15 février 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#077 RGPD e-Privacy: les principes (Règlement UE 2016/679 « données personnelles »)

#077 RGPD e-Privacy: les principes (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 25 février 2018] Vous êtes nombreux(ses) à lire ce post depuis quelques semaines. Une mise à jour v4 s’imposait donc… Il est plus que temps de s’intéresser aux notions fondamentales du Règlement 2016/679 « GDPR » sur la protection des « données à caractère personnel« . Histoire de savoir de quoi on parle. Cette présentation est à jour d’une analyse du projet v1 de Règlement UE « e-Privacy » du 10 janvier 2017 qui prévoit d’encadrer le traitements des contenus et des métadonnées des communications électroniques, ainsi que l’utilisation des « capacités de traitement / de stockage » des terminaux à des fins de tracking et de profilage. Comme toujours, l’analyse complète des notions fondamentales de la GDPR et de « e-Privacy » en BD est accessible dans le slider ci-dessous. Un résumé littéraire illustré est disponible juste en dessous.


GDPR ? RGPD ?

« GDPR » (General Data Protection Regulation) : c’est l’acronyme tiré de la langue de Shakespeare (titre de la version anglaise de ce texte publié au JO de l’Union Européenne). Et comme il s’agit d’un texte commun aux (bientôt) 27 pays membres de l’UE, c’est celui que beaucoup d’entre nous ont adopté. Pour la version française, faites comme vous voulez (n’est-ce-pas, Louis ?). En Molière dans le texte, il semble que « Règlement Général sur la Protection des Données » ou « RGPD » (très chic) tienne la corde… (très très chic comme acronyme… vraiment…).


Le « Big Data » ?

Terme un temps à la mode… Faire du Big Data, c’est traiter de gros volumes de (méta)données… C’est une notion marketing, typique de la communication des entreprises. ça fait genre « je suis à la pointe de la techno« … Juridiquement, le Big Data représente différentes pratiques de traitement de données [personnelles]. La GDPR s’applique donc normalement à tout traitement de données en Big Data. A lire  « Le big data est mort, vive le big data ! » sur le site web de l’Usine Digitale du 6 juillet 2017.

2000 : la Charte des droits fondamentaux de l’UE

Pour comprendre la GDPR, il est nécessaire de connaitre les principes juridiques de l’UE, auxquels ni la GDPR, ni le [projet de] Règlement « e-Privacy » ne peuvent déroger. Il n’y a que 5 principes à retenir, mais ils sont autant de notions fondamentales. Pour les résumer, les données [personnelles] ne peuvent être utilisées qu’avec le consentement des personnes concernées. Et les exceptions à cette demande préalable de consentement doivent être dument justifiées par des motifs légitimes et proportionnés conformes à ce qui peut être accepté « au sein d’une société démocratique« . Oui, c’est écrit comme cela dans la Charte.

Ne croyez pas que ces notions fondamentales ne servent qu’aux avocats pour meubler leurs présentations : ces principes sont effectivement mis en application dans des affaires très concrètes, tant par les juridictions nationales que par la Cour de Justice de l’UE, la Cour Suprême des Européens. Vous voulez un exemple récent ? L’arrêt « Tele2 Sverige » du 21 décembre 2016. Cet arrêt essentiel qui envisage pour la première fois les conséquences des traitements massifs de métadonnées est facilement transposable aux entreprises qui pratiquent le « Big Data » sur les données de leurs clients ou de leurs prospects.

Les notions fondamentales RGPD : les définitions essentielles

A tout seigneur, tout honneur : la définition de ce que sont les « données à caractère personnel« . Pour cela, un bref rappel de la Directive 95/46 et de la jurisprudence récente de la CJUE ne sont pas inutiles. Franchement ? Si on veut bien s’appliquer à lire ce qui est écrit, objectivement,  si des métadonnées agrégées à d’autres sont destinées à faire du « profilage » ? De l’individualisation à la granularité « 1 personne » pour… (à votre avis) ? Ces métadonnées constituent alors indéniablement un ensemble de données [personnelles]. C’est la définition même des données [personnelles]. C’est vrai que ça va surprendre certains professionnels… et pas qu’en France…

Nous verrons aussi la définition de « traitement » de données [personnelles] : là, pas de surprise, avec une reprise de la Directive 95/46. Est un « traitement » toute manipulation de données [personnelles]. Depuis la collecte jusqu’à la suppression. ET TOUS les traitements effectués entre la collecte des données jusqu’à leur effacement. C’est somme toute assez simple à retenir.

