Le RGPD : Le cadre légal applicable au responsable de traitement et à leurs sous-traitants

Le Règlement Général sur la Protection des Données (RGPD) a été adopté par le Parlement européen le 14 avril 2016 et il est entré en application le 25 mai 2018. Il remplace la Directive de 1995 relative au même sujet.

Le RGPD contient des dispositions générales ainsi que des droits au profit des personnes concernées qui démontrent que l’esprit de cette réforme est de faire respecter le droit européen de la protection des données de façon très extensive. Le corollaire de ce parti pris est naturellement l’accroissement des obligations des responsables de traitement et de leurs sous-traitants.

Cet article constitue la seconde partie de l’article « L’esprit du RGPD : des dispositions larges pour une réglementation en faveur de la protection des personnes » publié le 8 juin 2018.

Responsable de traitement et sous-traitants sur le territoire de l’UE

Les obligations personnelles

Le principe de responsabilité (« responsability ») du responsable de traitement ou de son sous-traitant (At. 24 du RGPD). Ceci implique qu’il lui revient de prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer la documentation de la mise en œuvre du Règlement (principe « d’accountability »). L’Art. 32 ajoute que les mesures techniques et organisationnelles sont les mesures visant à assurer la sécurité des données dès la conception du traitement.

L’obligation de privacy by design et de privacy by default (Art. 25 du RGPD). Ceci signifie que, doit être intégrer à  chaque traitement, dès sa conception, les mécanismes servant à sécuriser les données (privacy by design). L’obligation de privacy by default est la minimisation des données s’agissant de leur collecte, de leur traitement, de leur durée de conservation et de leurs destinataires.

Les obligations en cas de choix d’un sous-traitant (Art. 28 du RGPD). Celui-ci doit présenter les mesures techniques et organisationnelles qui démontrent qu’il est conforme au Règlement. Son intervention est soumise à un acte juridique entre lui et le responsable de traitement. Cet acte doit contenir certaines mentions listées par le Règlement. Il peut également être constitué des clauses contractuelles types édictées par la Commission européenne ou par une Autorité nationale telle que la CNIL puis approuvées par la Commission.

L’obligation de tenir un registre des traitements de données (Art. 30 du RGPD). Elle concerne les responsables de traitement et sous-traitants employant plus de 250 salariés. Ce registre doit comporter certaines informations énumérées. Les entreprises de moins de 250 salariés peuvent également être contraintes de consigner un traitement dans un tel registre lorsqu’il est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles ou relatives à des condamnations pénales et à des infractions.

L’obligation de coopérer avec l’autorité de contrôle compétente (Art. 31 du RGPD). Cette obligation naît à la suite d’une demande quelconque de la part de l’autorité de contrôle compétente.

L’obligation de notifier les violations de données (Art. 33 du RGPD). Cette notification a pour destinataire l’autorité de contrôle. Dans les cas les plus graves, les personnes concernées doivent même être informées de la violation de données (Art. 34). Elle doit intervenir dans les meilleurs délais (indication de 72 heures). Le sous-traitant effectue cette notification au responsable de traitement.

L’obligation de mener des études d’impact (Art. 35 du RGPD). Cette étude d’impact concerne les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques (certaines situation sont listées par le Règlement, de plus une liste devra être publiée par la CNIL). Le délégué à la protection des données, lorsqu’il existe, doit être associé à la procédure. La CNIL a élaboré un logiciel (l’outil PIA) pour procéder à cette analyse d’impact. Avant cette analyse, l’autorité de contrôle doit être consultée.

L’obligation de désigner un Délégué à la Protection des Données

Certaines entités ont, en plus, l’obligation de nommer un Délégué à la Protection des Données (DPD ou Data Protection Officer en anglais) (Art. 37 et s.). C’est le cas dans les hypothèses suivantes :

  • Les autorités ou organismes publiques[1] ;
  • Les entreprises dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les entreprises dont les activités de base consistent en un traitement à grande échelle de données personnelles sensibles ou relatives à des condamnations pénales et à des infractions.

Si la première et la troisième situation semblent assez claires, la deuxième est nécessairement sujette à interprétation. S’il existe un doute qu’une entreprise rentre dans cette catégorie, il est plus raisonnable de nommer un DPD.

Nomination (Art. 37 du RGPD). Le DPD devra être choisi « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ». Il peut être interne ou externe à l’entreprise. Il peut également n’y avoir qu’un seul DPD pour plusieurs entités s’il est facilement joignable de chaque site. Ses fonctions et ses missions sont décrites dans les deux articles suivants. Il revient au responsable de traitement et au sous-traitant de s’assurer que le DPD est en mesure de remplir sa fonction.

Fonctions (Art. 38 du RGPD). Tout d’abord, le DPD doit être associé à toutes les questions relatives à la protection des données personnelles dans l’entreprise. Il peut exercer d’autres tâches mais celles-ci ne doivent pas empêcher l’exercice de sa fonction de DPD. Il doit pour cela disposer de ressources suffisantes et avoir accès aux données à caractère personnel et aux opérations de traitement. En particulier, le responsable de traitement et le sous-traitant doivent permettre au DPD “d’entretenir ses connaissances spécialisées”. Cette formulation ne concerne sans doute que les DPD qui sont salariés du responsable de traitement ou du sous-traitant car il serait difficile à ceux-ci de remplir cette obligation envers un DPD externe, qui peut être un cabinet de conseil par exemple. Le DPD doit pouvoir exercer ses missions de façon indépendante. Cela signifie qu’il est hiérarchiquement rattaché au top management et qu’il ne peut être relevé de ses fonctions du fait de l’exercice normal de sa fonction. Le DPD est en charge de répondre aux questions des personnes concernées et à leurs demandes sur l’exercice de leurs droits. Le DPD est soumis au secret professionnel.

