Le 25 mai 2018, s'appliquera le fameux Règlement général sur la protection des données personnelles. Ses 99 dispositions suscitent interrogations et inquiétudes. Pour tenter d'y voir plus clair, Next INpact vous propose une explication ligne par ligne du RGPD. Nous débutons cette série avec les articles 1 à 23.
Un texte unique pour les régenter toutes. Voilà le credo du RGPD. L’acronyme est désormais un juteux argument commercial dans les salons dédiés à la sécurité, puisqu’on ne compte plus le nombre de sociétés de conseil spécialisées dans la mise en conformité. Il est vrai cependant que le règlement correspond bien à une révolution en Europe et au-delà, avec des points névralgiques que ne devront pas ignorer les sociétés qui brassent de la donnée.
D’abord, pourquoi un règlement et non une directive ? Tout simplement parce que le règlement est juridiquement d’application directe. Il n’exige donc pas de loi de transposition pour être adapté au climat de chaque État membre. Un tel véhicule assure l’uniformisation bien loin de la simple harmonisation. Dit autrement, un règlement évite la fragmentation des législations, et les opportunités de forum shopping, alors que les services en ligne se soucient si peu des frontières.
Voilà en tout cas pour la théorie puisque le RGPD a ses particularités. Le texte ouvre en effet plusieurs options sur certains axes, afin de laisser du mou à chaque législation. Une forme de droit souple.
C’est d’ailleurs l’objet du projet de loi actuellement discuté en France qui, outre une adaptation de l’environnement juridique, active plusieurs des interrupteurs facultatifs programmés par le texte européen. Un exemple parmi d’autres : la question de l’âge à partir duquel un mineur peut consentir à voir ses données personnelles traitées par Facebook et les autres acteurs en ligne. La marge de manœuvre des États se situe entre 16 ans, la norme, et 13 ans, le seuil qui sied tant aux géants américains.
Mais délaissons ces propos introductifs et plongeons-nous maintenant dans les méandres de ce fameux RGPD, article par article en débutant avec les article 1 à 23, à savoir les dispositions générales (chapitre 1), les principes (chapitre 2) et les droits des personnes physiques (chapitre 3).
Notre dossier sur le RGPD :
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)
Chapitre I. Dispositions générales
Un droit fondamental (article 1)
D’entrée, le règlement rappelle plusieurs considérations de principe. La protection des données personnelles est clairement un droit fondamental. Son objectif ? « Contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques ».
Ces paroles n’ont pas seulement une beauté philosophique alors que géants du Net et institutions publiques engloutissent chaque jour toujours plus de données personnelles, jusque dans les méandres de l’intimité.
Elles guideront les pas du juge lorsqu’il devra ausculter un dossier épineux où seront nécessairement en confrontation des intérêts divergents. La protection des données n’est d’ailleurs pas érigée en droit absolu, mais devra être mise en balance avec d’autres dispositions de même rang, comme la liberté d’entreprendre. Un travail classique d’arbitrage, mais où les rampes d’interprétation sont d’une utilité manifeste.
Champ d’application du règlement (article 2)
Le règlement disponible au Journal officiel européen s'applique donc à tous les traitements de données à caractère personnel, sauf exception.
Quelles exceptions ? Avant tout, les fichiers de sécurité restent de la compétence des États membres. De même, sont exclus les traitements réalisés par une personne physique dans le cadre d'une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé...). Le RGPD ne s’occupe pas davantage des traitements relatifs à la prévention et la détection des infractions pénales, lesquels font l’objet d’un texte à part, une directive cette fois.
Le règlement, pose l’article 1, établit « des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».
Cette notion de libre circulation des données est importante : elle ne pourra être limitée ou interdite « pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Le sacro-saint marché unique ne doit donc pas sortir affaibli de cette législation qui concerne toutes les personnes physiques, « indépendamment de leur nationalité ou de leur lieu de résidence ».
En somme, l’exercice périlleux du règlement sera d’assurer une parfaite fluidité de la donnée, tout en blindant sa protection contre les abus mesurés en fonction de principes classiques et des nouvelles règles.
Le champ d’application territorial (article 3)
Quels sont les traitements qui tomberont sous le coup du règlement ? C’est justement l’une des grandes nouveautés de ce texte.
D’une part, il va s’appliquer à toutes les manipulations de données à caractère personnel effectuées « dans le cadre de l’exercice effectif d'un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l'Union ».
Derrière ces mots, on doit comprendre que le lieu du traitement n’a plus aucune incidence. Il ne sera plus possible d’échapper aux griffes de cette législation en faisant héberger son système d’information loin des frontières européennes.
