Remarques générales sur le Règlement général relatif à la protection données à caractère personnel

Le règlement 2016/679/UE, dit règlement général relatif à la protection des données, régulièrement cité selon son acronyme anglais GDPR (Generation Data Protection Regulation), a été adopté définitivement par le Parlement européen le 14 avril 2016, au terme d’une procédure législative qui aura duré plus de quatre ans. Prévu pour entrer en vigueur en 2018, et doté d’un effet direct en droit interne des Etats membres – puisqu’il s’agit d’un règlement – le GDPR introduit un grand nombre de modifications dans le droit de la protection des données. Ces évolutions sont tant des évolutions pratiques, sur des dispositions concrètes, que des évolutions dans le sens et la philosophie du droit à la protection des données. Le but du présent article est de faire le point sur les principales de ces évolutions, telles qu’elles résultent de la version définitivement adoptée 1)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Le GDPR fait partie d’un lot : il a été proposé et adopté en même temps qu’une directive, remplaçant la décision-cadre 2008/977/JAI, réglementant les traitements de données à caractère personnel dans le domaine de la coopération en matière de justice et de police. Il abroge la directive 95/46/CE qui, depuis 1995, harmonisait fortement la protection des données personnelles dans l’Union européenne.

Entre 2012 2)COM 2012-011 et son adoption en 2016, la proposition de la Commission a connu de nombreuses péripéties. Ainsi, pendant longtemps, il n’était même pas clair que le format adopté soit une directive. Et de fait, si la directive 95/46/CE était une directive d’harmonisation complète, comme l’a rappelé à plusieurs reprises la Cour de justice de l’Union européenne (CJUE) 3)CJUE 24 novembre 2011 « ASNEF et FECEMD contre Administracion del Estado » Aff. C-468/10 et C-469/10, pt. 29, le GDPR, vu le nombre de dispositions restant à préciser par le droit des Etats membres, ressemble fort à un « règlement d’harmonisation minimal » … tout en laissant, il faut le reconnaître, nettement moins de marge de manœuvre aux législateurs nationaux que l’ancienne directive. En outre, le GDPR a fédéré autour de son processus d’adoption de nombreux groupes d’intérêts et organisations non gouvernementales. L’intense lobbying précédant son adoption a été documenté sur le site Lobbyplag.eu 4)www.lobbyplag.eu qui permet notamment de comparer les amendements proposés par des eurodéputés à ceux proposés par des groupes d’intérêts – que ces groupes soient favorables ou défavorables à une forte protection de la vie privée et des données personnelles.

Le Data Protection Officer

Codifiée pour la première fois par le législateur allemand, la fonction de délégué à la protection des données à caractère personnel joue un rôle structurant, dans de nombreux pays européens, dans le sous-système de politique publique de protection des données 5)Voir : http://ap-dp.org/fr/les-institutions/les-delegues-a-la-protection-des-donnees/typologie-des-relations-avec-les-autorites-de-protection-des-donnees/ . A l’origine, la proposition COM 2012-011 de la Commission européenne prévoyait une quasi-généralisation de l’obligation pour les responsables du traitement de plus de 250 employés de nommer un délégué à la protection des données. Etant donné la forte opposition de certains Etats – notamment du Royaume-Uni – à cette généralisation, le texte adopté définitivement reflète une position de compromis :

Art. 35 §1 de la proposition de la Commission Art. 37 §1 du texte adopté
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité ou un organisme publics; ou

b) le traitement est effectué par une entreprise employant 250 personnes ou plus; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Les Etats membres restent, en vertu du paragraphe 4 de l’art. 37 du GDPR, loisibles d’imposer d’autres obligations de nomination d’un délégué à la protection des données.

