Protection des Données à Caractère Personnel PDF
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document discusses personal data protection in the European Union. It includes a review of key legislation and concepts related to data protection.
Full Transcript
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL → enjeu de mise en conformité des entreprises au RGPD Le droit de la protection des données à caractère personnel trouve son origine dans le droit au respect de la vie privée. (Ce droit a été conceptualisé en 1899 dans un article de la Harvard Review) La...
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL → enjeu de mise en conformité des entreprises au RGPD Le droit de la protection des données à caractère personnel trouve son origine dans le droit au respect de la vie privée. (Ce droit a été conceptualisé en 1899 dans un article de la Harvard Review) La consécration de ce droit comme autonome n’existe que depuis les années 50 (hyper récent). La naissance de l’informatique va démarrer l’histoire de cette matière, notamment et surtout le terme de « donnée » à protéger (avant l’on ne parlait que des informations) Définition donnée : « terme mathématique : certaines choses ou quantités, qu’on suppose être données ou connues et dont on se sert pour trouver d’autres qui sont inconnues et que l’on cherche ». Informatique : contraction de « information » et « automatique » : application de procédés automatisés Ce sont les dangers de l’informatiques qui sont à l’origine de l’idée de protection de ces données. Les ordinateurs calculent des informations avec des bases de données qu’ils stockent de manière indéfinie. La loi « informatique et liberté » est donc un projet qui visait à s’opposer au projet Safari de l’État français qui voulait ficher tout le monde. Aujourd’hui, ces dangers sont exacerbés par l’apparition d’Internet et des courriels, ce qui permettait de fouiller les mails d’autrui. Puis vînt le téléphone portable que l’on peut espionner et surtout le smartphone qui contient l’intégralité de notre vie privée. (La législation a suivi l’évolution de ces dangers (directive de 1995 de la CE et le RGPD)) Cependant aujourd’hui on assiste à la prise d’ascendant de pouvoir du droit de la protection des données par rapport à la vie privée. ➔ Il faut faire la différence entre la vie privée et les données personnelles et ne pas amalgamer ces deux domaines. I. Principaux textes et leurs champs d’application II. Les acteurs III. Les principes structurants IV. Droit des personnes concernées V. Mise en conformité VI. Transferts internationaux VII. Aspects contentieux 1 Chapitre 1 : Principaux textes et leurs champs d’application Section 1 : Évolution des textes - la première loi fût suédoise (11 mai 1973) - suivie d’une loi de la RFA (1976). • Loi Informatique et Liberté du 6 janvier 1978 Dans cette loi on retrouve des principes comme : - l’idée d’autorisation préalable nécessaire pour des traitements par une personne publique - la nécessité d’une déclaration pour les traitements réalisés par d’autres personnes - Octroie des droits aux individus (opposition, modification, suppression etc…) - Dispositions spéciales pour les données relatives aux origines raciales ou opinions politiques - « Aucune décision de justice impliquant une appréciation du comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé » Cette loi fut un succès, à tel point qu’elle a inspiré la • Directive européenne 95/46 du 24 octobre 1995 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » Le législateur français a donc évidemment transposé cette directive : loi du 6 août 2004 : - Augmentation des pouvoirs de contrôle a posteriori de la CNIL et la limitation des contrôles a priori - Renforcement des pouvoirs de la CNIL - Création du CIL (correspondant informatique et liberté) - Introduction du principe selon lequel la durée de conservation des données doit être proportionnelle à sa finalité (art. 6) - Introduction d’exceptions nouvelles à l’interdiction de traiter des données sensibles (origines raciales, santé, opinion…) (art. 8) - Introduction du principe d’interdiction du transfert des données à caractère personnel vers un État n’appartenant pas à la Communauté Européenne (si niveau protection pas suffisant) Entretemps : adoption de la Charte des Droits Fondamentaux de l’UE en 2000, surtout l’article 8 2 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. S’ensuivent l’évolution des technologies (installation d’internet, le commerce électronique, l’avènement du smartphone, les réseaux sociaux et la monétisation des données etc…) Pour pallier aux distinctions au sein des pays de l’UE suite à la transposition de la directive 95, l’UE a jugé nécessaire d’adopter un règlement européen • RGPD + Directive nº 2016/860 « Police Justice » (27 avril 2016) • Loi du 24 janvier 2016 en France → modernisation des données relatives à la santé • Loi du 7 octobre 2016 (« république numérique ») → a élargi les pouvoirs de la CNIL • Loi du 20 juin 2018 → tire les conséquences du RGPD car elle modifie la CNIL pour la rendre conforme au règlement (devient instance de contrôle) et pour fixer la position française sur les questions laissées ouvertes aux États membres • Ordonnance du 12 décembre 2018 (refonte de la loi de 1978 pour la rendre + lisible) • Décret du 29 mai 2019 (décret d’application loi 1978) Mais il existe déjà une législation spécialisée malgré l’apparition du RGPD (loi de 2016 par exemple) De plus il existe des recommandations et lignes directrices émanant de - Autorité de contrôle nationales (CNIL p.ex) - Comité Européen sur le contrôle des données (CEPD) Ces textes sont certes des recommandations, mais ils ont l’effet de décret d’application (toujours obligatoire). Techniquement ces textes sont dépourvus de valeur coercitive, mais en pratique ils l’ont. • Règlement du 23 octobre 2018 sur les traitements de données à caractère personnel par les organes de l’UE… • Conventions internationales ➢ CEDH ➢ Convention 108 (ratifiée par 47 pays du Conseil de l’Europe et des pays tiers) Cette convention vient d’être révisée (Convention 108+) Alors que la convention 108 a inspiré la RGPD, le RGPD a à son tour inspiré 108+, ce qui a permis de diffuser des règles européennes hors de l’Europe (île Maurice par exemple). 