A la suite de la proposition de règlement pour la protection des données à caractère personnel de la Commission européenne, déposée le 25 janvier 2012, certains points de dissension avaient pu naître entre le Parlement européen et le Conseil de l’Union européenne.

Dans ce cadre, plusieurs phases de trilogue avaient été organisées depuis le 24 juin 2015. Si de nombreuses difficultés avaient été préalablement aplanies, quelques arbitrages importants restaient à effectuer (voir sur ce point notre focus de la Lettre Propriétés intellectuelles d’octobre 2015).

C’est désormais chose faite, puisque les institutions européennes sont parvenues à un accord sur le texte définitif du règlement, rendu public par un communiqué du 15 décembre 2015. Nous vous exposons ci-après une synthèse de ces principales dispositions.

Champ d’application du règlement

Le Parlement et le Conseil ont acté l’élargissement du champ d’application du règlement. S’agissant de son champ d’application matériel, les institutions se sont accordées sur une définition plus large des données à caractère personnel en y incluant expressément les données non nominatives telles que les données de géolocalisation ou les identifiants en ligne. Les entreprises traitant des données de géolocalisation devront donc se soumettre à la réglementation des données personnelles.

Une extension significative du champ d’application territorial du futur règlement a également été entérinée. Désormais, entrent dans le périmètre de la réglementation (art 3.2), les traitements mis en œuvre par un responsable de traitement ou sous-traitant non établi sur le territoire de l’Union européenne (UE) lorsqu’ils sont liés à l’offre de biens ou de services à des personnes résidant sur le territoire de l’UE ou encore à l’observation du comportement de ces personnes sur ledit territoire. Les responsables de traitement établis en dehors de l’UE concernés devront ainsi, sauf exceptions, désigner un représentant établi au sein de l’un des Etats membres de l’UE visés par le traitement de données. En élargissant le champ d’application territorial, les institutions abandonnent le critère du lieu d’établissement du responsable de traitement afin de pouvoir soumettre à la réglementation relative à l’informatique et aux libertés l’intégralité des traitements de données personnelles concernant les résidents européens.

Déclarations préalables et registres des traitements

L’obligation de déclaration préalable des traitements de données a été supprimée. Mais le règlement impose désormais aux responsables de traitements ainsi qu’aux sous-traitants de tenir un registre interne comprenant notamment les noms et coordonnées des sous-traitants et des responsables de traitement, les finalités du traitement et les catégories de données traitées. Les entreprises de moins de 250 personnes seront dispensées de cette obligation, excepté dans certaines hypothèses, notamment si le traitement concerne des données sensibles.

Guichet unique

Les responsables de traitements établis dans plusieurs Etats membres n’auront plus à effectuer de démarches auprès des autorités de contrôle de chacun des pays d’établissement : l’autorité de contrôle de l’Etat membre au sein duquel le responsable de traitement a son principal établissement sera compétente pour contrôler l’intégralité de ses traitements.

Un point de désaccord subsistait encore entre la Commission et le Conseil de l’UE sur la mise en œuvre de ce nouveau mécanisme. Le Conseil regrettait que ne soit pas envisagée la possibilité pour un individu concerné par un traitement de données d’exercer un recours devant l’autorité de contrôle de son pays de résidence, et de devoir au contraire le porter devant l’autorité de contrôle de l’établissement principal du responsable de traitement concerné. Les institutions semblent être parvenues à un compromis, le règlement prévoyant la faculté pour un individu de porter sa contestation devant l’autorité de contrôle de son Etat de résidence, à charge pour cette dernière de la transmettre à l’autorité de contrôle du responsable de traitement.

Nouvelles obligations à la charge du responsable de traitement lors de la collecte et du traitement des données

Le règlement consacre de nouveaux principes en matière de la collecte et de traitement des données :

• introduction de la notion de collecte transparente, afin d’améliorer l’information de la personne concernée par le traitement ;
• obligation de minimisation des données, qui impose au responsable de traitement de limiter la collecte aux seules données strictement nécessaires au traitement ;
• limitation du traitement des données collectées à des finalités déterminées, ce qui interdit leur utilisation ultérieure à des fins différentes autres que d’archivage, de recherche historique ou scientifique ou encore statistiques.

Obligations à la charge du responsable de traitement quant à la conformité du traitement au règlement et à la sécurité des données

Le responsable de traitement, comme le sous-traitant, doit mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer un degré suffisant de sécurité des données.

Le responsable de traitement sera également tenu de réaliser des études d’impact dès lors que l’utilisation de nouvelles technologies pourrait représenter un risque pour les droits et libertés des personnes concernées. Si cette disposition figurait déjà dans la proposition de règlement, son champ d’application a fait l’objet d’âpres discussions entre les institutions. Au résultat, le règlement dresse une liste des cas nécessitant la réalisation d’une étude d’impact, comme lorsque le traitement concerne à grande échelle des données sensibles ou des données relatives à des infractions, des condamnations ou des mesures de sûreté.

Le règlement met à la charge du responsable de traitement l’obligation de notifier les failles de sécurité.

Cette mesure avait fait l’objet de débats quant à son champ d’application ainsi qu’au délai au terme duquel celle-ci devait intervenir. Sur le champ d’application, il a été décidé que la notification ne serait pas obligatoire lorsque la faille de sécurité ne risque pas de porter atteinte aux droits et libertés des individus. Le délai, qui était un réel sujet de désaccord (préconisation d’un délai de 24 heures par la Commission, d’un délai de 72 heures par le Conseil et absence de tout délai par le Parlement). Les institutions ont finalement opté pour un délai de 72 heures tout en prévoyant la possibilité de dépasser ce délai si le responsable de traitement peut fournir une justification motivée.

Responsabilité conjointe

Le règlement valide le système de responsabilité conjointe proposé par la Commission. Il consacre en effet la possibilité de désigner plusieurs responsables de traitement pour un même traitement de données lorsqu’ils fixent ensemble les modalités et finalités du traitement. Dans cette hypothèse, les responsables de traitement devront établir un contrat définissant précisément quelles sont les obligations de chacun.

Désignation d’un délégué à la protection des données (DPD)

Alors qu’en droit français, la désignation d’un correspondant informatique et libertés (CIL) est facultative, le règlement consacre l’obligation de désigner un DPD dans certaines hypothèses et notamment dans le cas de traitements de données sensibles ou dans celui d’un traitement exigeant un suivi régulier des personnes concernées. Les organismes publics (à l’exception des tribunaux) devront systématiquement désigner un DPD.

Contrôles et sanctions

Aujourd’hui, la CNIL est habilitée à effectuer, à sa seule discrétion, des contrôles auprès des différents responsables de traitement. Sur ce point, la proposition de la Commission était plus restrictive en ce qu’elle limitait les contrôles aux seuls cas dans lesquels il existait un motif raisonnable de soupçonner une infraction, ce que dénonçaient le Parlement et le Conseil. Cette réduction du pouvoir d’investigation des autorités n’a finalement pas été retenue lors du trilogue.

Les autorités de contrôle voient au contraire leurs pouvoirs élargis puisqu’elles peuvent désormais ester en justice.

La question relative au seuil maximal des sanctions pécuniaires que peuvent prononcer les autorités de contrôle a finalement été tranchée en faveur d’un système distributif.

Certaines infractions, telles que le manquement à l’obligation d’enregistrer les traitements ou à celle de sécurité des données, sont sanctionnées par une amende maximale de 10 000 000 € ou de 2% du chiffre d’affaires mondial annuel (si ce montant est plus élevé).

D’autres, considérées comme plus graves, comme le défaut d’une collecte loyale et transparente ou encore le manquement à l’information préalable de la personne concernée, sont passibles d’une amende maximale de 20 000 000 € ou correspondant à 4% du chiffre d’affaires mondial annuel (si ce montant est plus élevé).

Reste au Conseil à adopter une position commune, puis au Parlement européen à l’entériner. Le Conseil annonce sur sa page Internet consacrée à la réforme des données personnelles une publication du texte au printemps 2016. Le règlement serait applicable au printemps 2018.

Nous aurons l’occasion d’y revenir…

Prudence Cadio, avocat en droit de la Propriété Intellectuelle et des Nouvelles Technologies.