Missions (Art. 39 du RGPD). Le DPD a pour mission d’informer et de conseiller le responsable du traitement, le sous-traitant et les salariés en charge des traitements sur leurs obligations et sur l’analyse d’impact. Il contrôle le respect de toute règle de droit, dur ou mou, en matière de protection des données personnelles. Il coopère avec la CNIL et il est son interlocuteur privilégié.

Toutes les obligations, citées ci-dessus, à la charge du responsable de traitement et du sous-traitant s’applique évidemment au cas de transfert des données en dehors du territoire de l’Union. En outre, le responsable du traitement et le sous-traitant doivent procéder à des vérifications supplémentaires avant de procéder au transfert.

Responsable de traitement et sous-traitants en dehors du territoire de l’UE

Les transferts de données en dehors de l’UE sont régis par les articles 44 à 50 du Règlement. Par principe, ils sont prohibés (Art. 44). Par exception, ils peuvent être autorisés. Ces exceptions sont de deux types, soit elles concernent la législation d’un Etat dans son entier ; soit elles sont spécifiques à certaines organisations du fait de leur particularité en matière de protection des données.

Les exceptions générales à l’interdiction des transferts en dehors de l’UE

Décision d’adéquation. Toutefois, ils sont licites lorsqu’ils interviennent dans un Etat dont la Commission considère, par une décision d’adéquation, que la législation présente une protection adéquate. Ces décisions d’adéquation sont revues tous les quatre ans. Actuellement, les décisions d’adéquation intervenues concernent Andorre, l’Argentine, le Canada, Guernesey, les Îles Féroé, l’Ile de Man, Israël Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et les Etats-Unis (uniquement dans le cadre du Privacy Shield)[2].

Les exceptions particulières

Garanties appropriées. À défaut d’une telle décision, le transfert envers un Etat tiers ou une organisation internationale demeure possible aux conditions qu’ils présentent des garanties appropriées et que les personnes concernées disposent de leurs droits et de voies de recours effectives. Il existe deux catégories de garanties appropriées ; celles qui n’ont pas à être couplées à une décision d’autorisation de l’autorité compétente et celles qui nécessitent l’intervention d’une telle décision.

Aux termes du Règlement, les garanties appropriées qui ne nécessitent pas d’autorisation peuvent prendre les formes suivantes :

  • Un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
  • Des règles d’entreprise contraignantes, qui sont des règles internes à un groupe ;
  • Des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen ;
  • Des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen ;
  • Un code de conduite approuvé par une autorité de contrôle (selon l’Art. 40) assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ;
  • Un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Celles nécessitant une autorisation peuvent être :

  • Des clauses contractuelles ;
  • Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Les règles d’entreprise contraignantes (Art. 47 du RGPD). Elles sont détaillées plus longuement par le Règlement :

  • Elles doivent être juridiquement contraignantes pour toutes les entreprises du groupe de société.
  • Elles doivent expressément conférer aux personnes concernées des droits opposables.
  • Elles doivent comporter certaines mentions listées à la suite de l’article.

Autres fondements. A défaut de décision d’adéquation, de garanties appropriées et de règles d’entreprise contraignante, et de manière très exceptionnelle, un transfert peut intervenir vers un Etat tiers sur un des fondements suivants :

  • Le consentement explicite et éclairé de la personne concernée ;
  • L’exécution d’un contrat entre la personne concernée et le responsable du traitement ou la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • L’intérêt de la personne concernée à la conclusion ou à l’exécution d’un contrat ;
  • Des motifs importants d’intérêt public ;
  • La constatation, l’exercice ou la défense de droits en justice ;
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • Le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Conclusion

Le RGPD est la première législation d’ampleur et à effet extraterritoriale en matière de protection des données. Les infractions à ce Règlement sont punies entre 10 000 000 € et 20 000 000 € d’amende pour les organismes n’ayant pas de chiffre d’affaire et de 2 à 4% du chiffre d’affaire pour les autres. Alors que certaines entreprises redoutent un effet anticoncurrentiel de cette réglementation, des Etats tiers à l’Union européenne suivent déjà le mouvement. C’est le cas par exemple de la Suisse dont une nouvelle loi pose des droits et des obligations similaires avec toutefois des sanctions moins importantes[3].

Laëtitia PEZZUCCHI, Etudiante en Master 2 Droit et Ethique des Affaires

[1] Cette obligation est particulièrement troublante venant du droit de l’Union européenne qui ne définit pas cette notion (Cf. G29, Guidelines on Data Protection Officers, 13 décembre 2016).

[2] Commission Européenne (2017),  COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL “Échange et protection de données à caractère personnel à l’ère de la mondialisation”, le 10 janvier 2017, COM(2017) 7 final, Bruxelles, p. 7.

[3] https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html.