3 • Projet de règlement e-Privacy : doit uniformiser les règles européennes en matière de communication électronique (débat sur pédopornographie et les cookies entre autres) - Actuellement directive 2002/58 du 12 juillet 2002 « concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques » Quels changements avec le RGPD ? - Met à jour et unifie les dispositions d’autrefois en + d’introduire des nouveaux points Mais le RGPD est plus une évolution qu’une révolution ! • Réduction des lourdeurs administratives (passage du système de déclaration préalable à un traitement de responsabilité : « accountability ») • Approche basée sur les risques (tests de proportionnalité) : mais pour certains traitements, c’est à moi d’estimer les risques de mes actions (balance à effectuer) • Meilleure prise en compte de la confidentialité des données à la conception des traitements (AIPD, confidentialité par défaut, etc.) • Renforcement des conditions de validité du consentement (si requis) • Obligation généralisée de notification en cas de violations de données à caractère personnel • Encadrement de l’utilisation du profilage • Meilleure prise en compte et responsabilité accrue des sous-traitants • Rôle important des Délégués à la protection des données (ex. CIL) • Nouveaux droits pour les personnes concernées (ex. légalisation droit à l’oubli, droit à la portabilité des données) • Organisation des autorités de contrôle : guichet unique avec une autorité chef de file • Augmentation sensible des sanctions • Élargissement du champ d’application territorial du dispositif de protection (champ d’application extra-territorial du RGPD dès lors que les personnes concernées ont une influence en UE). Quid des spécificités de la directive « Police-Justice » ? • Pourquoi cette directive existe-t-elle ? C’est lié à la spécificité du droit pénal → les mis en enquête n’auront pas les mêmes droits contre le système pénal que ceux que l’on pourrait en avoir contre un GAFA par exemple 4 Donc la directive adapte ces idées dans le considérant 49 Principes généraux = ceux du RGPD, mais adaptés à la nécessité de l’enquête ! • Pourquoi ne pas intégrer ces principes au RGPD ? Les compétences de l’UE en matière pénale sont limitées (compétences de coordination, coopération, mais ø uniformisation) La directive est donc ici bien + adaptée qu’un règlement (- brute) • Fondement de la règlementation européenne des données en la matière ➢ Article 16 § 1 TFUE : (à copier) ➢ Article 87 TFUE : (à copier) Considérants de la directive : « faciliter le libre flux des données à caractère personnel entre les autorités compétentes » en matière pénale « assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel etc… » Mais il ne faut pas oublier que les autorités pénales compétentes seront parfois amenées dans le cadre des traitements d’appliquer le RGPD car l’affaire échappe au champ d’application de la directive (cauchemardesque pour les autorités en question) Section 2 : Champ d’application des textes Précisions opportunes pour 2 textes : le RGPD & la directive Police-Justice I/ Le RGPD A. Champ d’application matériel 1. Définition positive du champ d’application Article 2 § 1 : « Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». → 2 concepts cruciaux : traitement et données à caractère personnel a) Donnée à caractère personnel Définition Article 4 § 1 : « données à caractère personnel », « toute information se rapportant à une personne physique identifiée ou identifiable » (ci-après dénommée « personne concernée » : en anglais « data subject »). 5 Décortiquons : 1- Le RGPD ne s’applique qu’aux personnes physiques Mais les personnes morales disposent néanmoins d’autres protections : ➢ Directive 2002/58/CE (e-privacy) → intérêts légitimes des personnes morales à se voir protégée ➔ Projet de règlement e-privacy alignerait le droit des personnes physiques à celui des personnes morales La CEDH accepte depuis longtemps (Article 8 CEDH) que des personnes morales puissent se prévaloir du respect de certains aspects du droit au respect de la vie privée (comme le secret des correspondances) (≠ pour la Cassation). L’article 52 de la CDF énonce à son alinéa 3 que les droits conférés par la charte sont les mêmes que ceux de la CEDH. 2- Le RGPD ne s’applique qu’aux personnes vivantes ➔ Le droit au respect de la vie privée s’éteint le jour du décès ! Néanmoins les États membres peuvent légiférer comme ils le veulent sur cette question et faire comme bon leur semble dans ce silence législatif. Loi pour une République numérique : Art. 86 à 88 de la loi informatique et liberté : on peut confier des directives à un tiers concernant le traitement des données après son décès. → À défaut, les héritiers peuvent exercer les droits de la personne décédée dans les mesures nécessaires à l’organisation et au règlement de leurs successions, afin d’obtenir des biens numériques appartenant à des souvenirs de famille & afin de faire prendre en compte le décès du proche. Si le RGPD ne s’applique pas aux décédés, ce jeu de données peut quand même être protégé à travers des personnes vivantes. Question : Le RGPD s’applique-t-il aux enfants à naître ? → 2 courants (ø de personnalité juridique vs. Maxime romaine) La Cour de Cassation, arrêt du 14 décembre 2017, a redonné ses lettres de noblesse au 2nd courant au fil des dernières années, ce qui concrétise le débat. De plus, il s’agit de revoir l’article 4 § 1 « toute information se rapportant à la personne » : comme la donnée se rapporte à l’enfant à naître, donc l’extension du infans conceptus serait envisageable. Quid avant la naissance ? Les données pourraient être protégées à travers la protection de la mère ➔ mais ses données génétiques lui sont propres ! Quel statut conférer à ces données ? • Option 1 : Aucune protection avant la naissance • Option 2 : protection anticipée conforme au RGPD (sauf si l’enfant ne nait ø vivant et viable) 6 3- Le RGPD s’applique à « toute information » dès lors qu’elle concerne une personne identifiée ou identifiable : • Informations objectives (taille etc…) • Informations subjectives (commentaire sur ma personne etc…) • Informations écrites, photos, vidéos • Informations relatives à la vie personnelle • Informations relatives à la vie professionnelle 4- Le RGPD s’applique à la donnée à caractère personnel peu importe le support de son information • Numérique • Analogique (papier, vinyle etc…) NB : le papier ne compte que s’il est classé & si c’est moi qui ai écrit, cela pourra aussi me concerner ! 