[mis à jour le 11 novembre 2017] Enfin, last but not least, les définitions du « responsable du traitement » et celle du « sous-traitant » qui ne posent (apparemment) guère de difficulté. Voila des notions fondamentales pour appliquer ce texte fleuve

Le « responsable du traitement« , c’est le professionnel qui « définit les finalités et les moyens d’un traitement« , celui qui collecte les data directement pour son compte, les données de ses clients à lui, de ses salariés.

Le sous-traitant, pour sa part, mouline les données de ses clients avec son logiciel. Et en mode SaaS le plus volontiers (ou autrement, à la demande, c’est juste une question de prix).

Manifestement, les négociations se crispent fin 2017 autours de ces notions, pourtant identiques à celles de la Directive de 1995. Et l’on assiste, curieusement, aux mêmes délires de la part de certains professionnels que ceux ayant nécessité de multiples précisions de la part du G.29 (voir l’avis du 16 février 2010 sur l’interprétation des définitions du « responsable du traitement » et du « sous-traitant« ).

Alors, pour être constructifs et pragmatiques, nous ferons un rappel appuyé sur le droit des bases de données (Directive 96/9 du 11 mars 1996 transposée dans le Code de la propriété intellectuelle) : les « moyens » que définit le « responsable du traitement« , ce sont les « investissements substantiels » que doit prouver le « producteur » sur le contenu d’une base de données. La directive 96/9 (et le CPI plus clairement encore) impose pour cette preuve la justification de « moyens matériel, humain ou financier« . Les « moyens » c’est le « comment » d’un traitement. Le « pourquoi« , ce sont les « finalités » d’un traitement. C’est si compliqué que ça ?


Les notions fondamentales RGPD -> quels traitements de données concernés ?


Oui, c’est vrai, ça (et c’est fondamental) : quels sont les traitements de données [personnelles] concernés par cette GDPR ? En droit, on appelle ça le « champs matériel d’application« .

Comme pour la Directive 95/46, TOUS les traitements de données sont concernés, SAUF lorsqu’ils sont opérés par une personne privée pour ses besoins « strictement » privés ou domestiques. Les providers de ces services sont eux-même, bien évidemment, exclus du bénéfice de cette exemption (pour parler en « français de la Commission de Bruxelles » dans le texte).

Pour le dire plus clairement, le répertoire de mon smartphone, dans lequel figurent les coordonnées de mes amis ET celui de mes contacts professionnels n’est pas un traitement de données « strictement privé« . Ce traitement de données sera donc soumis aux dispositions de la GDPR. Et je dois en conséquence, tenir un registre de mes traitements de données. Même si je suis une entreprise de moins de 250 salariés (l’exemption), parce que ce « traitement » ne sera « pas occasionnel » (l’exception à exemption). Du détail sur ce point dans la rubrique « les nouvelles obligations GDPR » pour les « responsables de traitement » et les « sous-traitants« . Mais là, apparemment, les professionnels ont bien capté le message.

PS pour les professionnels du marketing via IP tracking : la distinction franco-française entre données [personnelles] BtoB et données [personnelles] BtoC est à oublier…

Les notions fondamentales RGPD -> l‘application dans le temps

Là, pas de mystère mais un aspect fondamental de cette législation : la GDPR s’appliquera dès le 25 mai 2018 et abrogera à la même date la Directive 95/46. C’est écrit dedans et c’est publié au JO de l’Union Européenne, pas de doute là-dessus (pas comme pour la réforme 2016 du droit des contrats). N’attendez pas de loi nationale de transposition de ce texte, il n’y en aura pas ! C’est tout l’intérêt d’un Règlement UE : son application est directe dans chaque pays membre de l’UE. Et à cette même date, soit votre application/traitement a été conçu(e) conformément aux règles de la GDPR (« privacy by design« ), soit votre traitement/logiciel devra de toutes les façons respecter l’ensemble des dispositions de la GDPR. Ce sera alors « privacy by default« … Bref, dans les deux cas, il sera obligatoire d’être conforme dès le 25 mai 2018.