Le critère qui l’emporte est celui de « l’établissement », qui selon la définition apportée par le RGPD « suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable ». Soit un joli champ à contentieux.
Ce critère de l’établissement n’est pas le seul à être pris en compte. Le RGPD s'applique d’autre part aux transferts et traitements concernant des personnes se trouvant en UE quand bien même le responsable (ou un sous-traitant) n'est pas établi dans l'Union.
Plus exactement, toutes les offres de biens ou services, avec ou sans paiement, mais également le suivi de comportements (profilage, prédiction, etc.) repérés au sein de l’Union seront encadrés dès lors qu’ils ciblent des personnes physiques se trouvant dans l’Union.
Plusieurs indices permettront aux autorités de justifier cette emprise : langue utilisée, monnaie... Si un prestataire américain veut éviter d’avoir à respecter le RGPD, il devra bien s’atteler à ne pas laisser pareilles traces sur son site.
Cette portée est importante puisque d’une certaine manière, elle va assurer la propagation de ces valeurs à l’échelle planétaire, du moins chez ceux qui envisagent de cibler le marché européen. Les arguties liées à la territorialité, déployées par force de conviction par des armées d’avocats n’auront qu’un intérêt théâtral à l’avenir.
Qu’est-ce qu’une donnée personnelle ? (article 4)
Le règlement définit les « données à caractère personnel », comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Le texte reste très ambitieux puisqu’une « personne physique identifiable » sera celle « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Autant dire que les juridictions auront plusieurs leviers pour faire entrer un traitement dans ce champ matériel.
Autre précision, les données qui ont fait l'objet d'une pseudonymisation « et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».
Chapitre II. Principes
Les principes que doivent respecter tous les traitements de données (article 5)
L’article 5 est l’un des autres pivots du RGPD. C’est lui qui définit le niveau de qualité attendu de tous les traitements de données à caractère personnel. Et c’est à partir de lui que pourront être prises diverses sanctions contre les responsables qui n’auraient pas respecté ces fondamentaux.
Pas de surprise à prévoir pour notre législation. On retrouve en effet plusieurs principes déjà inscrits dans la loi CNIL de 1978. Les données à caractère personnel doivent être :
- « traitées de manière licite, loyale et transparente au regard de la personne concernée ».
- « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ».
- « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
- « exactes et, si nécessaire, tenues à jour », sachant que toutes les mesures raisonnables seront prises pour corriger les inexactitudes.
- « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (sauf hypothèse d’archivage dans l’intérêt public, de recherche scientifique, historique ou statistique).
- « traitées de façon à garantir une sécurité appropriée »
En somme : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, dont la conservation est réduite dans le temps, et dont sont assurées l’intégrité et la confidentialité.
Un dernier alinéa prévient que le responsable du traitement sera « responsable du respect » de ces critères. Mieux, il devra être en mesure de « démontrer » que ceux-ci sont respectés et donc assumer la charge de la preuve.
Ce principe de responsabilité est fondamental dans la logique du RGPD. Le règlement conduit en effet les États membres à sortir d’un régime d’autorisation ou de déclaration que connaissent bien ceux en contact avec la CNIL par exemple. Les entreprises gagneront en liberté, avec des formalités en moins auprès des autorités de contrôle, mais devront aussi assumer les conséquences d’une violation de ces dispositions, ou s’ils ne parviennent pas à apporter la démonstration attendue.
Le caractère licite du traitement (article 6)
Cet article s’attache à définir à partir de quand un traitement est considéré comme « licite ». Pour cela, les responsables devront respecter au moins l’une des conditions énumérées :
- La personne a consenti au traitement
- Le traitement est nécessaire à l'exécution d'un contrat
- Le traitement est nécessaire au respect d'une obligation légale
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
- Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.
Ce critère de « l’intérêt légitime » sera aussi le creuset d’un important contentieux, mais pour éviter un déséquilibre manifeste, il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant). Dans ces hypothèses, sa protection l’emportera toujours.
Les propos liminaires ne sont pas explicites sur ce qui se cache derrière ces blocs. On apprend ainsi que l’intérêt légitime s’arrêtera lorsque des données « sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur ».
Néanmoins, la prévention de la fraude, la sécurité des systèmes d’information (dont la lutte contre les attaques DDoS), ou les traitements à des fins de prospection sont considérés par défaut comme « des intérêts légitimes » (point 47 de l’introduction).
Un détail important : les traitements des autorités publiques ne sont pas concernés par cette notion, tout simplement parce qu’« il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques ».
