Articles

Le Règlement 2016/679 sur la protection des données personnelles (RGPD) abroge la Directive 95/46/CE datant de 1995.

A la différence d’une Directive, le Règlement s’impose uniformément dans tous les Etats membres de l’Union européenne sans que ces Etats n’aient besoin d’adopter une loi pour transposer les nouvelles règles dans le droit étatique. Le Règlement est un facteur d’unité en matière d’encadrement juridique du traitement des données personnelles dans l’Union européenne.

Le Règlement, facteur d’unité

La disparité des lois de transposition entrainait une perte de confiance des personnes physiques lorsque leurs données circulaient au sein de l’Union, la protection de ces données n’étant pas équivalente entre les différents Etats membres et représentait aussi un frein conséquent pour une concurrence saine au sein de l’Union, les entreprises pouvant être tentées de favoriser une implantation dans les Etats où la loi de transposition était la moins stricte. Cette disparité était encore un facteur de coût et d’insécurité juridique pour les entreprises. En effet, selon le pays dans lequel une entreprise collecte ou souhaite transférer des données, le niveau de protection des données et la réglementation s’appliquant à leur traitement n’étaient pas équivalents. Les autorités de contrôle ne pouvaient, par ailleurs, sanctionner et surveiller de façon cohérente.

L’harmonisation permet de mettre un terme à ces difficultés.

Si le RGPD concède à certains endroits une certaine liberté aux Etats membres de l’UE, son considérant 8 précise que ces marges de manœuvre se limitent à « la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ». Il n’est donc pas question, a priori, de créer des différences de fond, mais de respecter l’ordre juridique interne des Etats-membres là où une uniformité ne serait pas respectueuse des disparités nationales.

Respect de la diversité de l’organisation administrative des Etats membres

Parmi les articles au sein desquels il est précisé que chaque Etat membre bénéficie de souplesse dans leur application, plusieurs concernent des questions d’organisations internes.

Ainsi, si le Règlement impose la création d’une autorité de contrôle en matière de données personnelles, une grande liberté est laissée aux Etats quant aux critères de sélection des membres de ces autorités, au mode de nomination, à la durée de leur mandat, etc.

Le respect de la structure organisationnelle des Etats membres se retrouve encore dans la possibilité qui leur est laissée de préciser eux-mêmes les opérations et procédures de traitement des données à caractère personnel par les juridictions et autres autorités judiciaires, avec la volonté explicite de respecter ainsi la séparation des pouvoirs (considérant 20).

Enfin, le respect de la séparation des pouvoirs au sein des Etats membres se retrouve encore dans la liberté totale laissée en matière de fixation de la sanction pénale. Si l’article 83 fixe le montant des amendes administratives, l’article 84 laisse les Etats membres déterminer le régime des autres sanctions applicables en cas de violation du Règlement. Ces sanctions devront néanmoins être « effectives, proportionnées et dissuasives ».

Liberté pour les Etats membres de renforcer les règles encadrant certaines données

Le respect des souverainetés nationales est visible dans la possibilité laissée aux Etats membres de renforcer certaines règles lorsque celles-ci concernent des données sensibles ou présentant un intérêt public. L’article 6§2 permet ainsi aux Etats membres de déterminer « plus précisément les exigences spécifiques applicables au traitement » nécessaire notamment à l’exécution d’une mission d’intérêt public.

L’article 9 quant à lui pose comme principe l’interdiction du traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) avant de présenter des exceptions à ce principe (consentement de la personne concernée, sauvegarde des intérêts vitaux,…). Le Règlement laisse néanmoins la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». La flexibilité n’autorise ici que l’ajout de conditions en vue de renforcer les règles, le Règlement fixant donc quoiqu’il en soit un minimum de protection dans le traitement des données sensibles relatives à la santé.  