Les notions fondamentales RGPD ->

l’application dans l’espace

C’est sur ce point que la GDPR innove le plus. Le principe s’articule en 2 points :

  • Si un prestataire de traitement est situé sur le territoire de l’UE, ce prestataire sera tenu de respecter la GDPR, même si les données [personnelles] concernent des personnes situées hors UE. Les citoyens des USA, comme ceux de l’Asie ou de l’Afrique dont les données seraient collectées par un prestataire situé dans l’UE bénéficieront de la protection en Europe de leurs données grâce à la GDPR. C’est-à-dire de véritables droits sur leurs données numériques que leur propre législation ne leur offre pas.
  •  Si un prestataire collecte des données relatives à des personnes localisées sur le territoire de l’UE, ce prestataire devra respecter la GDPR. Même un prestataire installé hors de l’UE. Par exemple (et toujours au hasard) aux USA… C’est très, très clair sur ce point. C’est l’esprit même de cette législation.

Sur ce point, manifestement et pour la première fois en la matière, l’Europe s’affirme avec une soft power qui sonne comme une réponse à l’expansionnisme juridique recherché par les Etats-Unis depuis des années (une sorte de réponse du berger à la bergère…).

Bonne nouvelle, votre prestataire US pourra se faire certifier GDPR, ce qui lui permettra d’importer les données [personnelles] qu’il doit traiter, en dégageant ainsi (en partie) la responsabilité du responsable du traitement.

Les notions fondamentales RGPD -> les données « spéciales »

Sachant que les données de santé et les données pénales font l’objet de définitions spécifiques et d’une gestion dérogatoire, c’est ici l’occasion de s’y intéresser. Rien de bien nouveau comparé à la Directive 95/46… Le principe reste l’interdiction de traitement. SAUF dérogations (nombreuses et) spécifiques. Par exemple, le consentement « explicite » (consentement plus détaillé que le consentement tout court ?).

Les notions fondamentales RGPD -> les « bases juridiques » du traitement

C’est une des grosses nouveautés de la GDPR : chaque responsable du traitement va devoir choisir un des 6 fondements légaux permettant le traitement des précieuses données personnelles. Alors, AVEC ou SANS consentement. Il va falloir choisir… Il va surtout falloir en informer les personnes concernées

RGPD et traitements « sans identification » (?!?!?!)

Oui, ce chapitre de la GDPR est (et reste) une énigme pour moi. Si on fait un traitement de données [personnelles], c’est bien pour identifier la personne concernée ? Sinon, si les données sont anonymes, ce ne sont plus des données [personnelles] au sens de la GDPR. Et bien, entre les deux notions, il y a les traitements de données « sans identification« . L’alcool fait des ravages à Bruxelles ? Si vous avez des info pour comprendre ce chapitre précis, je suis preneur. [mise à jour du 25 février 2018] L’énigme est en cours de résolution : il s’agirait du droit pour les responsables du traitement de poursuivre l’usage de leurs bases de données, même une fois « expurgées », pour pouvoir répondre à une personne si ses données ont effectivement été effacées ou ont subi le « droit à limitation »… ça reste tout de même pas franchement limpide

Les notions fondamentales RGPD ->

le [projet de] Règlement « e-Privacy »

Vous êtes drôlement gâtés… une présentation à jour du projet de Règlement « e-Privacy » dans sa version du 10 janvier 2017 ? 1 présentation ? Non : deux !

1) cette nouvelle règlementation (vote prévu au Parlement Européen le… 12 octobre 2017) est également fondamentale, en ce qu’elle pose (enfin ?!) les définitions de « réseaux » et de « services » de « communication électronique ».

2) Le projet « e-Privacy » prévoit ses règles spécifiques impactant fortement (euphémisme) le marketing BtoB et BtoC.

Et les « considérant » de ce nouveau projet de Règlement sont sans ambiguïté : « e-Privacy » = la GDPR spécial « communication électronique ».

La notion de « consentement » RGPD 

Ne cherchez plus, mes développements sur ce point ont « migré » vers une présentation spéciale « consentement et traitement AVEC consentement« . Il y a suffisamment à écrire sur ce sujet précis.

RGPD-GDPR : premières conclusions ?