Malgré la grande uniformisation attendue dès mai 2018, les États conservent plusieurs facultés d’adaptation de leur droit. L’article 6 prévient que chaque pays aura la possibilité de prévoir ou maintenir des dispositions spécifiques pour les traitements relatifs à une obligation légale ou ceux concernés par l'intérêt public. Mais la logique est plutôt celle du cliquet anti retour, en ce sens que ces textes devront toujours être plus précis et garantir un traitement licite et loyal.
Cette logique de finalité n’est enfin pas absolue. Le RGPD accepte que les traitements soient effectués pour d’autres finalités que celles qui ont piloté la collecte initiale. Néanmoins, il devra toujours y avoir « compatibilité ».
Le considérant 50 indique à titre d’exemple que « le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible ».
Si on veut résumer, il pourra y avoir extension des finalités, mais jamais un détournement auquel les personnes ne pouvaient pas s’attendre raisonnablement. Là aussi, ce sujet de la compatibilité risque d’être un beau nid à questionnement pour les tribunaux lorsqu’une entreprise lancera un traitement pour des finalités qui n’avaient pas été prévues à l’origine.
Remarquons enfin que le fait pour le responsable du traitement « de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l'intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).
Le consentement (article 7)
Comme déjà précisé, dans une logique de responsabilité, le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement, du moins dans les cas où ce recueil était nécessaire.
Certes, il y a une astuce bien connue : noyer cette demande de collecte dans des conditions générales d’utilisation ou dans un flot de questions. Une astuce sans détour repoussée par le RGPD lorsqu’il prévient que la demande devra « être présentée sous une forme qui la distingue clairement », « compréhensible et aisément accessible, et formulée en des termes clairs et simples ».
Le texte insiste : il sera aussi simple de retirer que de donner son consentement. Ce retrait pourra avoir lieu à tout moment. Bien entendu, « le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait ». Enfin, « la personne concernée en est informée [de cette liberté] avant de donner son consentement ».
Un point névralgique : si l'exécution d'un contrat est subordonnée au consentement de la personne, alors que celui-ci n’est pas nécessaire à une telle démarche, alors le critère de la liberté sera présumé ne pas avoir été respecté.
Lorsqu’un site voudra aspirer vos données personnelles, il devra requérir « un acte positif clair » afin de s’assurer que la personne concernée « manifeste de façon libre, spécifique, éclairée et univoque son accord ».
Idéalement, cela doit se faire par une déclaration écrite, mais une simple case à cocher lors de la consultation d'un site pourra suffire voire « un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte »
En toute hypothèse, pas de consentement en cas de silence, de cases précochées par défaut ou encore d'inactivité durant un laps de temps.
Des lignes directrices et explicatives finalisées seront bientôt disponibles sur le site de la CNIL.
Les enfants (article 8)
Les enfants sont mieux protégés, très logiquement « parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
La question centrale est de déterminer à partir de quel âge un enfant est en capacité de consentir seul par exemple pour que Facebook puisse traiter ses données. L’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans.
Faute de mieux, Facebook et les autres devront s'efforcer « raisonnablement » de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, « compte tenu des moyens technologiques disponibles ». Des propos qui ne sont pas bien utiles, tant cette phase de vérification est impossible à distance, sans moyens extrêmement intrusifs.
Le considérant 38 ajoute une précision utile : même sous le seuil, le consentement des parents ne sera jamais nécessaire « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». On pense ici aux services liés par exemple à la consommation de drogue ou aux moyens de contraception...
Les données sensibles (article 9)
Cet article pose une interdiction de principe des traitements relatifs à l'origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l'appartenance syndicale. Sont ajoutées les données génétiques, et les données biométriques si elles servent à identifier une personne physique de manière unique. Enfin, les données de la santé ou concernant la vie ou l'orientation sexuelle.
Ces traitements sont toutefois autorisés dans une série de cas limitatifs :
- En cas de consentement de la personne
- En matière de sécurité sociale, protection sociale ou droit du travail.
- Lorsque des intérêts vitaux sont en jeu,
- Pour les associations à finalité politique, philosophique, religieuse ou syndicale,
- Quand les données ont été rendues publiques par la personne
- Dans le secteur de la justice
- Si sont en jeu des « motifs d'intérêt public importants » qui doivent néanmoins respecter « l’essence du droit à la protection de la donnée ».
- Dans le secteur de la santé (médecine, etc.)
- Pour l’archivage, la recherche scientifique ou historique, etc.
Les États membres pourront introduire des conditions supplémentaires pour les données génétiques, biométriques ou de santé. Remarquons que les motifs d’intérêt public importants ne pourront jamais autoriser que des traitements soient envisagés « à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques ». Il y a des précisions de rigueur qui s’imposent, compte tenu de l’appétit de ces secteurs.
