Le RGPD expliqué ligne par ligne (articles 51 à 99)

RGPD S01E03 13
Accès libre
image dediée
Loi
Marc Rees

Le  25 mai 2018, s'appliquera le fameux règlement général sur la protection des données personnelles. Ses 99 dispositions suscitent interrogations et inquiétudes. Pour tenter d'y voir plus clair, Next INpact vous propose de terminer son explication ligne par ligne du RGPD, en examinant cette fois les articles 51 à 99.

Après avoir vu mercredi les dispositions générales (chapitre 1), les principes (chapitre 2) communs à la loi de 1978, et les droits des personnes physiques (chapitre 3), nous avons examiné jeudi la question de la responsabilité (chapitre 4) et les transferts de données vers des pays tiers ou à des organisations internationales (chapitre 5).

Cette fois, nous terminons cette analyse disposition par disposition avec les autorités de contrôles indépendantes (chapitre 6), la coopération (chapitre 7), les voies de recours, la responsabilité et les sanctions (chapitre 8), avant d'examiner les dispositions relatives à des situations particulières (chapitre 9), les délégations (chapitre 10) pour terminer avec les dispositions finales (chapitre 11)

Notre dossier sur le RGPD :

Chapitre VI les autorités de contrôle indépendantes

Section 1. STATUT D'INDEPENDANCE

Statut d’indépendance des autorités de contrôle (article 51)

Cet article consacre la désignation dans chaque État membre d’une autorité de contrôle indépendante chargée de surveiller l'application du RGPD. En France, ce sera évidemment la CNIL.

Le texte oblige les autorités à coopérer entre elles et avec la Commission européenne. Un point qui revient plusieurs fois  dans le document.

Autorité de contrôle (article 52)

L’indépendance de ces autorités est consacrée dans ce texte supralégislatif. Ainsi, « le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent d'instructions de quiconque ». Ces membres n'exercent « aucune activité professionnelle incompatible, rémunérée ou non ».

La CNIL, comme ses homologues, devra disposer de « ressources humaines, techniques et financières ainsi que des locaux et de l'infrastructure nécessaires » pour l’exercice de ses missions.

Une disposition intéressante alors qu’Isabelle Falque-Pierottin s’était inquiétée dans nos colonnes des moyens dévolus à l’autorité qu’elle préside. Autant dire que la France devra mettre le budget de l'autorité au juste niveau pour assurer ses nouvelles missions. 

Indépendance (article 53)

Les membres de l’autorité doivent être choisis selon leurs qualifications, expériences et compétences nécessaires. Aucun ne peut être démis de ses fonctions, sauf en cas de faute grave « ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ».

Règles relatives à l'établissement de l'autorité de contrôle  (article 54)

Dans les législations nationales, ces autorités doivent être créées uniquement par la loi, laquelle doit également établir ses règles et procédures. « La durée du mandat du ou des membres (…) ne peut être inférieure à quatre ans ».

Tous les membres sont soumis au secret professionnel, en particulier le signalement par des personnes physiques des violations du règlement.

Section 2. COMPETENCE, MISSIONS ET POUVOIRS

Compétence (article 55) et compétence du chef de file (article 56)

L’article 55 dispose qu’en principe les autorités ont une compétence territoriale dans leur État membre. Lorsqu’un traitement est effectué par un responsable ou un sous-traitant établi hors de l'Union, elles conservent cette compétence dès lors que « ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève ».

La CNIL française sera aussi compétente si un responsable dispose en France d’un « établissement principal ». Elle devient en ce cas une autorité de contrôle « chef de file », explique l’article 56, s’agissant des traitements transfrontaliers.

Un homologue étranger pourra néanmoins « traiter une réclamation » introduite entre ses mains ou en cas de violation du règlement si cela affecte un autre établissement dans son ressort ou « affecte sensiblement des personnes concernées dans cet État membre uniquement ».

Dans une logique de coopération, l’autorité chef de file est alors informée. Dans un délai de trois semaines, celle-ci peut décider de traiter ce cas, la procédure décrite à l’article 60 prenant alors la suite.

