptions

Le principe d’interdiction de traitement des données sensibles est assorti de plusieurs exceptions :

  • Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l’interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
  • Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
  • Les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
    • Pour les seules données mentionnées au I correspondant à l’objet de ladite association ou dudit organisme ;
    • Sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
    • Et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n’y consentent expressément ;
  • Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
  • Les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal ;
  • Les traitements statistiques réalisés par l’Institut national de la statistique et des études économiques ou l’un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l’information statistique ;
  • Les traitements comportant des données concernant la santé justifiés par l’intérêt public
  • Les traitements conformes aux règlements types mentionnés au b du 2° du I de l’article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
  • Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;
  • Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, après avis motivé et publié de la Commission nationale de l’informatique et des libertés rendu selon les modalités prévues à l’article 28 de la loi informatique et libertés.
  • Les traitements portant sur des données sensibles qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme à la loi informatique et libertés par la CNIL.
  • Les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés par la CNIL.

II) Les données d’infraction

==> Le RGPD

L’article 10 du RGPD prévoit que le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

==> La loi informatique et libertés

Aux termes de l’article 9 de la loi informatique et libertés les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

  • Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;
  • Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi
  • Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;
  • Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits ;
  • Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

==> Conseil constitutionnel

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles transposant l’article 10 du RGPD, a été censurée par le Conseil constitutionnel dans sa décision n° 2018-765 DC du 12 juin 2018, en son article 9, al. 1.

Après avoir rappelé que l’article 10 du RGPD n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l’autorité publique », le Conseil constitutionnel a jugé : « Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données.

En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, il a été jugé que ces dispositions affectaient, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dès lors, les mots « sous le contrôle de l’autorité publique ou » ont été considérés comme entachés « d’incompétence négative » (paragr. 45).

Pour rappel, le principe d’incompétence négative signifie qu’il échoit au législateur d’exercer pleinement sa compétence pour fixer les règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques

A cet égard les dispositions déférées au contrôle du Conseil constitutionnel avaient ceci de spécifique qu’elles autorisaient la mise en œuvre d’un traitement de données en matière pénale, sans préciser en rien quelles personnes pouvaient bénéficier de cette autorisation, ni au nom de quelles finalités.

Dans ses observations devant le Conseil constitutionnel, le Premier ministre, afin de défendre la constitutionnalité de la disposition figurant au 1° de l’article 13, faisait valoir qu’elle « reprenait les termes mêmes des dispositions précises et inconditionnelles de l’article 10 du RGPD et ne saurait donc être utilement contestée ».

Toutefois, d’une part, d’une manière générale, ainsi que cela résultait de la jurisprudence du Conseil constitutionnel en matière de transposition de directives, les exigences constitutionnelles découlant de l’article 88-1 ne priment pas sur les règles de compétence fixées dans la Constitution et, dès lors, ne limitent pas le pouvoir du juge constitutionnel de s’assurer que le législateur n’est pas resté en deçà de sa propre compétence, y compris lorsqu’il s’est borné à tirer les conséquences nécessaires de dispositions européennes.

D’autre part, en l’espèce, le Conseil constitutionnel a considéré que l’article 10 du RGPD, qui autorise, par exception, les États membres à prévoir des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions et aux mesures de sûreté, ne limite pas les garanties qui peuvent, dans ce cas, être adoptées par chaque État, en plus de celles énoncées par le RGPD.

Or, au regard des exigences de l’article 34 de la Constitution, le Conseil constitutionnel a jugé que le législateur ne pouvait se borner à reproduire à l’identique les termes « sous le contrôle de l’autorité publique » figurant à l’article 10 du RGPD, sans préciser les catégories de personnes susceptibles de mettre en œuvre, sous un tel contrôle, des traitements de données personnelles en matière pénale, et sans préciser les finalités d’un tel traitement.

Compte tenu de leur portée indéterminée, le Conseil constitutionnel a souligné, dans le sillage de sa décision n° 2004-499 DC, que les dispositions contestées affectaient les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, qui relèvent de la compétence du législateur, en raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées.

Il a donc censuré ces dispositions comme entachées d’incompétence négative.

Compte tenu de cette censure, dès lors que l’article 10 du règlement européen dispose qu’un tel traitement de données personnelles en matière pénale ne peut – notamment – « être effectué que sous le contrôle de l’autorité publique », il revient donc au législateur, s’il souhaite adapter le droit interne à ces dispositions, de préciser quelles catégories de personnes pourraient en bénéficier et au nom de quelles finalités.