La position du DPO s’en retrouve malgré tout potentiellement affaiblie, surtout par rapport à la proposition initiale de la Commission, d’autant plus que nommer un délégué à la protection des données ne va désormais de pair avec aucune incitation. Par contraste, en France, depuis 2004, un responsable du traitement ayant désigné un Correspondant informatique et libertés (CIL) était exempté des formalités de déclaration préalable auprès de l’autorité de protection des données. Or, cette obligation de déclaration auprès de l’autorité de contrôle disparaît avec le GDPR. Pire, l’article 83 du GDPR liste les circonstances atténuantes ou aggravantes que l’autorité de contrôle doit prendre en compte avant de fixer le montant d’une sanction financière … et le fait d’avoir désigné un délégué à la protection des données ne figure pas dans cette liste 6)Il est vrai néanmoins qu’en soi, le fait pour les DPO de figurer sur cette liste aurait été ambigü. En effet, dans certains pays – c’est le cas en Hongrie – les autorités de protection des données interprètent comme une circonstance aggravante le fait qu’un responsable du traitement ayant commis une infraction disposait d’un DPO..

L‘effet du GDPR sur le métier de délégué à la protection des données, une fois désigné, sera toutefois important dans la mesure où il harmonise son statut et son rôle auprès des responsables du traitement 7)voir les articles 38 et 39 du GDPR.

La fin de la déclaration préalable

La fin de l’obligation, pour les responsables du traitement, de déclarer auprès de l’autorité de contrôle les traitements de données personnelles qu’ils comptent effectuer, a été l’un des objectifs les plus vantés du GDPR. Cette fin d’obligation est cependant en trompe-l’œil pour les responsables du traitement.

Rappelons que le traitement des déclarations préalables est un élément pesant très fortement sur les petites autorités de protection des données. L’autorité autrichienne de protection des données était notamment, à une époque récente, obligée d’y consacrer presque l’intégralité de ses très maigres ressources 8)voir : ROSSI, Julien. Les autorités nationales de protection des données personnelles dans l’Union Européenne, étude des causes des manquements constatés par la Cour de Justice de l’Union Européenne, Lille:Institut d’Études Politiques, 2013. Disponible en ligne : http://afcdp.net/IMG/pdf/rossi_julien_memoire_autorites_nationales_de_pdp.pdf . C’est dans ce contexte qu’il faut comprendre la fin de l’obligation préalable de déclaration auprès des autorités de protection des données 9)Selon le considérant 89 du GDPR : « Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. ». Car les responsables du traitement – et, lorsqu’ils en ont désigné un, le délégué à la protection des données – devra continuer à faire l’inventaire de ses traitements :

Article 30 Registre des activités de traitement 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes: a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel; d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Les mêmes obligations incombent aux sous-traitants 10)art. 30 paragraphe 2 du GDPR.

Ceci étant dit, seront exemptées de ces obligations les entreprises ou organisations de moins de 250 employés « sauf si le traitement [effectué] est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données […] ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 » 11)art. 30 paragraphe 5.

Enfin, les responsables du traitement seront dans l’obligation de mener une analyse d’impact lorsque « un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » 12)art. 35 paragraphe 1 du GDPR, ce qui est une formulation en définitive très vague. Les éléments qu’une telle étude d’impact devra contenir sont indiqués au paragraphe 7 de l’article 35 du règlement, et il est probable qu’elles rajoutent une charge de travail importantes chez responsables du traitement et sous-traitants.

Le guichet unique

Une autre mesure « phare » du GDPR est l’institution d’un mécanisme de guichet unique, permettant à chaque sous-traitant du secteur privé de n’avoir affaire, sauf exception, qu’à la seule autorité de contrôle du territoire sur lequel il dispose de son établissement principal 13)notion définie, dans le cadre du règlement, au paragraphe 16 de l’article 4 du GDPR.

Cette autorité chef-de-file sera compétente pour mener des contrôles, mais un citoyen garde la possibilité de saisir l’autorité de contrôle du pays où il réside. Cette dernière – qui aura alors dans la procédure la qualité d’autorité concernée – devra alors saisir l’autorité chef-de-file. L’article 60 du GDPR fixe les modalités de la coopération entre l’autorité chef-de-file et la ou les autorités concernées par la procédure de contrôle, lesquelles peuvent désormais se porter assistance mutuellement dans le cadre d’une opération de contrôle conjointe 14)voir l’art. 62 du GDPR.

Les autorités concernées ont quatre semaines pour réagir à un projet de décision de l’autorité chef-de-file. En cas d’objection de leur part, si elle ne suit pas l’objection « pertinente et motivée » de la ou des autorités concernées, doit soumettre son projet d’avis au mécanisme de contrôle de la cohérence prévu à l’article 63 du GDPR (voir le paragraphe suivant sur la réforme du Groupe de travail de l’Article 29). Si, cependant, elle intègre des éléments de l’objection formulée à l’égard de son projet de décision, elle doit soumettre aux autorités concernées son nouveau projet. Celles-ci disposent alors d’un nouveau délai, réduit à deux semaines, pour réagir au nouveau projet.

La réforme du G29

Le Groupe de travail de l’article 29 (G29) est la réunion, institutionnalisé par l’article 29 de la directive 95/46/CE, des autorités nationales de protection des données de l’Union européenne. Le GDPR renforce considérablement la structure, et la renomme en comité européen de protection des données. Pour éviter toute confusion avec le Contrôleur européen de la protection des données (CEPD), nous le désignerons sous le nom de « comité ».

Le G29 est un lieu important de définition de la doctrine des autorités nationales de protection des données. Ses avis sont souvent cités dans des décisions nationales. Composé, au niveau de ses groupes de travail, d’employés des autorités nationales de protection des données, ses décisions sont adoptées en plénière par les présidents des autorités nationales ou leur représentant. Ce réseau d’autorités administratives indépendantes a joué un rôle historique fort, en tant qu’entrepreneur transgouvernemental, dans l’adoption de la directive 95/46/CE 15)Voir : NEWMAN, Abraham L., Protectors of Privacy, Regulating Personal Data in the Global Economy, Ithaca:Cornell University Press, 2008, 221 pages, et a été à l’inventeur – entre autres – des règles contraignantes d’entreprise, plus connues sous le terme anglais de Binding Corporate Rules, consacrées désormais par le GDPR.

Le principal problème du G29 était son absence de personnalité morale propre, de secrétariat permanent, de budget, et de capacité à prendre des décisions contraignantes. La tentative – qui fut assez largement un échec – du G29 de mener une opération conjointe de contrôle à l’encontre de Google en 2012 illustra sa faiblesse 16)Cet article de presse raconte l’opération, qui annoncée pan-européenne, n’a finalement impliqué – de façon parfois limitée – que six autorités nationales : http://www.zdnet.fr/actualites/google-6-cnil-europeennes-lancent-une-action-concertee-39788877.htm . Son renforcement, notamment dans le cadre du nouveau mécanisme de contrôle de la cohérence, et du guichet unique, a été voulu par le législateur européen.

Ainsi, l’article 68 du GDPR dispose qu’est institué en tant qu’organe de l’Union européenne disposant de la personnalité juridique un comité européen de la protection des données, représenté par un président élu parmi les membres que sont les chefs des autorités nationales de protection des données et le CEPD. La Commission est représentée, mais ne prend pas part aux votes.

Le secrétariat sera assuré par le personnel du CEPD. Mais, reflétant les tensions apparues à ce sujet entre les autorités nationales et le CEPD, ce personnel mis à disposition par le CEPD sera « sous l’autorité exclusive du président du comité » 17)art. 75 §2 du GDPR selon « une structure hiérarchique distincte de celle du personnel qui participe à l’exercice des missions confiées au contrôleur européen de la protection des données » 18)art. 75 §3 du GDPR.

L’indépendance du comité, garantie à l’art. 69 du GDPR selon les mêmes termes que ceux utilisés pour désigner celle des autorités nationales (« en toute indépendance »), a également été assurée à l’égard de la Commission. En effet, si à l’origine, la proposition de la Commission donnait à cette dernière un rôle important – et lui permettait en pratique de bloquer une décision du comité – le Parlement européen et le Conseil lui ont, par leurs amendements, enlevé tout droit au vote et toute capacité de peser dans le processus décisionnel 19)Voir : les amendements à l’art. 59 de la proposition originale de la Commission.

Le comité sera habilité à prendre des décisions contraignantes, selon le mécanisme de contrôle de la cohérence, qui s’appliquera notamment en cas de litige entre une autorité chef-de-file et les autres autorités concernées (voir le paragraphe ci-dessus au sujet du guichet unique). L’article 65 du GDPR fixe les conditions d’une telle décision. Dans un premier temps, les membres du comité doivent essayer d’obtenir un vote à la majorité des deux-tiers. Mais si, dans un délai de deux mois, il ne se forme pas de telle majorité, le projet de décision pourra être adopté à la majorité simple des membres, la voix du président étant prépondérante en cas de partage des voix. Tant que ce délai court, les autorités nationales ne peuvent adopter leur projet de décision contesté.

La possibilité ouverte au comité d’adopter des décisions contraignantes pose la question du recours à leur encontre. En effet, les décisions relatives à un projet de décision d’une autorité chef-de-file dans le cadre d’une procédure de contrôle, voire de sanction, impacte directement responsables du traitement et personnes concernées. Une personne concernée, si elle n’est pas satisfaite de la décision du comité, pourra-t-elle attaquer la décision ? Au regard de la jurisprudence Plaumann de la Cour 20)CJCE 15 juillet 1963 Plaumann & co. contre Commission de la Communauté économique européenne, aff. 25-62, confirmée par l’arrêt Unión de Pequeños Agricultores de 2002 21)CJCE 25 juillet 2002 Unión de Pequeños Agricultores contre Conseil de l’Union européenne, aff. C-50/00 P, il est permis d’en douter. Bien entendu, il demeurera loisible à cette personne d’attaquer la décision de l’autorité l’ayant adoptée, mais il devra le faire devant la juridiction de l’Etat où se situe l’autorité chef-de-file :

« Toute action contre une autorité de contrôle est intentée devant les juridictions de l’Etat membre sur le territoire duquel l’autorité de contrôle est établie » 22)Art. 78 paragraphe 3 du GDPR

Par ailleurs, le comité sera doté un pouvoir réglementaire délégué par le législateur européen. Il pourra, par exemple, agréer des organismes de certification, ou adopter des clauses contractuelles types pour les contrats entre responsable de traitement et sous-traitant. Ces décisions seront-elles susceptibles de recours efficace ? La question n’est en tout cas pas simple à trancher, vu la jurisprudence actuelle très restrictive de la CJUE 23)Dans le cadre du GDPR, ce problème est aggravé par le considérant 142 qui indique qu’« une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du comité à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne ».

Enfin, le GDPR dote le comité d’une meilleure capacité de coopération, grâce au mécanisme des contrôles conjoints, par lequel les autorités de protection pourront mettre en commun des ressources. Ce dispositif vise notamment à épauler les petites autorités chef-de-file ayant sur leur territoire de compétence de nombreux établissements principaux de responsables du traitement, ou des responsables du traitement ayant un poids important. L’exemple typique d’une telle configuration est le Bureau du contrôleur irlandais à la protection des données, qui, avec un budget et des effectifs très restreints, sera l’autorité chef-de-file pour Facebook en Europe.

Les opérations de contrôle conjointes sont prévues à l’article 62 du GDPR. Si le droit de l’Etat membre de l’autorité de contrôle le permet, cette autorité peut conférer à des agents d’autorités étrangères participant à un contrôle conjoint un certain nombre de pouvoirs d’enquête, exercés dans ce cas sous l’autorité de l’autorité d’accueil.

Renforcement des sanctions

Les pouvoirs de sanction des autorités de contrôle vont être considérablement renforcées dans de nombreux Etats membres.

Définies à l’article 83 du GDPR, les sanctions, pour les responsables du traitement relevant du droit privé, s’élèvent :

  • A 2 % du chiffre d’affaires mondial annuel du responsable du traitement, ou à 10 000 000 d’euros (en prenant le chiffre le plus élevé) dans un certain de nombre de cas énumérés au paragraphe 4 de l’article 83 ;
  • A 4 % du chiffre d’affaires mondial annuel ou 20 000 000 d’euros (en prenant le chiffre le plus élevé), dans les cas de violations les plus graves énumérées au paragraphe 5 de l’article 83 du GDPR, ou en cas de récidive, et ce en vertu du paragraphe 6 de l’article 85.

Les sanctions applicables aux responsables du traitement relevant du droit public sont déterminées par le droit des Etats membres 24)art. 84 paragraphe 7 du GDPR.

Par ailleurs, le législateur européen a inséré à l’article 83 paragraphe 9 des dispositions permettant aux Etats membres qui ne prévoient pas la possibilité de sanctions administratives que celles-ci soient imposées par les juridictions de cet Etat. Ces dispositions visent notamment à accommoder le Danemark, dont le droit interne ne permet pas de confier de pouvoir de sanction financière à des autorités administratives, et l’Estonie, dont l’amende est imposée suite à une procédure particulière 25)Voir les explications fournies au considérant 151 du GDPR.

Renforcement de la certification

Un autre élément important du GDPR est l’importance accordée à la certification, qui reflète la volonté d’accompagner les responsables du traitement dans leurs démarches de conformité.

L’article 42 du GDPR porte sur la certification. Les certifications sont délivrées soit par les autorités de protection des données, soit par des organismes certifiés, agréées par l’autorité de contrôle compétente ou l’organisme national d’accréditation désigné conformément au règlement 765/2008/CE. Les critères de certification des organismes de certification sont détaillés au paragraphe 2 de l’article 43. Ces organismes doivent notamment prouver leur indépendance et leur expertise, mis en place des procédures d’agrément de contrôle régulier, ne pas être en situation de conflit d’intérêt et établi des procédures pour traiter les réclamations relatives aux violations.

Le fait de disposer d’une certification ne diminue pas la responsabilité d’un responsable du traitement 26)art. 42 paragraphe 4 du GDPR. L’article 83 paragraphe 2, qui indique les éléments à prendre en compte par l’autorité de contrôle lorsqu’elle envisage une amende administrative, liste l’application de codes de conduite sectoriels ou de mécanismes de certification comme circonstance à prendre en compte. Mais il n’est pas clair, dans la formulation de cet article, si cela constitue une circonstance aggravante ou atténuante.

Un autre élément de conformité consacré dans le GDPR sont les règles contraignantes d’entreprise. Si elles existaient déjà dans le cadre de la directive 95/46/CE, les règles contraignantes d’entreprise et la procédure en vue de leur obtention sont désormais codifiées à l’article 47 du GDPR.

Evolution du sens général de la législation sur la protection des données

Il est d’usage de distinguer deux phases historiques dans l’histoire des politiques publiques de protection des données :

  • De la fin des années 1960 (la première loi en la matière a été adoptée en 1970 dans le Land de Hesse) à 1995 (année de l’adoption de la directive 95/46/CE), les lois de protection des données visaient principalement à restreindre les activités de traitement de données personnelles de l’Etat, dans une logique de protection des libertés publiques. Technologiquement, cette période correspond principalement à celle des centres de calcul.
  • Entre 1995 et 2016 (date d’adoption du GDPR), si cette première dimension de liberté fondamentale et de protection du citoyen face à l’Etat n’a pas disparu, l’accent s’est légèrement déplacé et les lois de protection des données sont également devenues des lois de régulation de marché. D’un point de vue technologique, la période correspond à la démocratisation de l’informatique individuelle et de l’Internet.

Le GDPR est une réforme considérable des règles européennes de protection des données, et il est donc légitime de se demander si son adoption marque une troisième ère.

D’un point de vue académique, le paradigme libéral de la protection des données 27)défini et étudié par Colin Bennett et Charles Raab : Bennett, Colin J., et Charles D. Raab. The Governance of Privacy. Policy Instruments in Global Perspective. Aldershot: Ashgate, 2003 connaît une nouvelle jeunesse avec l’intégration de la réflexion d’inspiration foucaldienne sur la gouvernementalité algorithmique et la dataveillance. Dans un tel paradigme, surveillance publique et privée ont une frontière floue 28)voir à ce sujet, entre autres : Lyon, David. Surveillance After Snowden. Cambridge, Mass.: Polity Press, 2015. De plus, une question sous-jacente prend de l’importance : celle des droits de l’humain face à la machine. Cette question est mise à l’ordre du jour par l’informatique ubiquitaire de l’Internet des objets, la montée en puissance de la régulation algorithmique 29)voir à ce sujet : LESSIG, Lawrence. « Code is Law. On Liberty in Cyberspace », Harvard Magazine, janvier 2000, et les diverses techniques de profilage.

La question n’est pas neuve : d’ailleurs, cette question sous-jacente ouvre les débats du premier débat d’une commission parlementaire sur la privacy informationnelle, aux Etats-Unis, en 1966 :

« “The Computerized Man,” as I see him, would be stripped of his individuality and privacy. Through the standardization ushered in by technological advance, his status in society would be measured by the computer, and he would lose his personal identity. His life, his talent and his earning capacity would be reduced to a tape with very few alternatives available » 30)U.S. House of Representatives, 1966. Hearings before a Subcommittee of the Committee on Government Operations, House of Representatives, 89th Congress, Second Session, 26, 27 et 28 juillet. Washington:U.S. Government Printing Office, p. 2

Dans la loi informatique et libertés française de 1978 31)Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 pp. 227 et s., l’article 2, devenu en 2004, après modification l’article 10, énonçait :

« Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé.

Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé. »

 

Dès 1995, l’article 12 de la directive 95/46/CE précise dans la liste des informations à fournir à la personne concernée, sur demande, dans le cadre du droit d’accès, les informations sur la logique sous-jacente qui sous-tend le traitement automatisé des données la concernant :

« Droit d’accès

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1; »

 

Ce droit est repris dans le GDPR à l’article 13-2 sous f), permettant à la personne concernée d’accéder aux informations concernant :

« l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée. »

Cependant, le considérant 63 précise au sujet du droit d’accès que « ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. ». Le législateur européen a donc exclu toute possibilité d’accès au code source d’un logiciel, y compris pour motif d’intérêt général.

Enfin, l’interdiction généralisée de décisions automatisées, qui était la norme en 1978 en France, disparaît du GDPR au profit de nombreuses exceptions aux formulations souvent vagues 32)Par exemple, selon le considérant 71 : « La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques ». Mais quelles sont ces « conditions spécifiques » ? :

« Article 22
Décision individuelle automatisée, y compris le profilage
1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s’applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;
b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place. »

La directive 95/46/CE disposait elle à son article 15 :

« Article 15

Décisions individuelles automatisées

1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu’une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision:

a) est prise dans le cadre de la conclusion ou de l’exécution d’un contrat, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée. »

Les décisions individuelles automatisées, y compris basées sur le profilage, sont donc encadrées, et le GDPR y consacre des segments plus longs que les textes précédents. L’importance textuelle de la question reflète l’état de la technique tout comme celui de la réflexion philosophique et politique. Cependant, force est de constater que le texte adopté en avril confirme un assouplissement net entamé en 1995 de l’interdiction générale prévalant dans les années 1970 de telles décisions, dans les pays ayant adopté des lois de protection des données.

Autres nouveautés

Le GDPR contient par ailleurs un grand nombre d’autres dispositions, notamment sur le droit à l’oubli 33)voir les considérants 65 et 66 et l’article 17 qui se veut plus qu’un simple droit au déréférencement, ou sur le droit à la portabilité des données 34)voir le considérant 68 ainsi que les articles 15-3 et 20. Ces éléments ne seront cependant pas abordés dans le détail ici, mais feront peut-être l’objet d’articles séparés.

 

Conclusion

Le GDPR est une réforme majeure du droit de la protection des données dans l’Union européenne. Doté de l’effet direct quoiqu’il ménage une marge de manœuvre non négligeable dans certains domaines aux Etats membres, il aura un impact considérable sur l’activité des professionnels de la protection des données. Certaines de ces dispositions, en particulier celles qui sont les fruits de laborieux compromis, paraissent encore peu claires, et nécessiteront une clarification par la pratique et peut-être la jurisprudence de la Cour de justice de l’Union européenne. Enfin, il est encore trop tôt, à la lecture des dispositions notamment sur le profilage et les décisions automatisées, pour dire si, avec le GDPR, une nouvelle étape de l’histoire de la protection des données, recentrant l’attention sur la protection des libertés de l’humain face à la gouvernance algorithmique d’une informatique ubiquitaire, a été franchi.