Missions (article 57)

L’article 57 dresse la liste des principales compétences de chaque « CNIL » :  contrôle, sensibilisation, conseil, information… Mais aussi traitement des réclamations, coopération avec les autres autorités, enquêtes, adoption de clauses contractuelles types, tenue du registre des analyses d’impact, encouragement à l’élaboration des codes de conduites, examen des certifications, délivrance d’agréments…

Sur les réclamations, le RGPD demande à ce qu’elles puissent être facilitées, notamment par la fourniture d'un formulaire en ligne. Attention aux procéduriers compulsifs : les demandes infondées ou excessives qui seraient trop répétitives pourront donner lieu à un paiement de frais.

Pouvoirs (article 58) et rapports d’activités (article 59)

C’est un point important qui définit ce que vont pouvoir faire les autorités de contrôle dans chaque État. Elles disposeront d’abord d’un pouvoir de communication de toute information jugée utile auprès de n’importe quel responsable ou sous-traitant. Elles pourront mener à bien des audits sur la protection des données, examiner les certifications, adresser des notifications de violation…

Dans leurs activités, ces autorités bénéficieront d’un droit d’accès à tous les locaux concernés.

En cas de problème, elles pourront avertir une société d’un possible problème dans un traitement, voire adresser un rappel à l’ordre et bien entendu lui ordonner une mise en conformité ou une interdiction, un effacement, etc. Au final, la CNIL disposera d’un pouvoir de sanction administrative et de suspension des flux adressés à un acteur situé hors UE.

La CNIL, qui a parfois été oubliée dans le cadre des projets de loi, pourra émettre des avis à l'attention du Parlement ou du gouvernement « sur toute question relative à la protection des données à caractère personnel ».

Bien entendu, elle aura le pouvoir d’agir en justice.

Ses différentes activités seront résumées dans un rapport d'activité annuel (article 59)

Chapitre VII. Coopération et cohérence

Section 1. COOPERATION

Coopération entre l'autorité chef de file et les autres autorités de contrôle concernées (article 60)

Dans les rapports entre autorités de contrôle exposées à un traitement transfrontalier, l’article 60 organise la coopération entre les uns et les autres. Assistance mutuelle, enquêtes conjointes, communication d’informations…

Si l’idéal est d’arriver à un consensus, une autorité d’un État membre pourra formuler une objection auprès du chef de file. Un contrôle de cohérence sera alors organisé. Il est prévu à l'article 63. L’incident sera traité d'abord par un tour de table des autres autorités pour aboutir éventuellement à un projet de décision révisé.

De son côté, le responsable du traitement doit appliquer cette décision et communiquer, auprès du chef de file, les mesures prises.

Assistance mutuelle (article 61)

On retrouve ici la logique de coopération entre les CNIL nationales, doublée d’une obligation d’assistance mutuelle dans la mise en œuvre du RGPD. Dès lors, « chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à une demande d'une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d'informations utiles sur la conduite d'une enquête ».

Par défaut, une autorité doit répondre à l’une de ses homologues, sauf dans certains cas particuliers, si elle décline sa compétence ou considère la demande contraire au règlement.

Opérations conjointes des autorités de contrôle (article 62)

Cette coopération va jusqu’à la possibilité de mener à bien des enquêtes ou des sanctions conjointes, en particulier lorsqu’une faille touche un traitement qui concerne des personnes disséminées dans plusieurs États membres. Fait intéressant : une autorité de contrôle d’un pays A pourra conférer des pouvoirs d’enquête à l’autorité d’un pays B où l’enquête a été initiée, histoire d’aiguiser le relevé des éléments.

Section 2. COHERENCE

Mécanisme de contrôle de la cohérence (article 63)

L'article introduit un mécanisme de contrôle de la cohérence entre les autorités, et avec l’intervention éventuelle de la Commission européenne. L’enjeu ? « Garantir l'application cohérente du présent règlement dans l'ensemble de l'Union », en particulier lorsqu’une CNIL prendra une décision ciblant des opérations de traitement « qui affectent sensiblement un nombre important de personnes concernées dans plusieurs États membres ».

Avis du comité (article 64)

Le Comité, qui vient remplacer le G29, assurera ce rôle de chef d'orchestre. Il émettra en conséquence des avis sur la « liste d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données doit être effectuée », sur les codes de conduites, les critères de délivrance des agréments, les clauses types ou contractuelles, ainsi que les règles d'entreprise contraignantes.

