Le RGPD et son applicabilité dans les États membres de l’Union Européenne

Le Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 dans tous les États membres de l’Union Européenne (UE). En remplaçant la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le RGPD est devenu le nouveau texte de référence de l’Union.

Ce texte réglementaire européen encadre le traitement des données personnelles sur le territoire de l’UE en imposant des exigences à tout organisme public ou privé concernant la collecte, la conservation et la gestion de ces données.

Il vise à garantir les libertés fondamentales reconnues par la Charte des droits fondamentaux de l’Union européenne comme le disposent l’article 8 relatif à la protection des données à caractère personnel et l’article 7 pour le respect de la vie privée et familiale.

Le RGPD s’ancre dans la continuité de la loi française Informatique et Libertés de 1978 relative à la collecte et l’utilisation des données sur le territoire français.

Trois objectifs ont été fixés au sein du règlement :

1. Renforcer les droits des personnes.
2. Responsabiliser les différents acteurs traitant les données.
3. Crédibiliser la régulation en renforçant la coopération entre les différents autorités de protection des données.

Le régime mis en place est inédit. C’est la première fois que des dispositions dans ce domaine sont aussi exigeantes et les sanctions aussi sévères.

Le RGPD a permis d’atténuer la fragmentation entre les différents États en harmonisant le panorama juridique à l’échelle de l’Union et en offrant un cadre unique à l’ensemble des professionnels.

À l’ère du numérique, l’ordre juridique n’a eu d’autre choix que de s’adapter afin de suivre les différentes évolutions de notre société et des technologies. La montée en puissance du commerce en ligne et l'explosion du numérique n’ont fait que confirmer la vétusté de la législation européenne. 

Les notions de données à caractère personnel et de traitement de données personnelles

Il est essentiel de revenir sur la notion de “donnée à caractère personnel”. La Commission nationale de l'informatique et des libertés (CNIL) la définit comme  :

Toute information se rapportant à une personne physique identifiée ou identifiable.

Elle doit être comprise de façon large.

La Commission précise qu’une personne peut être identifiée directement, par exemple grâce à son nom et son prénom, ou bien indirectement via un identifiant, un numéro de téléphone, son adresse IP, etc. Cette identification peut se faire à partir d’une seule donnée ou bien à partir du croisement de plusieurs données.

Mais alors, qu’est-ce qu’un traitement de données personnelles ? Tout comme la notion de donnée personnelle, celui-ci doit être compris largement. Il s'agit d'une ou plusieurs opérations concernant des données personnelles. Le procédé utilisé peut différer d’une opération à une autre : modification d’un fichier de fournisseurs, collecte de coordonnées via un questionnaire, tenue d’un fichier client, etc. Notez que celui-ci n’est pas forcément informatisé, les dossiers papiers sont également concernés.

L’entreprise ou l’organisation à l’origine du traitement de données est tenue de respecter plusieurs règles. En voici quelques unes :

• Le traitement des données doit se faire de manière licite et transparente, en toute loyauté ;
• Il doit toujours être réalisé dans un but déterminé. La finalité doit être indiquée aux personnes concernées lors de la collecte ;
• Les données collectées doivent être nécessaires afin d’atteindre ces finalités ;
• L'entreprise / organisation doit s'assurer que ces données ne sont pas conservées plus longtemps que nécessaire et elle doit mettre en place les mesures nécessaires pour garantir leur sécurité et leur protection.

Par exemple, lorsqu’une entreprise édite une facture et effectue une livraison dans le cadre de son activité, elle est forcément amenée à collecter diverses informations sur son client. L’objectif ? Gérer sa clientèle. En l’espèce, la finalité est claire.

Lors de leur traitement, les données personnelles transitent généralement par différentes entités parmi lesquelles on peut identifier : le responsable du traitement, c’est celui qui va mettre en place les détails du traitement des données et le sous-traitant qui va détenir et traiter les données pour le compte du responsable.