Liberté d’encadrement pour les Etats membres relative à certains secteurs

Enfin, certains secteurs spécifiques font l’objet de contraintes moins fortes imposées par le Règlement afin de respecter, là encore, l’organisation et la culture des Etats membres. Ces secteurs sont en particulier ceux de la presse et de l’audiovisuel. Il revient ainsi aux Etats membres de fixer les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information. Le considérant 153 précise que pour ces secteurs, en cas de disparité au sein des Etats membres, c’est le droit de l’Etat membre dont relève le responsable du traitement qui devra s’appliquer.

Le secteur des ressources humaines offre lui aussi une possibilité accrue pour les Etats membres de prévoir des règles propres. La particularité ici est que les règles spécifiques pourront être créées par le droit des Etats membres, des conventions collectives ou par le droit découlant des accords d’entreprises. Les règles concernées sont toutes celles relatives au traitement des données personnelles dans la relation de travail (recrutement, exécution du contrat de travail, planification de l’organisation du travail, etc.). Ce dernier secteur fera donc sans doute l’objet d’une attention particulière dans les années à venir, des disparités concernant le traitement des données des salariés risquant d’apparaître régulièrement, au gré des modifications des conventions collectives ou des accords d’entreprises. Les syndicats auront un rôle important à jouer dans la défense des données de ces salariés.

***

Le Règlement a cherché à préserver, dans cette uniformisation des règles applicables au traitement des données personnelles, quelques libertés pour les Etats membres afin de respecter les organisations internes ou des secteurs spécifiques.

L’avenir nous montrera si les petites brèches dans l’uniformité n’ont pas créé trop de différences notables, la recherche saine et juste de l’équilibre entre uniformité et liberté en amont laissant courir un risque de déséquilibre, en aval, dans l’usage que les Etats membres feront de ces petits espaces de liberté.

Pascal Alix, Avocat et CIL

Hubert de Segonzac, avocat et CIL

La CNIL est, rappelons-le, habilitée par l’article 24 de la loi du 6 janvier 1978 modifiée à établir des normes destinées à simplifier l’obligation de déclaration des traitements informatisés « les plus courants ». Parmi ces traitements les plus courants figure la gestion de clients et de prospects.

Compte tenu de l’évolution du commerce et des méthodes de prospection, la norme simplifiée n° 48, adoptée le 7 juin 2005, a été modifiée le 21 juin 2012.

Par une délibération n° 2016-264 du 21 juillet 2016, publiée au JORF du 14 septembre 2016, la CNIL, prenant en considération l’évolution du droit et de la pratique, notamment en matière de vente de biens ou de fourniture de services à distance, sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs ainsi que la mise en œuvre du nouveau système dénommé « BLOCTEL », ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique a modifié la norme simplifiée 48 de la manière suivante :

En sus des finalités visées par la NS 48 issue de la délibération du 21 juin 2012, à savoir :

  • effectuer les opérations relatives à la gestion des clients concernant :
  • les contrats ;
  • les commandes ;
  • les livraisons ;
  • les factures ;
  • la comptabilité, et en particulier la gestion des comptes clients ;
  • un programme de fidélité au sein d’une entité ou de plusieurs entités juridiques ;
  • le suivi de la relation client tel que la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;
  • effectuer des opérations relatives à la prospection :
  • la gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ;
  • la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;
  • la réalisation d’opérations de sollicitations ;
  • l’élaboration de statistiques commerciales ;
  • la cession, la location ou l’échange de ses fichiers de clients et de ses fichiers de prospects ;
  • l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle à l’exclusion des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Autorité de régulation des jeux en ligne ;
  • la gestion des demandes de droit d’accès, de rectification et d’opposition ;
  • la gestion des impayés et du contentieux, à condition qu’elle ne porte pas sur des infractions et/ou qu’elle n’entraîne pas une exclusion de la personne du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • la gestion des avis des personnes sur des produits, services ou contenus.