5- L’information doit se rapporter à une personne physique « identifiée ou identifiable » Idée : Soit la donnée permet, soit elle peut permettre ou y concourir à singulariser une personne parmi d’autres. • Personne identifiée : identification découle de la consultation de la donnée (photo, noms distinctifs) Ici c’est la taille de l’échantillon qui compte (ø le cas avec le nom Jean Martin p.ex) • Personne identifiable : 2 cas de figure 1er cas de figure : je peux remonter à l’identité de la personne en croisant les données que j’ai avec une autre base de données (exemple : numéro de sécurité sociale, pseudo, adresse IP, géolocalisation, métadonnées etc…) 2nd cas de figure : n’aboutissent ø à l’identification précise d’une personne en cas de croisement de base de données, mais permettent de cerner/singulariser une personne unique inconnue (exemple : la personne achète du shampooing pour cheveux blonds). → permet de connaître toute forme de trace qu’une personne laisse. Exemples : La voix, éléments relatifs au psychisme (test de Rorschach), mais surtout le webtracking ! Considérant 26 du règlement évoque cependant des « moyens raisonnablement susceptibles d’être utilisés »: (…) Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. (…) il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. (…) » 7 ➔ Ici on parle bien sûr des États, qui ont bcp plus de moyens que le commun des mortels Une donnée qui ne remplit ø les conditions de l’article 4 § 1 RGPD se trouve ipso facto constituer une donnée à caractère non personnel (Règlement 2018/1807 du 14 novembre 2018) • Donnée n’ayant jamais eu le caractère de donnée personnelle • Données anciennement à caractère personnel mais qui ont fait l’objet d’une anonymisation Un pays n’a pas le droit de restreindre le libre flux des données à caractère non personnel. b) Un traitement Article 4 § 2 : traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ». ➔ Absolument TOUT rentre dans cette définition De plus il faut s’attarder sur « effectuées ou non à l'aide de procédés automatisés » • Un traitement automatisé concerne tout traitement dans lequel la main humaine n’intervient pas. • Un traitement non-automatisé concerne tout traitement fait à la main. Quid du terme fichier ? (revoir Article 2 § 1) Le terme de fichier ne doit ø être compris dans son sens informatique, mais dans son sens historique (lieu où l’on rassemble des fiches), en anglais, « filing system ». Article 4 § 6 RGPD : fichier : « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». La CJUE a précisé les contours du terme fichier dans une décision du 18 juillet 2018 (Johovan todistajat). Les notes que les témoins de Jéhovah pouvaient-elles être qualifiées de fichier au sens de la directive de 1995 (à l’époque). Selon la CJUE, le critère et la forme sous lesquelles sont structurées les données sont sans importance, dès lors que l’ensemble de donnée permet de retrouver facilement les données d’un individu. → revient à expurger de la notion de fichier le concept de structuration. 2. Les traitements échappant au RGPD - Traitement effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’UE ». 8 Article 6 § 2 du TFUE : on ne peut pas se fonder sur les droits fondamentaux pour étendre les compétences de l’UE (donc ø CDF) De plus, certains domaines relèvent de la compétence de l’UE, mais les traitements impliqués relèveront du règlement 2018/1/1725 du 23 octobre 2018 Donc il faut tourner son regard vers les traités : le TFUE cite plusieurs compétences ➢ Compétences exclusives de l’UE (impliquant l’application du RGPD): L’union douanière, la politique commerciale commune etc… ➢ Compétences partagées de l’Union (impliquant l’application du RGPD si traitement) : la politique sociale, la santé publique, aide humanitaire etc… ➢ Compétences d’appui (RGPD si traitement) : protection civile, la jeunesse, la coopération administrative etc… ➔ Le champ est extrêmement vaste ! Tous les domaines importants de la vie d’une personne physique sont concernés par le droit de l’UE. Qu’est-ce qui n’est pas concerné par le droit de l’UE ?: - Les activités de renseignements des États - Le traitement des données par un Parlement sur ses parlementaires - Traitement effectué « par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du TFUE » (politique étrangère et de sécurité commune / PESC). Tout ce qui concerne la PESC = échappe au RGPD. - Traitement effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou physique ». Exemple : fiche de contacts de mon téléphone, albums photos, activité de prêche, ma caméra personnelle qui filme une partie de l’extérieur (sauf si cela filme un peu dehors, alors RGPD). Néanmoins d’autres normes doivent aussi être respectées même si elles ne font pas partie du RGPD (secret des correspondances etc…). - Tous les traitements effectués dans le champ de la directive Police Justice B. Champ d‘application territorial Pour qu’un traitement soit soumis au RGPD, il faut qu’il ait un certain lien avec le territoire européen. Le règlement emploie l’expression « territoire de l’Union ». ⇨ En réalité, le territoire concerné est plus largement celui de l’Espace économique européen (les pays de l’UE augmentés de l’Islande, de la Norvège et du Lichtenstein.) 9 Le champ d’application territorial du RGPD est couvert par son article 3 prévoyant trois critères de rattachement : 1) Soit le traitement est réalisé dans le cadre d’un établissement de l’Union 2) Soit il cible des personnes concernées se trouvant dans le territoire de l’Union 3) Soit il est le fait d’un responsable de traitement situé dans un lieu dans lequel le droit de l’UE s’applique 1. L’activité d’un établissement sur le territoire de l’Union Hypothèse classique mais sa mise en œuvre suscite un certain nombre de difficultés. L’article 3.1. RGPD dispose qu’il s’applique à toute personne physique ou morale dont l’établissement est situé sur le territoire de l’Union, même si le traitement a lieu en dehors de l’Union et indépendamment de la situation géographique des personnes concernées. ⇨ Dans une telle hypothèse, on doit remplir une des conditions du Chapitre V du RGPD gérant le transfert de données vers le pays tiers. La notion d’établissement, contrairement à celle d’établissement principal, n’est pas définie par le RGPD. Mais il recèle néanmoins dans son considérant 22 la définition d’un établissement. ⇨ L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La CJUE a eu l’occasion de préciser sous l’empire de la directive de 1995 comment il convient d’entendre la notion d’établissement, repris par le CEPD. Elle adopte une vision souple, écartant toute approche formaliste : ⇨ Elle considère que la simple présence d’un représentant peut suffire à constituer un établissement Ce qui compte est : a) Une stabilité de l’installation b) Une réalité de l’exercice de celle-ci sur le territoire → toute activité réelle et effective, même minime, exercée au moyen d’une installation stable. Dans l’Affaire Google Spain, il était considéré que la société Google Spain, filiale en charge des activités publicitaires de Google, se livrait à l’exercice réel et stable d’une activité, à savoir vendre de la publicité sur le territoire espagnole. Si ce critère défaille, l’article 3.1 RGPD défaille. Le simple fait qu’un site internet propose des choses aux personnes qui sont sur le territoire de l’UE n’emporte pas nécessairement son application. La qualification d’un établissement du responsable de traitement ne suffit pas à caractériser à elle-seule l’applicabilité de cet article. Il faut également caractériser que les traitements concernés sont effectués dans le cadre des activités de l’établissement. Pose la question de savoir ce que recouvre l’expression « dans le cadre des activités ». 