Le droit des données personnelles est à nouveau en pleine mutation et ce en raison aussi bien du développement du numérique que de l’implication toujours plus grande de l’Union européenne.
Ce régime juridique particulier concerne aussi bien l’exploitation d’un fichier client que l’édition d’un annuaire, que ce soit en version papier ou électronique.
Le Règlement européenne sur la protection des données (surnommé le « RGPD »), entre en vigueur le 25 mai prochain.
En clair, les textes européens visent à harmoniser « les dispositions des Etats membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté »…
La nouvelle législation européenne sur la protection des données repose notamment sur un Règlement adopté le 27 avril 2016 « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Le Règlement, adopté après quatre ans de négociations, vise « à créer un ensemble de règles uniformes à travers l'UE adaptées à l'ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens et entreprises dans le marché unique du numérique ».
Le Règlement remplace la directive sur la protection des données de l'UE, qui datait de 1995, alors qu'Internet était encore à ses débuts, et convertit le patchwork actuel des législations nationales en un ensemble unique de règles en vue de donner aux citoyens plus de contrôle sur leurs propres informations privées dans un monde numérique de téléphones intelligents, de médias sociaux, de services bancaires sur Internet et de transferts mondiaux.
Un niveau élevé de protection
Le Règlement sur la protection des données renforce la confiance et fournit un niveau élevé de protection pour tous les citoyens de l'Union européenne et « s'applique également à des entreprises hors Europe ciblant les consommateurs de l'Union. »
Il s’accompagne d’une Directive sur la protection des données, couvrant le traitement des données par le secteur de la police et de la justice pénale. Elle vise à assurer que les données des victimes, des témoins et des suspects de crimes soient dûment protégées dans le cadre d'une enquête pénale ou d'une action d'application de la loi. Dans le même temps, des législations plus harmonisées faciliteront également la coopération transfrontalière de la police ou des procureurs afin de lutter plus efficacement contre la criminalité et le terrorisme à travers l'Europe.
Droit à l'oubli
En pratique, l’Europe instaure un « droit à l'oubli » - qui est déjà apparu en droit français et permet l'effacement des données personnelles lorsque le citoyens ne souhaitent plus que leurs données soient traitées, à condition qu'il n'existe aucune raison légitime de les conserver.
Désormais, si une personne demande à une « entreprise Internet » d'effacer ses données, celle-ci devra également envoyer la demande à toute autre partie qui duplique les données.
Cependant, ce droit serait limité dans certains cas, par exemple lorsque les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l'exercice du droit à la liberté d'expression. Le droit à l'oubli ne s'appliquerait pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d'un contrat ou lorsque la loi l'exige.
Consentement obligatoire
Par ailleurs, tout Européen doit « donner son consentement clair et explicite au traitement de ses données privées ». Cela signifie « donner son consentement de manière active ». Il doit par exemple cocher une case lors de la visite d'un site Internet ou effectuer une autre action ou encore faire une déclaration indiquant l'acceptation du traitement proposé des données personnelles. Le silence, des cases cochées par défaut ou l'inactivité ne constituent donc pas un consentement. À l'avenir, une personne peut également plus facilement revenir sur son consentement.
En vertu des nouvelles règles, toute personne jouit du droit à la « portabilité des données », afin que les individus puissent transmettre plus facilement des données à caractère personnel entre fournisseurs de services. Ce droit permet par exemple à un utilisateur de changer de fournisseur de messagerie électronique sans perdre ses contacts ou ses courriels. Les individus peuvent ainsi mieux contrôler leurs données et la concurrence sur le marché numérique unique se voit également renforcée.
Simplification imposée
Les nouveaux textes imposent le « droit d'être informé dans un langage simple et clair ». Les députés européens ont insisté pour que les nouvelles dispositions mettent un terme aux politiques de vie privée « en petits caractères ». Avant la collecte des données, des informations doivent être fournies dans un langage clair et simple.
De plus, les entreprises et organisations sont tenues d'informer sans délai l'autorité de surveillance nationale en cas de violation grave des données afin que les utilisateurs puissent prendre les mesures appropriées.
Les nouvelles dispositions fixent aussi des limites au profilage, une technique utilisée pour analyser ou prédire les performances d'une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.
Profilage encadré
Conformément au Règlement, le profilage est, en règle générale, uniquement autorisé si la personne concernée donne son consentement, si la loi le permet et s'il est nécessaire à la conclusion d'un contrat. Les députés ont également précisé que le profilage ne devrait pas entraîner de discrimination ou se baser uniquement sur des données sensibles (telles que les données révélant, entre autres, l'origine ethnique, les opinions politiques, la religion, l'orientation sexuelle, les données génétiques ou biométriques, des sanctions administratives ou des suspicions). De plus, le profilage ne devrait pas se baser uniquement sur le traitement automatique des données. Il doit comprendre une évaluation menée par l'homme, incluant une explication de la décision conclue après un tel examen. Ce système pourrait influer sur la manière dont la solvabilité est évaluée par exemple.
Les nouvelles règles prévoient des garanties spéciales pour les enfants dans certains domaines, étant donné qu'ils peuvent être moins conscients des risques et conséquences liés au partage de leurs données personnelles. Ils bénéficient ainsi d'un droit à l'oubli plus clair. Par surcroit, les dispositions disposent qu'en dessous d'un certain âge, les enfants doivent avoir la permission de leurs parents pour ouvrir un compte sur les réseaux sociaux, tels que Facebook, Instagram ou Snapchat, comme c'est déjà le cas avant dans la plupart des pays de l'Union. Il revient aux États membres de déterminer la limite d'âge qui devra être située entre 13 et 16 ans.
Enfin, les entreprises doivent concevoir des fonctionnalités par défaut et des produits de sorte à collecter et traiter le moins possible de données à caractère personnel. La « protection de la vie privée dès la conception » et par défaut devient un principe essentiel et encourage les entreprises à innover et développer de nouvelles idées, méthodes et technologies pour la sécurité et la protection des données personnelles.
Collecte limitée
Soulignons in fine que, en France, le Code pénal sous les articles 226-16 et suivants, prévoyait un triple régime.
Est ainsi interdite par principe la collecte des informations les plus sensibles, c’est-à-dire celles qui sont relatives à la race, la religion, les opinions philosophiques, politiques ou syndicales. Les seules exceptions possibles concernent des situations très particulières, telles que peut en connaître, par exemple, une organisation religieuse.
Les fichiers plus anodins sont soumis à une autorisation soit législative, soit par règlement de la Commission nationale informatique et libertés (C.N.I.L.). Existe encore un système de simple déclaration des fichiers qui visent à contenir les informations les plus banales (nom, adresse, etc.).
Tout individu fiché possède notamment un droit d'accès et de rectification, et doit en être informé. Un tel régime est théoriquement contrôlé par la C.N.I.L et sanctionné pénalement.
Il y a enfin, pour les entreprises, l’obligation de désigner un Délégué aux donées personelles (fonction qui remplace celle des éventuels « Correspondants Informatique et Libertés), qui sera le garant de la conformité du nouveau dispositif.