Il pourra aussi s’autosaisir pour émettre un avis sur toute question d'application générale ou produisant des effets dans plusieurs États membres.

Règlement des litiges par le comité (article 65)

Le Comité pourra dépasser le cadre du simple avis au profit d’une décision cette fois contraignante lorsqu’une objection d’une CNIL aura été rejetée par une autorité chef de file, ou encore qu’une autorité ne suit pas son avis.

Cette décision est adoptée à la majorité des deux tiers dans le délai d’un mois en principe, au-delà par un vote à la majorité simple.

Procédure d'urgence (article 66)

Exceptionnellement, une autorité de contrôle national pourra éviter cette procédure en cas d’urgence pour protéger les droits et libertés des personnes physiques. Par dérogation, plutôt qu’un contrôle de cohérence et un passage devant le Comité, elle adoptera des mesures provisoires sur son seul territoire et pour une durée de trois mois.

Il lui sera possible de solliciter un avis d’urgence du comité, rendu dans un délai de deux semaines.

Échange d'informations (article 67)

Sur ce socle, la Commission européenne pourra adopter des actes de portée générale « afin de définir les modalités de l'échange d'informations par voie électronique » entre autorités de contrôle, mais également avec le comité.

Section 3. COMITE EUROPEEN DE LA PROTECTION DES DONNEES (ex-G29) 

Comité européen de la protection des données (articles 68-76)

Déjà évoqué ci-dessus, le Comité, représenté par son président, est composé du chef de l’autorité nationale présente dans chaque État membre et du Contrôleur européen de la protection des données. La Commission européenne « a le droit de participer aux activités et réunions », mais alors sans droit de vote.

Il est indépendant (article 69). Ses missions sont très vastes (article 70) : assurer la cohérence dans l’application du règlement, conseiller la Commission européenne, publier des lignes directrices et autres bonnes pratiques notamment à destination des autorités nationales…

Il pourra aussi procéder aux agréments des organismes de certification, rendre un avis sur l’évaluation par la Commission européenne « du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale ». Il devra aussi promouvoir les échanges entre les autorités nationales, et tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions « sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence ».

Ses décisions sont prises à la majorité simple, sauf stipulations contraires (article 72). Son président, désigné pour cinq ans (article 73), a des missions classiques (article 74) comme l’établissement de l’ordre du jour, la notification des décisions, etc.  Il est épaulé par un secrétariat (article 75). Enfin, les travaux du comité peuvent être confidentiels, si nécessaire (article 76).

Chapitre VIII. Voies de recours, responsabilité et sanction 

Droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77)

Toute personne dispose du droit d'introduire une réclamation auprès d'une autorité de contrôle. L’autorité concernée peut être celle du pays où se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise. Elle est informée des suites données.

Droit à un recours juridictionnel effectif (article 78)

Chacun a le droit d’exercer en outre un recours juridictionnel effectif contre une décision contraignante prise par une autorité de contrôle qui la concerne, même s’agissant d‘un défaut dans le suivi de sa procédure. C’est bien entendu les juridictions du pays de l’autorité de contrôle qui seront compétentes.

Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant (article 79)

Ce droit au recours peut être exercé contre le responsable d’un traitement, accusé d’une violation du RGPD. La compétence est établie là où il dispose d’un établissement. Sauf lorsque ce responsable est une autorité publique, la plainte peut aussi être déposée là où la personne physique a sa résidence habituelle. Une mesure pratique qui ravira Maximilien Schrems.

Représentation des personnes concernées (article 80)

L’article 80 organise une class action sur le terrain de la violation des données personnelles. Quiconque pourra donner mandat à un organisme ou une association dont les objectifs sont d'intérêt public et actif dans le domaine de la protection. Une action sera ensuite exercée en son nom afin d'obtenir réparation, si du moins le droit de l’État membre le prévoit.

Le droit national peut également autoriser le mandataire à introduire une réclamation auprès de la CNIL. C'est typiquement le genre d'options qui exige une loi d'adaptation dans chaque pays. 

En France, après quelques hésitations, le projet de loi d’adaptation du RGPD programme une telle action collective devant la justice pour obtenir réparation du préjudice matériel ou moral.