10 La CJUE considère que l’expression ne saurait recevoir une interprétation restrictive, afin d’assurer la plus grande protection des personnes concernées. - N’implique pas que ce traitement soit réalisé par l’établissement en question - N’implique pas que le traitement ait lieu sur le territoire de l’Union = Seul compte le lien fonctionnel entre l’établissement et le traitement Dans l’Affaire Google Spain (CJUE ; 13 mai 2014) la question était d’apprécier les rapports respectifs de la filiale avec la société mère. La CJUE recourt au concept de lien indissociable : « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné son indissociablement liées ». Conception du CEPD de l’expression « dans le cadre des activités » de l’établissement : - « Liens inextricables » entre les activités de traitement hors UE et les activités de l’établissement - « Levée de recettes sur le territoire de l’Union » 2. Le ciblage de personnes concernées se trouvant sur le territoire de l’UE L’hypothèse est la grande nouveauté et est régie par l’article 3.2 RGPD. Article 3.2. RGPD = « Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées : a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. » Contrairement à l’article 3.1, l’entité n’a aucune forme d’établissement dans l’UE. C’est le fait qu’elle traite des données en lien avec les personnes situées dans l’UE qui va déclencher l’application du RGPD. L’article 3.2 réalise une application extraterritoriale du règlement, principe sous l’impulsion des EU en droit des sociétés. Le problème est que si tout le monde fait cela, c’est l’anarchie : les règles de deux pays peuvent être contraires. a) Première hypothèse : entité qui « offre des biens et des services à des personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ». L’offre qui est en question est majoritairement une offre à distance (par internet) le responsable de traitement n’étant pas établi dans l’Union. Il faut réserver l’hypothèse de l’offre faite en direct par une personne physique, entrant dans le champ de l’article 3.2 : la personne ne doit pas être qualifiée de représentant au sens de l’article 3.1. Question : comment déterminer que l’offre est faite à des personnes situées dans le territoire de l’UE ? Le considérant 23 RGPD suggère des facteurs à regarder pour le déterminer : - L’utilisation d’une langue, d’une monnaie d’usage courant dans un ou plusieurs Etats membres La possibilité de commander des biens dans cette langue 11 - Mention d’utilisateurs situés dans l’UE - Le site permet une livraison dans un pays qui est dans l’UE Pose des difficultés pour les sociétés mondiales : il faut respecter autant de droits à caractère personnel qu’il n’y a de pays dans lesquels elles vendent. • Si le traitement réalisé s’adresse à des personnes situées à l’extérieur de l’Union, mais que ces personnes ultérieurement pénètrent sur le territoire de l’UE tout en continuant à utiliser ce service, cela ne déclenche pas l’application du RGPD. Exemple : Je suis une chaine de télévision néo-zélandaise et mon service est accessible à toutes les personnes en Nouvelle-Zélande. Si un des utilisateurs passe ses vacances en France en regardant cette chaîne, cela ne déclenche pas le RGPD. • Si le traitement ne concerne pas l’offre de biens et de services, ce traitement ne relève pas en principe de cette première hypothèse. Exemple : une entité étrangère traite des données de ses employés français et italiens pour verser leur salaire. Nous ne sommes pas dans le cadre de l’article 3.2.a : la gestion des ressources humaines n’est pas l’offre de biens et de services. b) Deuxième hypothèse : lorsque les activités sont liées au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. L’hypothèse est celle d’internet et le considérant 24 le dit clairement. Exemple : une entreprise de ciblage publicitaire brésilien qui étudie le comportement de personnes situées dans le territoire de l’UE relève de l’article 3.2.b Rien n’implique de restreindre les hypothèses à un suivi comportemental d’internet. D’autres technologies ou réseaux permettent un pistage de personnes situées dans le territoire de l’UE (ex d’un suivi réalisé exclusivement via satellite). Un responsable de traitement aura du mal à faire comprendre qu’il ne voyait pas que la personne se trouvait sur le territoire de l’UE. L’adresse IP, la géolocalisation permet de voir que la personne est située sur le territoire de l’UE (sauf VPN qui reste anecdotique). Il faut avoir égard à la finalité du traitement. Le simple fait de collecter des données sur une personne ne suffit pas, il faut déceler que la finalité de la collecte et du traitement est bien une détermination comportementale, un profilage de la personne. Exemple : le simple fait de collecter l’adresse IP d’une personne ne suffit pas, ce n’est pas un suivi. Mais si on peut déterminer une grande partie des sites internet visités par l’adresse IP, il s’agit d’un profilage. Le CEPD a pris la peine de citer des exemples pouvant constituer un suivi :x - La publicité comportementale - Les activités de géolocalisation, en particulier à des fins de commercialisation - Les services personnalisés d’analyse de l’alimentation et de la santé en ligne - La télévision en circuit fermé, cad en réalité la vidéosurveillance 12 - Les études de marché et autres études comportementales basées sur des profils individuels - La surveillance de l’état de santé d’une personne ou l’établissement de rapports réguliers connexes - Le suivi en ligne grâce à l’utilisation de cookies ou d’autres techniques de suivi telles que la prise d’empreintes digitales Les responsables du traitement et sous-traitants concernés par l’article 3.2 doivent désigner un représentant dans l’UE : (comme ils n’y sont ø implantés) : - Il s’agit d’un point de contact pour les autorités de contrôle et les personnes concernées. - Il doit être établi dans un pays de l’UE où sont situées les personnes concernées par les traitements de l’article 3.2 - Sa désignation n’est pas obligatoire dans quelques cas 3. Établissement du responsable de traitement dans un lieu qui applique le droit d’un EM Article 3.3 RGPD = « Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public » • Le traitement est réalisé dans une ambassade ou un consulat d’un Etat membre de l’Espace économique européen. Tout au plus le pays peut être propriétaire de son ambassade, mais il ne s’agit pas de son territoire. La Convention de Vienne (1961) sur les relations diplomatiques dispose que l’Etat accréditaire doit soit faciliter l’acquisition, soit trouver une autre manière de lui procurer les locaux (ex louer). La protection dont jouit l’ambassade tient de l’article 22.1 de la Convention disposant que ces locaux sont inviolables : il s’agit d’une immunité qui protège les ambassades. ➔ Ces locaux se gèrent librement : c’est pourquoi le droit de l’Etat membre s’applique. • Le traitement réalisé en haute mer sur un navire battant pavillon d’un Etat-membre. Sur le navire s’applique la loi du pavillon selon la Convention de Montego Bay (1973). → Alors, le RGPD devra être appliqué. II/ La directive police-justice Champ d’application matériel de la directive police-justice Article 2 Directive Police-Justice = « 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er. Article 1-2§1 « La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » → Renvoi vers RGPD. A. Critère de l’autorité compétente 13 L’autorité compétente est celle qui est juridiquement compétente pour réaliser les fins sur lesquelles porte la directive. Pour la nature de l’autorité l’article 3.8 retient que ce peut être : 1) Une autorité publique 2) Tout autre organisme ou entité à qui le droit d’un Etat membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique B. Critère de la finalité Le critère de la finalité s’opère à deux niveaux dans la directive : 1) Il faut qu’un traitement donné soit effectué par une autorité compétente pour réaliser les finalités visées dans la directive ; 2) Le traitement lui-même doit poursuivre ces finalités. Un traitement réalisé par une autorité compétente, juridiquement habilitée, pourra ne pas tomber dans le champ de la directive car le traitement n’a rien à voir avec cette finalité (ex gestion ressources humaines) Quelles sont les finalités ? L’article 1er dispose : « A des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Ces termes incluent : - La police judiciaire - La gendarmerie - Les agents des douanes Ces termes excluent : - Les services de renseignement des Etats membres - Le contrôle aux frontières, asile, immigration On pense à l’activité : - Ministère public (pour la poursuite) - L’application des peines - L’activité de jugement n’est pas exclue de la directive d’après les considérants Le considérant 80 prévoit toutefois que la compétence de ces autorités de contrôle ne devrait pas s’étendre au traitement des juridictions dans le cadre de leur activité juridictionnelle. Ce considérant offre au Ministère public la même idée. Les traitements réalisés dans le processus juridictionnel doivent être distingués de ceux contenus dans le jugement. Ce qui est écrit dans le jugement échappe à la directive et relève de l’article 10 RGPD « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ». 14 Chapitre 2 : Les acteurs Introduction On a déjà vu la personne concernée, quatre acteurs : 1) Les responsables de traitement et les sous-traitants 2) Le délégué à la protection des données 3) Les autorités de contrôle 4) Le Comité européen de la protection des données (CEPD) Section 1 : Responsables de traitement ou sous-traitants I/ Le responsable de traitement La distinction d’un responsable de traitement d’un sous-traitant s’impose comme une distinction majeure depuis l’avènement de la directive de 1995. Cette distinction repose sur une approche facile à concevoir : une personne qui a l’initiative d’un traitement et qui en porte la responsabilité et une personne qui n’a qu’un rôle d’exécution de ce traitement. Elle est en réalité délicate à mettre en œuvre. Les lignes directrices n’apportent qu’une facilité modérée pour les praticiens, la CEPD fait de même et la Cour de justice a une conception large des responsables de traitement floutant les bords de la distinction. L’article 4.7 RGPD = Le responsable de traitement est « La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Article 3.8 Directive Police-Justice = « L’autorité compétence qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Dans le cadre de la Directive Police-Justice, on lui assigne un rôle par la loi qui encadre sa mission. Le responsable de traitement s’oppose au sous-traitant qui est la personne qui « traite les données à caractère personnel pour le compte du responsable de traitement ». Les qualifications de responsable de traitement ne sont pas disponibles : les parties au contrat ne peuvent pas s’attribuer le rôle de responsable de traitement ou de sous-traitant comme elles l’entendent. Une requalification sera faite par l’autorité de contrôle ou par la juridiction en fonction de ce qu’elle voit. L’entité (A) doit avoir un pouvoir de détermination (B) des finalités et des moyens du traitement (C), déclenchant les obligations du responsable de traitement (D). A. Nature de l’entité Article 4.7 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement ». Lignes directrices CEPD 07/2020 : il n’y a pas de limitation quant au type d’entités qui peut endosser le rôle de responsable de traitement. 15 Mais ne faut-il pas au moins que l’entité ait la personnalité juridique ? Même s’il y a l’idée de service, cela ne rime pas nécessairement avec l’idée de personnalité morale. On trouve parfois des entités désignées comme telles qui n’ont pas la personnalité morale. Même si l’on dit qu’il n’y a pas besoin de personnalité morale dans les faits ou dans les textes, la seule entité capable de payer des potentiels dommages-intérêts est bien une personne morale. Selon les lignes directrices, on voit que ce qui intéresse est le secteur privé, avec une idée d’une personnalité juridique. Le CEPD dans une ligne directrice dit qu’une simple unité opérationnelle ou un simple service d’une entreprise ne saurait endosser la qualité de responsable de traitement car ces entités ne sont pas autonomes. Exemple : le département marketing d’une société travaille pour le compte d’une entreprise qui est le véritable responsable de traitement. Mais il se trouve que la CJUE a considéré qu’une personne physique pouvait être responsable de traitement aux côtés d’une personne morale, alors même que leurs intérêts sont alignés (arrêt sur les témoins de Jéhovah) B. Le pouvoir de détermination du responsable de traitement Ce pouvoir doit être relié à des éléments clé du traitement Il sera le + souvent de source factuelle (1), mais il pourra également être de source légale (2). 