La nouvelle NS 48 vise également les finalités suivantes :

– effectuer les opérations relatives à la gestion des clients concernant :

– la sélection de clients pour réaliser des études, sondages et tests produits. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6 de la présente norme, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– la sélection de personnes pour réaliser des actions d’étude. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l’article 6, ces opérations ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ;

– l’actualisation de ses fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique, en application des dispositions du code de la consommation ;

S’agissant des données, la nouvelle NS 48 vise les nouvelles données suivantes :

Les données relatives aux moyens de paiement suivantes : cryptogramme visuel (ce dernier ne devant pas être conservé, conformément à l’article 5 de la présente norme) ;

Les données nécessaires à la réalisation des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion, la sélection des personnes ne pouvant résulter que de l’analyse des données listées au présent article ;

Les données collectées par le biais des actions visées à l’article 32-II de la loi du 6 janvier 1978 modifiée, dans le respect des recommandations figurant dans la délibération n° 2013-378 du 5 décembre 2013 (cookies et traceurs).

Parmi les personnes pouvant avoir accès aux données à caractère personnel,

Est ajouté l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique (« BLOCTEL »).

S’agissant des durées de conservation, la NS 48 est profondément réformée, pour obéïr désormais aux principes suivants :

  • Les données peuvent désormais faire l’objet d’une politique d’archivage intermédiaire pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation). Il convient de prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active ;
  • Pour pouvoir conserver, au-delà de la durée de conservation fixée au regard de l’article 6 (5°) de la loi, des informations relatives à des clients ou des prospects à des fins d’analyses ou d’élaboration de statistiques agrégées, les données doivent être anonymisées de manière irréversible, en procédant à la purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes. A cet égard, le G29 a adopté un avis le 10 avril 2014 sur les techniques d’anonymisation ;
  • Pour déterminer la date du dernier contact émanant d’un prospect, une demande de documentation ou un clic sur un lien hypertexte dans un courriel ne peut être considéré comme un contact.

Les données de fréquentation brutes associant un identifiant peuvent désormais être conservées 13 mois et non plus seulement 6 mois.

S’agissant de l’information, du consentement et de l’exercice des droits :

La CNIL a ajouté les précisions suivantes :

Lorsque les données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6° de l’article 32. Cette disposition vise les questionnaires au sens large et, notamment, les formulaires à compléter sur un site web.

Lorsque les données à caractère personnel n’ont pas été recueillies directement auprès des personnes concernées, les modalités d’information des personnes sont prévues par les dispositions de l’article 32-III de la loi. Le recueil du consentement exprès et spécifique de la personne concernée, dans les cas suivants :

– la prospection réalisée au moyen des dispositifs visés par l’article L. 34-5 du code des postes et des communications électroniques (système automatisé de communications électroniques au sens de l’article L. 32 du CPCE – SMS, MMS, automate d’appel, Bluetooth, etc. – télécopieur et courrier électronique). Toutefois, dans les conditions visées par l’article L. 34-5 du CPCE, le recueil du consentement n’est pas requis lorsque le courrier électronique concerne des produits ou services analogues ;

– la cession à des partenaires des adresses électroniques ou des numéros de téléphone utilisés à des fins de prospection directe au moyen des dispositifs précités visés par l’article L. 34-5 du CPCE ;

– la collecte ou la cession des données susceptibles de faire apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la vie sexuelle de celle-ci (par exemple, eu égard au type de documentation demandé, à la nature du produit acheté, du service ou de l’abonnement souscrit) ;

Les consommateurs qui ne souhaitent pas faire l’objet de prospection commerciale par voie téléphonique peuvent s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique prévue par les articles L. 223-1 et suivants du code de la consommation. Il est notamment interdit à un professionnel, directement ou par l’intermédiaire d’un tiers agissant pour son compte, de démarcher téléphoniquement un consommateur inscrit sur la liste d’opposition, sauf en cas de relations contractuelles préexistantes. La location ou la vente de fichiers contenant des données téléphoniques et comportant les coordonnées d’un ou de plusieurs consommateurs inscrits sur la liste est également interdite.

D’où la nécessité de mettre régulièrement à jour les fichiers susceptibles d’être loués ou cédés.

Le contrôle du respect de ces obligations est assuré par les services de la direction générale de la concurrence, de la consommation et de la répression des fraudes du ministère de l’économie, de l’industrie et du numérique.