Suspension d'une action (article 81)

Cet article gère l’hypothèse pas forcément rare de deux actions (ayant le même objet et le même responsable) intentée dans deux pays. Lorsqu’elle est informée de cette situation, la juridiction du pays B peut suspendre son action, sursoir à statuer et même se dessaisir au profit de celle du pays A. Mais ce n'est pas une obligation. 

Droit à réparation et responsabilité (article 82)

La disposition consacre le droit à réparation du dommage matériel ou moral du fait de la violation du RGPD. Qui assume cette charge ? « Tout responsable du traitement ayant participé au traitement ».

Le sous-traitant est également impliqué « s’il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Le système est très rugueux pour ceux qui seraient mis en cause puisque, pour échapper à leur responsabilité, ils devront démontrer « que le fait qui a provoqué le dommage ne [leur] est nullement imputable ». Ils ont donc la lourde charge de la preuve.

Si plusieurs personnes sont mises à l’index, le point 4 de l’article impose une responsabilité collective afin de garantir à la victime une réparation effective. Celui qui aurait à assumer la totalité de cette réparation pourra heureusement se retourner contre les autres impliqués dans le traitement en cause. Chacun assumera alors « sa part », mais la victime sera déchargée de ces contrariétés.

Conditions générales pour imposer des amendes administratives (article 83)

C’est l’une des dispositions les plus connues du RGPD, celle ayant trait aux amendes. L’idée générale est que ces sanctions administratives doivent toujours être « effectives, proportionnées et dissuasives ».

Ces sanctions peuvent être décidées en complément ou à la place des mesures envisagées à l’article 58 (avertissement, cessation, mesure de publicité, interdiction…).

Le principe d’une amende et son montant devront dépendre de plusieurs critères : la nature, la gravité et la durée de la violation, le nombre de personnes affectées, le niveau de dommage, la violation volontaire ou par négligence, les mesures prises par le responsable pour atténuer le dommage, ou le prévenir, outre l’historique de la société en cause. Un responsable coopératif pourra espérer une sanction moins forte que celui qui ne l’est pas.

Dans la jauge des autorités de contrôle, devront également être prises en compte les catégories de données, et la façon dont la CNIL a eu connaissance de la brèche (notification du responsable ?). L’application volontaire d’un code de conduite ou d’une certification pourra tout autant peser sur la balance, tout comme « les avantages financiers obtenus ou les pertes évitées (…) du fait de la violation ».

En principe, celui qui est désigné responsable d’une violation encourt jusqu’à 10 millions d’euros d’amende et, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (le montant le plus élevé étant retenu).

Ces montants seront doublés (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel (consentement, etc.), à la licéité, aux données sensibles, aux droits tels que la rectification, l’effacement, la limitation, l’information, aux transferts hors UE, ou encore en cas de non-respect d’une injonction.

Il revient aux États membres de décider individuellement si ces sanctions peuvent également frapper des autorités publiques.

La procédure doit naturellement respecter les droits de la défense, et ouvrir un droit au recours.

Sanctions (article 84)

Les États membres ont l’obligation de prévoir des sanctions en cas de violations du présent règlement pour les cas non prévus par les amendes administratives (et donc des amendes pénales, par exemple). Là encore, ces mesures devront être « effectives, proportionnées et dissuasives ».

Chapitre IX. Dispositions relatives à des situations particulières de traitement

Traitement et liberté d'expression et d'information (article 85)

Le droit à la protection des données à caractère personnel n’est pas absolu. Il doit trouver sa place auprès des autres concepts fondamentaux tels que le droit à la liberté d'expression et d'information, « y compris le traitement à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire ».

Il revient aux États membres de concilier ces blocs. En France, dans le projet de loi en discussion, il a été ainsi décidé que les journalistes pourront opposer aux enquêteurs de la CNIL le secret des sources. De même, le droit applicable sera celui où se trouve l’éditeur, lorsque celui-ci est situé en Europe.

Traitement et accès du public aux documents officiels (article 86)

Il s’agit ici de concilier le RGPD avec le droit d’accès aux documents publics qui peuvent contenir des données personnelles. Malgré le règlement, ces pièces peuvent être communiquées dans le respect du droit de l’UE ou de l'État membre. Libre à chaque pays d’adapter sa législation pour mettre le curseur au bon endroit.