1. Pouvoir de source factuelle Ici l’on a un constat que l’entité remplit les critères matériels de la qualification de responsable de traitement: pouvoir de déterminer les finalités et les moyens du traitement. Exemple : syndicat de copropriété, coiffeurs, magasin d’alimentation (carte de fidélité par exemple) ou un loueur de voiture. Ici la personne qui a l’initiative de demander à l’autre de lui transmettre des données est assez clairement désignée. ⇨ Mais il ne faut ø confondre l’initiative de réaliser un traitement et le fait de demander un service dont l’exécution pourra requérir un traitement de données ! Ces personnes qui interviennent lors de ce traitement peuvent-elles être qualifiées de responsable conjoint de traitement ou de sous-traitant ? a. La détermination de l’existence d’un responsable conjoint de traitement Cette notion est plutôt compliquée à appliquer en pratique, pourtant sa définition est claire, Article 26 RGPD « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints de traitement ». 16 ➔ Mais comment interpréter conjointement ? En anglais l’on parle de « joint controllers », mais il faut éclaircir le terme français : Interprétation immédiate du terme conjoint : Il faut une décision commune quant aux finalités et moyens du traitement (exemple : 2 associations étudiantes recueillent des informations de personnes intéressées à participer à leur soirée d’intégration). Mais en pratique l’on se trouvera souvent dans des situations où 2 entités ne se sont pas réellement concertées, mais elles auront des intérêts convergents à réaliser un traitement : ➢ Intérêts convergents au traitement Attitude de la CJUE : - Le RGPD donne une définition large du responsable de traitement visant à assurer une protection complète et efficace des personnes concernées. - Dans la JP de la CJUE, elle tend à qualifier de responsable conjoint des personnes dont les finalités propres se rejoignent à l’occasion d’un traitement, dès lors qu’ils utilisent les mêmes moyens pour réaliser le traitement Arrêt Wirtschaftsakademie (CJUE 5 juin 2018) : L’administrateur d’une page fan sur Facebook est responsable conjoint de traitement avec Facebook des données traitées par le traceur déposé par Facebook sur l’appareil des visiteurs et qui permet à l’administrateur d’obtenir des statistiques précises et anonymes de visite de la page. • Finalité du gestionnaire de site : améliorer la gestion de la promotion de son activité • Finalité de Facebook : améliorer son service de publicité ➢ Ce traceur sera lu par Facebook et même par d’autres sociétés qui visitent des services de Facebook ou d’autres compagnies Facebook et même d’autres entreprises qui utilisent les services Facebook. Ici la CJUE relève que la création de cette page implique une action de paramétrage … ➔ Par conséquent, l’admin contribue au traitement Cette qualification a été réutilisée dans l’affaire des témoins de Jéhovah : - La communauté et les témoins sont ici des responsables conjoints de traitement Extrait de l’arrêt : « une personne physique ou morale, qui influe à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme responsable de traitement » ➔ Mais ici on voit bien que la Communauté et les témoins agissent de concert. (Il y a un accord tacite sur la finalité et le moyen du traitement) • Donc l’activité de prédication constitue une « forme d’action essentielle de cette communauté, action qui est organisée, coordonnée et encouragée par ladite communauté. 17 Arrêt Fashion ID (CJUE, 29 juillet 2018) : Espèce : L’éditeur d’un site web qui incorpore le bouton « j’aime » de Facebook sur son site afin d’améliorer la visibilité des biens qu’il vend sur le site de ce réseau social est responsable conjoint du traitement avec ce réseau des données traitées par ce module. Ici la CJUE estime : ➢ s’agissant de la détermination des moyens : « Fashion ID semble avoir inséré le bouton tout en étant conscient que celui-ci sert d’outil de collecte et de transmission de données à caractère personnel » (un peu vaseux comme argument) « Fashion ID influe sur la collecte de données » car si l’éditeur n’avait pas inséré le bouton sur sa page, aucune collecte ou transmission n’aurait lieu. ➢ quant aux finalités : L’avantage commercial poursuivi par Fashion ID est la publicité que lui procure Facebook (…). « Ainsi Fashion ID semble avoir consenti, à tout le moins implicitement, à la collecte et la transmission de ses données depuis son site (…) (Ici on consacre l’intérêt économique commun des parties à l’opération) Ces arguments sont assez fragiles, leurs finalités sont ≠, même si chacun y trouve un intérêt économique. Le CEPD a mis à jour en 2021 les lignes directrices concernant les responsables de traitement et les sous traitants : • critère de la décision commune • critère de la décision convergente (CJUE) précisions : - lorsque les décisions se complètent l’une l’autre ont un impact tangible sur la détermination des finalités et de moyens de traitement - Une responsabilité conjointe peut aussi être caractérise lorsque les entités poursuivent des finalités ≠, mais qui sont étroitement liées ou complémentaires - « Le traitement ne serait ø possible sans la participation des deux parties aux finalités et aux moyens en ce sens que le traitement par chacune des parties est inséparable, intrinsèquement lié » ≠ sous-traitant, qui ne traite pas pour ses finalités propres mais pour le compte du commettant. Le responsable conjoint a une « finalité qui lui est propre en rapport avec le traitement commun » • ø besoin que chacun des responsables ait détenu tous les moyens du traitement • ø besoin que chacun des responsables ait accès à l’ensemble des données 18 • Mais il faut distinguer la responsabilité conjointe de la responsabilité autonome ! C’est ici que les choses se compliquent • Les responsables conjoints de traitement n’ont pas forcément de responsabilité identique (ø de solidarité) Conséquences de la qualification des responsables conjoints de traitement ➢ Obligation de définir « de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences » du RGPD ou de Police-Justice - S’entendre sur la manière dont les personnes concernées pourront exercer leurs droits - S’entendre sur la manière dont les personnes concernées seront informées Point de divergence entre RGPD et Police-Justice ➢ Le contrat conclu doit arrêter les détails de leur rapport et refléter leur rôle respectif ➢ Ils doivent désigner un point de contact commun ➢ RGPD : droit de la personne concernée d’obtenir les grandes lignes de l’accord/contrat b. Délimitation du rôle d’un responsable de traitement et d’un sous-traitant ⇨ En théorie, le sous-traitant n’a aucun rôle dans la détermination des finalités Mais pour le CEPD, cela implique que l’entité responsable soit celle qui exerce une « influence décisive » sur les finalités et les moyens de traitement. Influence décisive : le pouvoir de décider de la mise en œuvre du traitement (≠ de l’organisation des modalités concrètes) Exemple du CEPD : les fournisseurs de « cloud » hébergent les données de leurs clients. Pour autant, même si c’est le sous-traitant qui impose les détails, le responsable de traitement sera ici le client (qui adhère librement au contrat et qui a donc l’influence décisive)! 2. Pouvoir de source légale Ici la loi va définir la finalité et les moyens essentiels du traitement, mais aussi la qualité de responsable de traitement d’une entité. ➔ Dans cette hypothèse, la personne désignée comme responsable ne remplit ø les critères matériels qu’on vient de voir ! ⇨ Car ici la loi détermine les moyens et les finalités et va assigner à quelqu’un le rôle de responsable de traitement. Exemple : prélèvement à la source 19 C. Les finalités et les moyens La finalité et les moyens représentent la quintessence de la définition du responsable de traitement. ➢ Finalité : question du pourquoi du traitement : - je veux sécuriser mes locaux contre le vol - je dois envoyer un colis à mon client - servir une prestation sociale - vérifier l’identité d’une personne qui accède à un bâtiment • La finalité permet de déterminer le responsable de traitement (pouvoir factuel : celui qui a déterminé cette finalité). • La finalité commande de nombreux aspects du régime juridique d’un traitement ➢ Moyen : question du comment du traitement - Formulaire papier ou ordinateur - Google Drive ou disque dur ? - Quel algorithme utiliser pour savoir si un client bénéficiera d’une promotion ? - Mailchimp, concurrent ? - Quel logiciel utiliser pour gérer nos RH ? ➔ Rappel : Le responsable va déterminer les moyens comme la finalité ! Nouvel exemple de l’association : sauf que cette fois-ci il faut remplir un Google Form (Google est un sous traitant dans l’opération). Le CEPD, dans ses lignes directrices, indique en toute cohérence avec le RGPD, que : « le responsable de traitement doit déterminer à la fois les finalités et les moyens du traitement » ➔ Problème : en réalité, le responsable pourra certes définir la finalité, mais il demandera souvent à un tiers de se charger des moyens ⇨ Donc le CEPD reconnaît que le sous-traitant pourra avoir un certain pouvoir de détermination des moyens Donc le CEPD invente l’idée de moyens essentiels de traitement : tant que le responsable pourra déterminer les finalités et les moyens essentiels, ça suffit pour la qualification Moyens essentiels : « Moyens étroitement liés à la finalité et à l’étendue du traitement » Liste ø exhaustive : - Le type de données traitées - La durée du traitement - Catégorie de destinataires des données - Catégories de personnes concernées 20 Moyens ø essentiels : « aspects plus pratiques de la mise en œuvre » (exemple : le choix du logiciel, mesures détaillées de sécurité…). Mais dans tous les cas, le responsable de traitement reste responsable de tout ce qui peut se passer à l’issue de ce traitement ! (article 24 RGPD) D. Les obligations d’un responsable de traitement • En général, le RGPD et la directive disposent qu’il est « responsable du respect » des principes généraux relatifs au traitement. • Le responsable doit aussi pouvoir démontrer que ces principes sont respectés ⇨ Obligation de mettre « en œuvre les mesures techniques et organisationelles … » (art. 24.1 RPGD, 19 Dir) • Le responsable a une obligation documentaire : En anglais : « accountability » (responsabilité & tenir des comptes) • Le responsable doit aussi assumer les défaillances de ses sous-traitants • Le responsable ne peut que faire appel à des sous-traitants qui présentent des garanties suffisantes ⇨ Pour autant le sous-traitant reste responsable de ses obligations. §2/ Le sous-traitant Le sous-traitant peut prendre certaines initiatives et les lignes directrices distinguent les moyens principaux du responsable de traitement et les moyens secondaires du sous-traitant. A. La notion de sous-traitant Article 4.8 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Deux critères : 1) Le sous-traitant est une « entité séparée » du responsable de traitement 2) Le sous-traitant traite les données pour le compte du responsable de traitement Le CEPD affirme que quand on est dans un groupe de sociétés, une société peut être sous-traitante d’une autre société du groupe, mais un département d’une société ne peut être sous-traitant de ladite société. Le CEPD admet que le sous-traitant puisse avoir la responsabilité de déterminer les moyens non essentiels Exemple : quel logiciel utilisé pour organiser les données transmises Pour tout le reste, le sous-traitant doit scrupuleusement respecter les limites de sa mission du responsable de traitement. 21 En réalité, c’est le contrat d’adhésion qui présente non seulement les moyens secondaires, mais aussi les moyens principaux selon le Professeur. Le sous-traitant s’expose à une requalification de son rôle dès lors qu’il traiterait des données pour une finalité qui n’est pas déterminée par le responsable de traitement, qui ne résulte pas strictement d’une de ces instructions. Un sous-traitant peut résulter à faire des traitements à titre de responsable de traitement, mais en sa propre qualité de sous-traitant. Exemple : Amazon vérifie l’espace disponible qui reste sur le serveur par un algorithme. Ce traitement est fait pour son propre compte. Question délicate de savoir dans quelles mesures un sous-traitant pourra être qualifier de responsable de traitement, eu égard à la jurisprudence de la CJUE sur la responsabilité conjointe de traitement ? En effet, dès lors qu’il y a des moyens communs mais des finalités séparées, la CJUE y voit des responsables de traitement. B. Les obligations d’un sous-traitant Il