Attention, le traitement de certaines catégories de données à caractère personnel est, dans tous les cas, interdit. Il s’agit de :

• l’origine raciale ou ethnique ;
• l’orientation sexuelle ;
• les opinions politiques ;
• les convictions religieuses ou philosophiques ;
• l’affiliation à des organisations syndicales ;
• les informations génétiques, biométriques ou en matière de santé, sauf exception ;
• les condamnations pénales ou des infractions, sauf autorisation.

Il existe néanmoins des exceptions à cet interdit posé par le RGPD.

L’application du RGPD en Europe et dans les États membres

Le RGPD concerne toutes les organisations traitant des données, dès lors :

• qu’elles sont établies dans un des États membres de l’Union européenne, peu importe le lieu où se déroule le traitement des données ;
• que leur activité cible des résidents européens, dans le cadre de la fourniture de biens ou de services, qu’ils soient payants ou gratuits, ou de la surveillance de leur comportement.

Prenons le cas d’une société établie en Tunisie qui dispose d’un site de e-commerce en français et qui livre des produits dans l’Hexagone. Son activité ciblant des résidents européens, elle est donc tenue de respecter le RGPD. C’est également le cas pour une société établie en Italie qui exporte tous ses produits en Chine.

En revanche, si l’entreprise en question est établie en dehors de l’UE et fournit des services également en dehors de l’Union, alors elle n’est pas soumise aux règles du RGPD.

Le RGPD va également concerner les sous-traitants qui sont amenés à traiter des données personnelles pour le compte d’autres entités.

Que se passe-t-il en cas de violation du RGPD ? 

Différentes options sont proposées aux autorités de protection des données par le RGPD pour sanctionner les organismes en cas de non-respect de ce règlement.

En cas de possible violation, un avertissement peut être donné à l’entité qui en est à l’origine. En revanche, en cas de violation avérée, les sanctions mises en place sont lourdes et dépendent de la situation : un rappel à l’ordre, une interdiction temporaire ou définitive du traitement de données à caractère personnel et une amende pouvant grimper jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’entreprise. Les sanctions imposées sont effectives, proportionnées et dissuasives.

Prenons l’exemple d’une entreprise qui vend des produits en ligne via son site internet. Lors d’un achat, elle demande systématiquement à ses clients leurs informations bancaires. Dans le cas où son site serait victime d’une attaque informatique et que les informations personnelles des clients soient divulguées au pirate, l’absence de mesures adaptées afin de garantir leur protection peut être pointée du doigt.

Pour décider des sanctions qui vont être mises en place, l’autorité de contrôle va examiner différents facteurs comme le nombre de données concernées, la durée de cette attaque ou encore le type de données affectées.

Le RGPD dans l’Union Européenne par rapport au système mondial 

Certains pays n’ayant pas la même vision des choses en matière de protection des données, le RGPD a fait l’objet de vives critiques à travers le monde entier. Malgré cela, il semble que ce texte ait propulsé l’UE au rang de référente à l’échelle mondiale.

En effet, des pays s’en sont fortement inspirés. On peut prendre l’exemple du Brésil, qui, du fait des relations étroites qu’il entretient avec l’Europe a adopté sa propre version du RGPD la “lei geral de proteção de dados”, quelques semaines après l’entrée en vigueur du règlement. Le Japon a quant à lui adopté une réforme contenant des garanties supplémentaires lors du transfert de données européennes. Le pays a même signé une décision d'adéquation avec la Commission européenne le 24 janvier 2019. Avec cela, les parties ont reconnu comme adéquats leurs systèmes de protection des données.

Au niveau européen, le RGPD montre tout de même quelques signes de faiblesse comme l’indique une étude menée par l’ONG irlandaise “l’Irish Council for Civil Liberties”. Conclusion de ce rapport : l’Irlande est à la traîne et peine à appliquer ce règlement. Seulement 2 % des dossiers qui lui sont soumis ont été résolus. Rappelons que l’Irlande abrite les sièges européens de différentes multinationales comme Facebook, Google, Apple ou encore Microsoft.