Traitement du numéro d'identification national (article 87)

Autre option ouverte aux États : préciser les conditions encadrant les traitements relatifs à un numéro d'identification national (ou tout autre identifiant d'application générale) comme le numéro de sécurité sociale. Même dans ce cas, les garanties appropriées pour les droits et libertés de la personne doivent être appliquées en conformité avec le règlement.

Traitement de données dans le cadre des relations de travail (article 88)

Dans l’univers du droit du travail, les États membres peuvent prévoir « des règles plus spécifiques pour assurer la protection des droits et libertés » s’agissant des traitements de données des employés.

S’ils disposent donc d’une marge de manœuvre, ils doivent toujours prévoir « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux », avec une attention particulière sur la transparence, les transferts de données et les contrôles sur le lieu de travail.

Ces éléments inscrits en dur dans le RGPD traduisent d’une certaine manière l’attention du législateur européen en cas de défaillance des États membres.  

Archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (article 89)

Ces traitements demandent des garanties appropriées pour les personnes physiques, expose l’article 89 du RGPD, avec à la clef des « mesures techniques et organisationnelles » reposant sur un principe de minimisation des données, voire si possible sur une pseudonymisation.

Les États membres peuvent néanmoins introduire certaines dérogations s’agissant du droit d’accès, du droit de rectification ou à la limitation du traitement et du droit d’opposition.

Obligations de secret (article 90)

Cet article envisage une autre faculté, celle de programmer des obligations spécifiques pour les pouvoirs de la CNIL et ses équivalents étrangers lorsqu’ils ont à se confronter à des professions elles-mêmes soumises au secret professionnel. Les principes de nécessité et de proportionnalité doivent toujours être respectés.

Règles existantes des églises et associations religieuses en matière de protection des données (article 91)

Le règlement sanctuarise le statut dont bénéficient les églises et les associations ou communautés religieuses dans les États membres, ce en vertu du droit constitutionnel. Néanmoins, elles doivent respecter le RGPD et peuvent, au choix de chaque pays, faire l’objet d’un contrôle par une autorité spécifique.

Chapitre X. Actes délégués et actes d'exécution

Exercice de la délégation (article 92)

Par délégation, la Commission européenne est autorisée à prendre les actes qui encadrent la présentation sous forme d’icônes et la certification. Cette délégation est à durée indéterminée, mais elle peut être révoquée à tout moment par le Parlement et le Conseil.

Comité (article 93)

Cet article prévient que le Comité assiste la Commission européenne, tout en encadrant cette procédure.

Chapitre XI. Dispositions finales

Abrogation de la directive 95/46/CE (article 94)

La Directive 95/46/CE sur la protection des données personnelles est abrogée. Elle est remplacée par le RGPD. Toutes les références pointant sur l’ancien texte portent désormais sur le texte en vigueur le 25 mai.

Relation avec la directive 2002/58/CE (article 95)

Le RGPD s’applique dès lors que des règles spécifiques ne sont pas prévues dans des domaines sectoriels. Néanmoins, la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques devra être modifiée pour assurer une cohérence avec le texte du 25 mai. C’est l’objectif du règlement ePrivacy, actuellement en négociation.

Relation avec les accords conclus antérieurement (article 96)

Tous les accords relatifs au transfert de données personnelles conclus par les États membres avant le 24 mai 2016 restent en vigueur jusqu’à modification, remplacement ou révocation. Cela ne concerne donc pas le Privacy Shield.

Rapports de la Commission (article 97)

D’ici le 25 mai 2020 puis tous les quatre ans, la Commission doit présenter au Parlement et au Conseil un rapport d’évaluation et de réexamen du RGPD. La Commission devra en particulier s’intéresser aux accords passés avec les pays tiers (comme le Privacy Shield). Elle devra proposer des pistes d’évolution « notamment en tenant compte de l'évolution des technologies de l'information et à la lumière de l'état d'avancement de la société de l'information. »

Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données (article 98)

L’institution bruxelloise dispose du même pouvoir de proposition législative pour mettre à jour d’autres textes, suite à l’entrée en vigueur du RGPD.

Entrée en vigueur et application (article 99)

Cet article final fixe la date d’application du RGPD au 25 mai 2018.


chargement
Chargement des commentaires...