existe des obligations pour des sous-traitant, aux articles 28 RGPD et 22 de la Directive. Ils précisent ce qui doit figurer dans le contrat de sous-traitance qui doit être conclu par écrit – fut-il électronique – par le responsable de traitement et le sous-traitant. - Un traitement ne peut avoir lieu que sur instruction documentée du responsable de traitement, sauf obligation légale. - le sous-traitant doit informer le responsable de traitement avant de réaliser le traitement que la loi lui impose et qui n’est pas prévu dans le contrat. - le sous-traitant peut ne pas avertir le responsable de traitement si la loi l’interdit pour des motifs importants d’intérêt public (ex sécurité). - Le sous-traitant doit veiller à ce que toute personne impliquée respecte une obligation de confidentialité. - Le sous-traitant doit prendre les mesures nécessaires pour assurer la sécurité du traitement. Pour beaucoup de traitements usuels, on se repose sur un sous-traitant ayant des compétences techniques, avec des spécialistes. Parmi le bagage technique que l’on attend du sous-traitant, il y a la sécurité. - Le sous-traitant doit aider le responsable de traitement à satisfaire les demandes des personnes concernées qui cherchent à user de leurs droits donnés par le RGPD. → responsable de traitement est démuni s’il est tout seul. 22 Le RGPD dit que le sous-traitant doit aider le responsable de traitement à satisfaire aux articles 32 à 36 RGPD : - La sécurité du traitement - Notifier à l’autorité de contrôle ou à la personne concernée la violation de données Conduite d’une AIPD - Consultation de l’autorité de contrôle Mise à disposition des responsables de traitement de toutes les informations dont il peut avoir besoin pour démontrer qu’il respecte le RGPD et l’informer si un traitement est illégal. Mise à disposition les informations permettant la réalisation d’audits ou d’inspection, réalisés par le responsable de traitement ou par un auditeur. Un sous-traitant peut lui-même recourir à un sous-traitant, soumis aux mêmes obligations : dans ce cas, le sous-traitant doit recueillir au préalable l’autorisation de le faire. Le sous-traitant peut démontrer sa conformité en recourant à des mécanismes de conformité : i. Des Codes de conduite, codes de bonne conduite adoptés pour des secteurs déterminés. Une fois le Code approuvé, les personnes du secteur peuvent adhérer à ce Code qui devient obligatoire pour elles. ii. Des certifications traduisent que les processus sont propres pour les responsables de traitement iii. Les clauses contractuelles types (CCT) destinées à être intégrées dans un contrat et rédigées par des personnes qui donnent autorité à ces clauses contractuelles. Deux types de CCT sont prévues par le RGPD : 1) Par l’autorité de contrôle national (CNIL pour la France) = actuellement que trois autorités l’ont fait 2) Par la Commission européenne = les CCT se substituent de fait aux CCT des autorités nationales Exemple des CCT régissant les rapports responsables/sous-traitant du 4 juin 2021 adoptées par la Commission qui ont fait autorité. Section 2 : Le délégué à la protection des données Le DPD est une pièce essentielle du RGPD, même si sa désignation n’est pas tout le temps obligatoire. Sa fonction générale est d’être « associée de manière appropriée et en temps utile à toutes les questions de traitement des données à caractère personnel » (art. 38.1 RGPD, 33 Directive 2016/680). 2.1. La désignation Il faut distinguer la Directive du RGPD Cas de désignation RGPD (art. 37.1 RGPD) : 1) Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle 2) Les opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées 23 3) Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. Exemple : L’entreprise n’est pas une autorité ou un organisme public, n’exige pas un suivi régulier et ne rentre pas dans les catégories des articles 9 et 10. Mais il y a un intérêt à procéder à la désignation d’un DPD lorsqu’il s’agit d’une société pour que quelqu’un mette en conformité cet aspect. Renvoi aux cas dans lequel le droit d’un Etat-membre oblige à la désignation d’un DPD. Cas de désignation Directive police-justice : Article 32 Directive : « 1. Les Etats membres prévoient que le responsable du traitement désigne un délégué à la protection des données. Les Etats membres peuvent dispenser les tribunaux et d’autres autorités judiciaires indépendantes de cette obligation lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle ». Compétences attendues : Des qualités professionnelles sont requises : des connaissances spécialisées en matière de protection des données. Il faut s’adresser à un mécanisme certificateur (ex Apave ou Afnor délivrant une certification de compétences à la protection des données), certificateurs approuvés par la CNIL. Modalités de désignation : • Le DPD peut-être interne ou externe. • Le DPD peut être commun à un groupe d’entreprise, à condition qu’il soit facilement joignable depuis chaque lieu de l’établissement. • Le DPD peut être commun à plusieurs autorités ou organismes publics, compte tenu de leur structure organisationnelle et de leur taille. • Les coordonnées du DPD doivent être publiées. Dès lors que l’on a nommé le DPD, l’une de ses missions essentielles est de gérer toutes les réclamations des personnes concernées : il doit ainsi être accessibles. 2.2. Missions La mission générale d’un DPD est d’être associé à toutes les questions relatives aux données personnelles. Se traduit par plusieurs missions (art. 39.1 RGPD, 34 Directive). 1) Informer et conseiller la direction qui l’emploie (responsable de traitement ou sous-traitant) et les salariés = le DPD se saisit de toutes les problématiques et éduque les parties prenantes sur les nécessités et les obligations concrètes qui s’imposent. 2) Contrôler le respect du règlement et du droit interne en matière de protection des données 24 3) Conseiller et vérifier la réalisation d’un AIPD (Analyse d’impact à la protection des données) 4) Coopèrer avec l’autorité de contrôle = le DPD est ainsi le point de contact de l’autorité Modalités d’exécution de la mission : Le RGPD énonce qu’il doit lui être donnés les ressources nécessaires et les moyens d’entretenir ses connaissances. Le DPD doit jouir d’une indépendance. Le DPD est le point de contact privilégié pour les personnes concernées. Le DPD est soumis au secret professionnel ainsi qu’à une obligation de confidentialité. Le DPD ne doit pas être sujet à un conflit d’intérêt : un chef d’entreprise ne peut être le DPD de sa structure. ➔ Conflit d’intérêt évident entre le chef d’en