Les traitements liés aux condamnations pénales (article 10)
Selon le RGPD, ces traitements sensibles ne peuvent être en principe envisagés « que sous le contrôle de l'autorité publique », soit la CNIL en France. Rappelons ici le contentieux sur le terrain du droit à l’oubli où Google a porté un dossier devant la CJUE alors que plusieurs requérants lui reprochent d’avoir référencé des condamnations pénales.
Traitement sans identification (article 11)
Une mesure de bon sens : lorsque des données à caractère personnel traitées par une entreprise par exemple ne permettent pas à celle-ci d'identifier une personne physique (anonymisation), le responsable « ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement » (conservation, etc.)
Dans ce cas, si « le responsable du traitement est à même de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée ». Si cela lui est possible... par exemple avec une information générique sur un site Internet. En cas d’anonymisation, les droits de la personne disparaissent (droit d’accès, etc.) sauf le droit d’opposition, curieusement.
Chapitre III. Droits de la personne concernée
Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)
Toute collecte devra être accompagnée d’une série d’informations obligatoire. La liste est longue, mais citons l’identité du responsable du traitement, celle du délégué à la protection des données s’il existe, les finalités du traitement, les données concernées, la base juridique…
La personne physique devra également connaitre les « intérêts légitimes » avancés par le collecteur, outre les destinataires de ces données. Il devra être éclairé de la volonté de transférer les données hors UE.
Seront également soufflés la durée de conservation du traitement, le droit à la rectification ou l'effacement, le droit d’opposition, le droit de saisir l’autorité de contrôle.
Les informations à communiquer pourront être fournies accompagnées « d'icônes normalisées » afin « d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ». Par délégation, la Commission européenne sera chargée de déterminer les informations présentées sous cette forme.
Ce droit est une des pierres angulaires puisque les intéressés devront être informés également « si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ».
Enfin, en cas de décision automatisée (précédée par exemple d’un profilage), la personne physique devra se voir livrer « des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement ».
Le considérant 62 pose qu’« il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations [ou] lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés ». Un dernier point qui devrait servir de brèche.
L’article 14 évoque le scénario où des données n’ont pas été collectées auprès de la personne concernée. Là encore surgit l’obligation d’information (identité, finalité, etc.) qui doit intervenir dans le délai d’un mois, avec en particulier mention de la source. Il devra lui-même dire « s'il est envisagé de communiquer les informations à un autre destinataire », histoire d’assurer une traçabilité pleine et entière.
Tout pareillement, cette obligation d’information dérivée n’aura pas à être organisée si le concerné a déjà ces infos ou si leur fourniture « se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public ».
Les droits d’accès et de rectification (articles 15 et 16)
Si le responsable dispose d’une obligation d’information, la personne concernée a, elle, le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. C’est le droit d’accès qui lui permettra d’avoir un éclairage individualisé de ces traitements.
Fait notable, le responsable doit sur demande lui fournir une copie des données faisant l'objet d'un traitement, mais le cas échéant, il peut exiger le paiement « de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ».
Mais comment s’assurer que celui qui fait cette demande est bien celui qui se prétend être ? Sur ce point, le considérant 64 explique que le responsable « devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne ». Nous voilà bien avancés.
Évidemment, en cas d’erreur, le demandeur dispose du droit, « dans les meilleurs délais », d’obtenir rectification des données inexactes ou incomplètes.
Droit à l’effacement ou à l’oubli (article 17)
Ce droit à l’effacement a été consacré à destination des moteurs dans le fameux arrêt Costeja de la Cour de justice de l’Union européenne. Il devient ici un droit à l’oubli, précisé, détaillé et expliqué dans le marbre du RGPD, conditionné à la vérification d’un des motifs suivants : des données qui ne sont plus nécessaires (principe de minimisation), le consentement de l’intéressé a été retiré, ou le traitement initial était illicite, ou concernait des enfants sans autorisation, etc.
Une fois l’une de ces conditions respectée, le site, le moteur ou autre devra prendre « des mesures raisonnables » pour informer tous les autres prestataires utilisant ces mêmes données qu’une demande d’effacement a été exprimée.
Ce droit n’est pas absolu : il ne s’applique pas lorsque le traitement est nécessaire à la liberté d’expression ou d’information ou est consécutif au respect d’une obligation légale. Impossible ainsi de demander son effacement du fichier TES des titres sécurisés, géré par le ministère de l’Intérieur. Des motifs d’intérêt public dans le domaine de la santé, de l’archivage, de la recherche ou historique pourront être avancés. Enfin, le droit à l’effacement ne percera pas dans le secteur de la justice.