Conformément à l’article 39 de la loi, toute personne peut demander au responsable de traitement la communication, sous une forme accessible, des données à caractère personnel la concernant ainsi que toute information quant à l’origine de celles-ci. Le droit de rectification s’exerce dans les conditions prévues à l’article 40 de la loi.

La CNIL anticipe l’application du Règlement européen sur la protection des données à caractère personnel.

S’agissant des cookies, la CNIL a également apporté des précisions :

Les cookies de mesure d’audience peuvent être déposés et lus sans recueillir le consentement des personnes lorsqu’ils remplissent les conditions visées à l’article 6 de la délibération n° 2013-378 du 5 décembre 2013, portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

De manière générale, pour l’ensemble des traitements mis en œuvre pour les finalités définies à l’article 2 de la présente norme qui utilisent des données collectées par le biais des technologies visées à l’article 32-II de la loi, la présente norme renvoie aux recommandations de la délibération n° 2013-378 du 5 décembre 2013 susvisée.

Lorsque l’utilisation d’un service de communication au public en ligne donne lieu à la création d’un compte par l’utilisateur, les données doivent être effacées dès que le compte est supprimé, sous réserve des exceptions listées à l’article 5 de la présente norme.

S’agissant des comptes n’étant plus utilisés depuis un certain laps de temps par l’utilisateur, un délai doit être fixé pour déterminer la durée à partir de laquelle ces comptes doivent être considérés comme des comptes inactifs. Au terme de ce délai, les données relatives au compte inactif doivent être supprimées. Le responsable de traitement doit avertir l’utilisateur par tous les moyens disponibles avant de procéder à cette suppression et lui donner la possibilité de manifester sa volonté contraire. Il est envisageable que la personne concernée donne son consentement spécifique pour que tout ou partie des données soient archivées par le responsable de traitement, pour une durée déterminée et raisonnable, en vue d’une réactivation future du compte.

Le laps de temps au terme duquel un compte doit être considéré comme inactif doit être défini par le responsable de traitement conformément aux dispositions de l’article 6 (5°) de la loi du 6 janvier 1978 modifiée. A titre indicatif, une durée de deux ans semble par exemple appropriée pour un compte créé sur un site de rencontres.

Dans tous les cas, le responsable de traitement doit ménager la possibilité pour la personne concernée d’exercer ses droits si des données à caractère personnel la concernant restent traitées indépendamment de la clôture du compte et de la suppression des données de celui-ci.

S’agissant de la sécurité

Pour déclarer que les traitements sont conformes à la norme simplifiée, il est désormais précisé que :

  • Les mots de passe ne doivent pas être stockés « en clair »,
  • Le transit des données doit faire l’objet de mesures techniques « visant à rendre ces données incompréhensibles à toute personne non autorisée » (par exemple, protocole HTTPS),
  • De manière générale, s’agissant de mesures de sécurité à mettre en place pour les données relatives aux cartes bancaires, la présente norme renvoie vers l’article 5 de la délibération n° 2013-358 du 14 novembre 2013 susvisée.
  • Concernant les pièces d’identité, celles-ci ne doivent être accessibles qu’à un nombre de personnes restreint, et des mesures de sécurité doivent être mises en œuvre afin d’empêcher toute réutilisation détournée de ces données (apposition d’un marquage spécifique, fourniture du seul recto de la pièce d’identité et photocopie en noir et blanc par exemple).

S’agissant des transferts de données à l’étranger

Il est désormais précisé, dans la nouvelle NS 48, qu’elle couvre notamment les transferts de données vers l’étranger qui « s’effectuent à destination d’un pays reconnu par la Commission européenne comme assurant un niveau de protection adéquat en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue de négociations avec la Commission européenne, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes » ou qui sont « encadrés par les clauses contractuelles types de la Commission européenne ou par des règles internes d’entreprise (« Binding Corporate Rules », ou BCRou des clauses contractuelles ad hoc dont la CNIL a préalablement reconnu qu’elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.

Pascal Alix, Avocat et CIL