   [ + ]

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données
2. COM 2012-011
3. CJUE 24 novembre 2011 « ASNEF et FECEMD contre Administracion del Estado » Aff. C-468/10 et C-469/10, pt. 29
4. www.lobbyplag.eu
5. Voir : http://ap-dp.org/fr/les-institutions/les-delegues-a-la-protection-des-donnees/typologie-des-relations-avec-les-autorites-de-protection-des-donnees/
6. Il est vrai néanmoins qu’en soi, le fait pour les DPO de figurer sur cette liste aurait été ambigü. En effet, dans certains pays – c’est le cas en Hongrie – les autorités de protection des données interprètent comme une circonstance aggravante le fait qu’un responsable du traitement ayant commis une infraction disposait d’un DPO.
7. voir les articles 38 et 39 du GDPR
8. voir : ROSSI, Julien. Les autorités nationales de protection des données personnelles dans l’Union Européenne, étude des causes des manquements constatés par la Cour de Justice de l’Union Européenne, Lille:Institut d’Études Politiques, 2013. Disponible en ligne : http://afcdp.net/IMG/pdf/rossi_julien_memoire_autorites_nationales_de_pdp.pdf
9. Selon le considérant 89 du GDPR : « Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. »
10. art. 30 paragraphe 2 du GDPR
11. art. 30 paragraphe 5
12. art. 35 paragraphe 1 du GDPR
13. notion définie, dans le cadre du règlement, au paragraphe 16 de l’article 4 du GDPR
14. voir l’art. 62 du GDPR
15. Voir : NEWMAN, Abraham L., Protectors of Privacy, Regulating Personal Data in the Global Economy, Ithaca:Cornell University Press, 2008, 221 pages
16. Cet article de presse raconte l’opération, qui annoncée pan-européenne, n’a finalement impliqué – de façon parfois limitée – que six autorités nationales : http://www.zdnet.fr/actualites/google-6-cnil-europeennes-lancent-une-action-concertee-39788877.htm
17. art. 75 §2 du GDPR
18. art. 75 §3 du GDPR
19. Voir : les amendements à l’art. 59 de la proposition originale de la Commission
20. CJCE 15 juillet 1963 Plaumann & co. contre Commission de la Communauté économique européenne, aff. 25-62
21. CJCE 25 juillet 2002 Unión de Pequeños Agricultores contre Conseil de l’Union européenne, aff. C-50/00 P
22. Art. 78 paragraphe 3 du GDPR
23. Dans le cadre du GDPR, ce problème est aggravé par le considérant 142 qui indique qu’« une juridiction nationale peut ne pas soumettre une question relative à la validité d’une décision du comité à la demande d’une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le délai prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne »
24. art. 84 paragraphe 7 du GDPR
25. Voir les explications fournies au considérant 151 du GDPR
26. art. 42 paragraphe 4 du GDPR
27. défini et étudié par Colin Bennett et Charles Raab : Bennett, Colin J., et Charles D. Raab. The Governance of Privacy. Policy Instruments in Global Perspective. Aldershot: Ashgate, 2003
28. voir à ce sujet, entre autres : Lyon, David. Surveillance After Snowden. Cambridge, Mass.: Polity Press, 2015
29. voir à ce sujet : LESSIG, Lawrence. « Code is Law. On Liberty in Cyberspace », Harvard Magazine, janvier 2000
30. U.S. House of Representatives, 1966. Hearings before a Subcommittee of the Committee on Government Operations, House of Representatives, 89th Congress, Second Session, 26, 27 et 28 juillet. Washington:U.S. Government Printing Office, p. 2
31. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 pp. 227 et s.
32. Par exemple, selon le considérant 71 : « La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés que dans des conditions spécifiques ». Mais quelles sont ces « conditions spécifiques » ?
33. voir les considérants 65 et 66 et l’article 17
34. voir le considérant 68 ainsi que les articles 15-3 et 20

Laisser un commentaire