Droit à la limitation du traitement (article 18)
Lorsque l’exactitude du traitement est contestée ou que ce même traitement est illicite, la personne physique peut demander la limitation de l’utilisation des données. Cette demande vaudra également lorsque les données ne sont plus nécessaires, mais qu’elles doivent être pour partie conservées afin de permettre l’exercice des droits. Les données limitées ne peuvent alors être exploitées qu’avec le consentement des intéressés.
Cet article pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement, histoire de les sanctuariser sans les rendre accessibles aux tiers.
Obligation de notification (article 19)
Les rectifications et effacements de données devront faire l’objet d’une notification aux différents destinataires auxquelles ces informations ont été communiquées, « à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés ».
Droit à la portabilité des données (article 20)
C’est l’un des éléments les plus médiatisés du règlement, qui fait l'objet de lignes directrices. En quoi consiste-t-il ? Quiconque a fourni des données chez X ou Y aura le droit dès le 25 mai d’y accéder et de les récupérer. Et pas n’importe comment : même s’il est un peu brumeux, l’article 20 prévient que ce transfert se fera « dans un format structuré, couramment utilisé et lisible par machine ». Et même interopérable, insiste le considérant 68.
Ce droit en emporte un autre : celui de transmettre « son » stock de données à un autre prestataire, sans que le premier détenteur ne puisse y faire obstacle. Mieux, il sera également possible d’exiger un déport des données du premier au second prestataire, du moins « lorsque cela est techniquement possible ».
Cette dernière incise est un appel du pied pour que des acteurs spécialisés émergent sur le marché afin d’aider à la suppression de ces barrières (voir à ce titre l’exemple de Cozy Cloud).
Ce droit n’est toutefois pas absolu. Il suppose que le traitement initial ait été fondé sur le consentement ou un contrat ou à l'aide de procédés automatisés. Néanmoins, ces trois motifs sont suffisamment vastes pour assurer la petite révolution espérée.
Le périmètre exclut en tout cas les traitements nécessaires à l'exécution d'une mission d'intérêt public, relevant de l'exercice de l'autorité publique et ceux répondant à une obligation légale.
Droit d’opposition (article 21)
Toute personne pourra s’opposer à n’importe quel moment à un traitement de données, « pour des raisons tenant à sa situation particulière ».
Ce droit exercé, le responsable du traitement devra alors s’abstenir, sauf à démontrer l’existence de « motifs légitimes et impérieux » suffisamment lourds pour prévaloir « sur les intérêts et les droits et libertés de la personne concernée » ou bien parce que cette poursuite est utile « pour la constatation, l'exercice ou la défense de droits en justice ».
En attendant cette démonstration, le traitement devra nécessairement être interrompu. Ce droit pourra par exemple s’exercer dans toute sa plénitude en cas de prospection commerciale accompagnée ou non d’un profilage.
Pour le blinder davantage encore, le responsable de traitement devra explicitement porter à l'attention de l’individu l’existence de ce droit, « clairement et séparément de toute autre information ». Inutile encore de tenter de noyer le poisson dans les CGU.
Ajoutons qu’à l’égard des services en ligne, une personne pourra exercer son droit d’opposition de manière automatique (via des services en ligne dédiés par exemple).
Décision individuelle automatisée, profilage (article 22)
Cette interdiction se retrouvait déjà dans la loi CNIL. Il sera interdit dans toute l’Europe le 25 mai de fonder une décision – peu importe sa nature dès lors qu’elle affecte ou produit des effets juridiques – exclusivement sur un traitement automatisé, en particulier un profilage. Cela concerne à titre d’illustration « le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ».
Des exceptions : lorsque ces traitements sont autorisés par la loi (lutte contre la fraude, etc.), ou encore en matière de droit des contrats ou enfin lorsque la personne a donné son consentement explicite.
Dans ces deux derniers cas, l’individu aura cependant toujours la possibilité « d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision ». Les données sensibles sont en principe exclues sauf cas particulier.
Sur le profilage, on pourra retenir que des lignes directrices sont disponibles en l'état de projet sur le site de la CNIL.
Les limitations aux droits de la personne (article 23)
Différents motifs peuvent venir limiter l’ensemble des droits exposés par le RGPD (rectification, information, accès, effacement…). Ce sont des éléments tenant par exemple à la sécurité ou la défense nationale, la sécurité civile (catastrophes naturelles),
Ces limitations doivent toujours respecter « les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ».