C. UN CADRE UNIFIÉ RENFORCÉ ET DES MARGES DE MANoeUVRE NATIONALES
Adopté le 27 avril 2016 et applicable à compter du 25 mai 2018, le RGPDP fournit un cadre unifié, cohérent et élevé de protection des données des personnes physiques résidant sur le territoire de l'Union, qui s'impose aux opérateurs de l'Union ou offrant des biens et services aux citoyens et résidents de l'Union.
1. Des droits individuels renforcés
Le règlement renforce les droits des personnes (droit d'accès, droit de rectification, droit à la limitation du traitement) et en facilite l'exercice en définissant l'expression du consentement libre et pleinement informé (avec des conditions particulières pour les enfants). Il encadre en outre strictement la possibilité pour les responsables de traitements de données personnelles de soumettre les données qu'ils ont recueillies à un « profilage » informatique.
Il ouvre par ailleurs de nouveaux droits aux personnes, en particulier :
- un « droit à la portabilité » des données, qui permet à une personne de récupérer, sous une forme facilement réutilisable, les données qu'elle a fournies ;
- un droit d'opposition à la réutilisation des données personnelles ;
- le droit à l'effacement des données ou « droit à l'oubli » ;
- la possibilité pour les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données d'introduire des actions collectives ;
- le droit à réparation du dommage matériel ou moral causé par une violation du règlement.
En cas de méconnaissance de ces droits, et comme l'avait souhaité le Sénat, les intéressés peuvent introduire une réclamation auprès de l'autorité nationale de contrôle de leur lieu de résidence habituelle, de leur lieu de travail ou du lieu où la violation a été commise. En cas de traitement transfrontalier, l'autorité de contrôle de l'établissement responsable du traitement est toutefois l'« autorité de contrôle chef de file ».
Sans préjudice de ce recours administratif, les personnes peuvent également introduire un recours juridictionnel, directement ou par l'intermédiaire d'une association agréée.
2. Une logique de responsabilisation des opérateurs
Au régime d'autorisation par les autorités nationales est substituée une responsabilité première du responsable du traitement de données à caractère personnel visant à fournir des biens et services aux résidents européens ou à les « cibler ». Il doit mettre en oeuvre des mesures techniques et organisationnelles pour s'assurer, et être en mesure de démontrer, que le traitement des données est effectué en conformité avec les règles applicables en matière de collecte, de traitement, de conservation et de sécurité de ces données. Lorsque qu'il constate une violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés de l'intéressé, le responsable du traitement doit la notifier à l'autorité de contrôle au plus tard dans les 72 heures et en informer l'intéressé.
Pour les traitements réguliers et de grande ampleur effectués par une autorité publique ou un organisme public, le responsable du traitement désigne en outre un délégué à la protection des données, chargé de l'informer et de le conseiller, de contrôler le respect du règlement et de coopérer avec l'autorité de contrôle dont il est le point de contact.
Certains types de traitements présentant un risque élevé pour les droits et libertés des personnes, ils doivent faire l'objet d'une analyse d'impact préalable. La liste de ces traitements est établie et publiée par les autorités nationales. Dès lors que cette analyse fait apparaître que le risque serait élevé si des mesures spécifiques n'étaient pas prises pour l'atténuer, le responsable du traitement doit consulter l'autorité de contrôle. Cette consultation préalable peut en outre être imposée par le législateur national si le traitement est effectué dans le cadre d'une mission d'intérêt public.
Ces obligations s'imposent aux responsables du traitement et à leurs sous-traitants dès lors qu'une personne résidant en Europe est directement visée par un traitement de données. Toutefois, afin de tenir compte de la charge induite par le suivi des traitements de données personnelles, les entreprises comptant moins de 250 salariés sont dispensées de respecter certaines obligations en la matière, en particulier la tenue du registre des activités de traitement, sauf si les traitements qu'elles effectuent portent sur des données sensibles.
3. Le renforcement des autorités nationales de contrôle
Les autorités nationales de contrôle sont chargées d'accompagner les acteurs privés pour une bonne application du règlement. Elles doivent mener des actions de prévention, notamment en favorisant l'élaboration de codes de conduite tenant compte des différents types de traitements et de la taille des acteurs. Elles peuvent agréer des organismes experts pour contrôler le respect de ces codes et disposent d'un pouvoir de certification en matière de protection des données. Une capacité de certification peut également être reconnue à des organismes de certification qu'elles agréent.
Les autorités nationales de contrôle effectuent en outre des contrôles a posteriori , assortis de la capacité d'infliger des sanctions significatives susceptibles d'atteindre 4 % du chiffre d'affaires annuel mondial de l'entreprise 16 ( * ) . Les exigences en matière d'indépendance, de pouvoirs d'enquête et de capacité à prendre des mesures provisoires coercitives (injonction, limitation temporaire du traitement, suspension des flux de données...) sont également renforcées.
Les décisions des autorités de contrôle peuvent faire l'objet d'un recours juridictionnel.
Le règlement définit par ailleurs avec précision les modalités de coopération et d'assistance mutuelle entre les autorités de contrôle et de réalisation d'opérations conjointes.
4. Un Comité européen des données pour faire converger les pratiques
Le règlement institue un comité européen des données, qui remplace l'actuel groupe de travail dit « G29 », organe de l'Union européenne indépendant, doté de la personnalité morale, réunissant les présidents des autorités nationales de contrôle ou leurs représentants, créé par les articles 29 et 30 de la directive de 1995.
Conseil de la Commission européenne en matière de protection des données personnelles, le Comité européen des données est chargé de favoriser la convergence des pratiques par la publication de lignes directrices, recommandations et bonnes pratiques. Il veille à la conformité des décisions des autorités nationales à l'égard des codes de conduite, des critères d'agrément des organismes de certification et autres normes types sur lesquels il formule un avis. Le comité suit l'exploitation des marges de manoeuvre laissées aux États. Enfin, il arbitre les divergences d'appréciation entre les autorités nationales de contrôle.
Dans le cadre de la préparation de l'entrée en vigueur du règlement général, les deux commissions des lois et des affaires européennes du Sénat, ont procédé conjointement, le 24 novembre 2016, à l'audition de la présidente de la CNIL qui présidait alors le G29. Mme Isabelle Falque-Pierrotin a notamment souligné le rôle clé conféré au Comité européen et précisé que « la gouvernance est désormais distribuée, c'est-à-dire donnant le premier rôle aux autorités nationales, mais également intégrée, c'est-à-dire obligeant à une coopération sur les sujet d'intérêt commun . » 17 ( * ) .
5. Une exportation contrôlée des données assortie d'une application extraterritoriale des règles européennes
Le règlement s'applique à tout établissement ou sous-traitant établi dans l'Union européenne, que le traitement des données à caractère personnel ait lieu ou non sur le territoire de celle-ci, comme à tout établissement ou sous-traitant qui n'est pas établi dans l'Union européenne pour les activités de traitement de données à caractère personnel de personnes physiques résidant dans l'Union européenne, dès lors que ces activités de traitement sont liées à l'offre de services ou de biens à ces personnes, quand bien même aucun paiement ne serait exigé des intéressés, ou au suivi d'un comportement au sein de l'Union européenne.
Sauf si le traitement présente un caractère occasionnel, les données ne peuvent être transférées dans un pays tiers que si la Commission européenne a pris à son égard une décision d'adéquation du niveau de protection ou moyennant l'existence de garanties appropriées, et à la condition que la personne concernée dispose de droits opposables et de voies de recours effectives. Des mécanismes de coopération internationale devront être mis en place en la matière.
L'Europe s'efforce de porter ce débat sur la souveraineté mais les discussions avec les États-Unis autour du « bouclier » sont loin d'être abouties, en particulier après le rejet du TIPP. Il convient donc que l'Europe reste particulièrement vigilante en la matière.
6. De nombreuses marges d'intervention laissées aux législateurs nationaux
S'il entend lever les obstacles aux flux de données à caractère personnel au sein de l'Union et assurer une application cohérente et homogène des règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données, le règlement autorise toutefois les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application de ses règles.
Surtout, il leur laisse des « marges de manoeuvre » pour maintenir ou introduire des conditions supplémentaires pour le traitement de catégories particulières de données à caractère personnel, dénommées « données sensibles » (comme les données génétiques, les données de santé ou les données biométriques).
Par ailleurs, il n'exclut pas que des législations sectorielles nationales spécifiques fixent, dans des domaines qui requièrent des dispositions plus précises, les circonstances des situations particulières de traitement, y compris en définissant de manière plus détaillée les conditions dans lesquelles le traitement de données à caractère personnel est licite.
Enfin, pour l'exercice de missions d'intérêt public ou relevant de l'autorité publique, le règlement reconnaît aux États membres la possibilité de limiter certains droits, comme le droit à l'oubli ou le droit à la portabilité des données, ou encore le droit à ne pas faire l'objet d'une décision individuelle automatisée, dès lors qu'il s'agit de mesures nécessaires et proportionnées au regard de l'objectif poursuivi (sécurité, défense nationale, prévention des infractions, etc).
* 16 La loi pour une République numérique a d'ores et déjà relevé à ce niveau le plafond des sanctions pécuniaires que la CNIL peut infliger.
* 17 Voir le compte rendu de la semaine du 21 novembre 2016.