59A l’occasion de la Loi pour une République numérique n° 2016-1321 du 7 octobre 2016 (LRN), Dreyfus vous présente une trilogie d’articles présentant trois aspects majeurs de la loi.

Cette Loi pour une République numérique contient en son centre un titre II intitulé « La protection des droits dans la société » parmi lequel figure un chapitre II entièrement consacré à la « Protection de la vie privée en ligne » avec notamment la « Protection des données à caractère personnel ».

La particularité de ce chapitre

Ce chapitre a la particularité d’assurer une transition « en douceur » vers le nouveau règlement européen (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Le RGPD est certes entré en vigueur le 27 avril 2016 mais ses dispositions ne devront être appliquées qu’à partir du 25 mai 2018. De quoi laisser du temps aux entreprises de se mettre en conformité avec ces nouvelles règles.

Ces nouvelles règles entrainent de profonds changements que le législateur français a souhaité anticiper afin d’accompagner les acteurs du traitement de données à caractère personnel dans leur mise en conformité.

Le pouvoir donné aux personnes concernées

Cette LRN, tout comme le RGPD, place au centre des préoccupations la personne dont les données personnelles vont faire l’objet d’un traitement (que l’on appellera « personne concernée »).

Le RGPD, dans son article 4, définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Or, une personne physique identifiable est une « personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Ainsi, une donnée est à caractère personnel lorsqu’elle permet d’identifier quelqu’un. Ces données n’ont pas besoin d’identifier directement la personne concernée ; il suffit que, par un regroupement de ces données, ont puisse l’identifier.

Or, concernant ces dites données à caractère personnel, la LRN a modifié l’article 1er de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’y insérer un deuxième alinéa très important : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. ».

C’est donc un droit d’autodétermination sur ses données qui est conféré à la personne concernée.

La maîtrise des données post mortem

Toujours dans l’idée d’autonomisation des personnes dans leur droit sur leurs données à caractère personnel, la LRN intègre le droit de maîtriser ses données post mortem en modifiant la Loi du 6 janvier 1798 et son article 40-1. Ainsi, la loi crée un système de directives relatives à la conservation, à l’effacement et à la communication des données à caractère personnel de la personne concernée.

Ces directives peuvent être modifiées ou révoquées à tout moment par la personne concernée. Les directives définissent la manière dont la personne entend que soient exercés, après son décès, ses différents droits.

Deux types de directives sont créés :

  • Les directives générales: elles concernent l’ensemble des données à caractère personnel se rapportant à la personne concernée. Elles peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés (CNIL). La CNIL aura à charge de gérer un registre unique où seront inscrits les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées.
  • Les directives particulières: elles concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés et elles font l’objet du consentement spécifique de la personne concernée. Ainsi, la seule approbation des conditions générales d’utilisation (CGU) ne permet pas définir ces directives particulières.

Les directives peuvent désigner une personne qui, à la mort du titulaire des données concernées, sera chargée de l’exécution des directives et de demander leur mise en œuvre aux responsables de traitement concernés. Si personne n’a été désignée et sauf directive contraire, ce seront aux héritiers de la personne décédée de prendre connaissance des directives et de demander leur mise en œuvre.

Les prestataires d’un service de communication au public en ligne ont à charge d’informer l’utilisateur du sort des données qui le concernent à son décès et de lui permettre de choisir de communiquer ou non ses données à un tiers qu’il désigne. Une information complémentaire sur ce point devra donc être intégrée notamment dans les CGU mais également dans la politique de protection des données.

Il n’est pas possible de limiter les droits attribués à une personne de décider du sort de leurs données post mortem. Ainsi, une clause contractuelle dans les CGU d’un traitement portant sur des données à caractère personnel limitant ces prérogatives est réputée non écrite.

Renforcement des informations mises à disposition des utilisateurs

L’article 32 de la Loi Informatique & Libertés obligeait déjà à communiquer certaines informations aux personnes concernées par un traitement de leurs données. Ainsi, les formulaires de collecte de données devaient contenir l’identité du responsable de traitement, la finalité poursuivie par ledit traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des données, etc. La LRN vient ajouter un 8e point concernant la durée de conservation par catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

Ainsi, tout formulaire de collecte de données, toute politique de protection des données et toutes conditions générales devront dorénavant indiquer la durée de conservation des données.

Renforcement des pouvoirs de la CNIL

Le point majeur de la Loi pour une République numérique est sans doute le renforcement des pouvoirs de la CNIL avec notamment la modification de l’article 45 de la Loi du 6 janvier 1978 portant sur les sanctions que peut prononcer la CNIL.

Désormais, lorsqu’un responsable de traitement ne respecte pas ses obligations, le président de la CNIL pourra le mettre en demeure de faire cesser le manquement constaté dans un délai fixé par lui. S’il y a une urgence extrême, ce délai pourra être ramené à vingt-quatre heures. Auparavant, ce délai était de cinq jours.

Si l’atteinte ne cesse pas, la formation restreinte de la commission pourra alors prononcer, après une procédure contradictoire, un avertissement, une sanction pécuniaire (sauf lorsque le traitement est mis en œuvre par l’Etat) ou une injonction de cesser le traitement ou un retrait de l’autorisation accordée en vertu de l’article 25 de la Loi du 6 janvier 1978.

La sanction pécuniaire est nouvelle puisqu’avant la LRN, la sanction pécuniaire n’était prévue qu’en cas de non-respect d’une mise en demeure. Le montant de cette sanction devra être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. Cette sanction ne pourra pas excéder trois millions d’euros.

A savoir que l’article 83 du RGPD prévoit, en fonction des atteintes, des sanctions allant

  • jusqu’à 10 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
  • ou jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le règlement européen étant d’application directe, ces montants devront être appliqués par la CNIL à partir du 25 mai 2018.

Ces mesures peuvent également être prises par la formation restreinte, sans mise en demeure préalable et après une procédure contradictoire, lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure.

Lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés de la personne concernée, cette formation restreinte, peut également, lorsqu’elle est saisie par le président de la commission dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat et après une procédure contradictoire :

  • décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois,
  • prononcer un avertissement,
  • décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois,
  • ou, pour certains traitements, informer le Premier ministre pour qu’il prenne les mesures permettant de faire cesser la violation constatée.

Si une atteinte grave et immédiate aux droits et libertés de la personne concernées est constatée, le président de la commission pourra demander à la juridiction compétente d’ordonner, par la voie du référé, toute mesure nécessaire à la sauvegarde de ces droits et libertés.

La formation restreinte devra prendre en compte :

  • le caractère intentionnel ou de négligence du manquement,
  • les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées,
  • le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels,
  • les catégories de données à caractère personnel concernées,
  • et enfin la manière dont le manquement a été porté à la connaissance de la commission.

Les sanctions prononcées par la formation restreinte peuvent être rendues publiques. Il lui est également possible d’ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées.

La formation restreinte a également la possibilité d’ordonner l’insertion des sanctions dans des publications, journaux et autres supports, aux frais de la personne sanctionnée.

Certaines nouveautés et précisions de cette loi seront précisées par décrets. L’affaire est donc à suivre…

Retrouvez nos deux autres articles sur la Loi pour une République numérique :

  • Volet 1 : Loi française pour une République numérique – Les plateformes en ligne
  • Volet 2 : Loi française pour une République numérique – la Récupération des données