Mesdames, Messieurs, la fin de la récré sur le traitement des données personnelles a été sonnée le 27 avril 2016. Avec 25 mois de préavis.

L’attente du contrôle et du contentieux consécutif ne me parait pas un conseil raisonnable, ni une stratégie à envisager sérieusement.

Si vis pacem, para bellum… et coté préparation, il y a de quoi faire…

La CNIL fait ce qu’elle peut pour rappeler l’importance des règles à mettre en oeuvre au plus tard le 25 mai 2018. Le journaliste des Echos a raison lorsqu’il titre le 27 mars 2017 « La CNIL alerte sur l’urgence de se préparer à un « changement culturel » d’ampleur« . Car il ne faut plus aujourd’hui penser cette réforme fondamentale en termes d’impact sur les SI existants, mais bien comme un véritable changement politique et culturel (ZDNet du 29 mars 2017).

Sur la genèse de la GDPR, à visionner impérativement « La ruée vers les datas » sur le site web d’Arte en replay. EXCELLENT, toute la genèse depuis janvier 2012 de cette législation. Le lobbying. Les coups de théâtre. Tout. La brève intervention filmée d’un représentant de Microsoft y est édifiante (« les entreprises ont – elles aussi – des droits ! « ). Ce reportage est très éclairant sur l’orientation de la politique de l’UE en matière de protection des données [personnelles]. Les « données perso« , « l’or du XXI° siècle« , le « pétrole du 21° siècle« . Et voyez combien tout cela est en phase avec la jurisprudence récente et très claire de la CJUE.

Les notions fondamentales RGPD -> synthèse et audit v3

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer.

UE vs USA : le grand écart

[mise à jour du 6 avril 2017] Ah ça, la GDPR, c’est pas le grand Far West avec le retour aux USA au libre usage par les opérateurs télécom des métadonnées de leurs clients. Là-bas, pas de sanction administrative à « 20 millions € / 4% du CA mondial« … Les USA de Donald Trump… L’Eldorado du business de la data. Comme le paradis, mais en plus grand, vous voyez ?

Il est évident que les deux puissances ne sont pas sur la même longueur d’ondes : dérégulation à outrance outre-Atlantique contre affirmation de la « souveraineté numérique » en Europe. Il va falloir permettre aux « Autorités de contrôle » de l’UE d’avoir les moyens de leurs ambitions affichées. Et là, manifestement, il faudra parler budget… (lire à ce propos « CNIL : pas d’innovation sans protection des données personnelles » Next INpact du 28 mars 2017).

Avec la GDPR, la bataille UE/USA de la data ne fait que commencer. L’annulation du Safe Harbor, l’adoption du Privacy Shield et les craintes suscitées par les récentes positions de l’Administration Trump (ZDNet 27 janvier 2017) en sont autant d’illustrations flagrantes.

C’est pas gagné avec les prestataires US de traitements…

Tout ça ressemble à de la géopolitique… Mais, même problème et vu de près : croyez-vous que vos prestataires de traitement situé aux USA soient sensibilisés à la prochaine mise en oeuvre de la GDPR ? Eux qui ont l’habitude de signer leurs contrats, toujours soumis à un droit d’un des Etats-Unis ? Et si votre prestataire refuse de comprendre, qui sera responsable ? Votre entreprise soumise à la GDPR, ou votre sous-traitant ? hé, oui, il va falloir faire preuve de pédagogie avec vos prestataires. Et ce n’est pas la partie la plus simple de votre mise en conformité avec ce Règlement 2016/679…

—> le kit de survie GDPR

[mis à jour le 18 avril 2017] 

  • « https://www.gdpr-expert.eu/#textesofficiels » : excellent site de comparaisons croisées Directive 95/46 + GDPR + loi CNIL + loi belge. Un travail de titan. Bravo sincère et admiratif à mes deux Confrères.

Bonne découverte des notions fondamentales de la GDPR avec les superbes visuels tirés des 7 tomes de « Horologiom ». Le tome 1 « L’Homme sans clef » a été primé au festival d’Angoulême en 1995 par un « Alph-Art coup de cœur« . Merci à Fabrice Lebeault, scénariste et dessinateur de ce chef d’oeuvre du 9ème art. Merci à Lucie Massena et Sébastien Le Foll, des éditions Delcourt, pour leur confiance et pour leur aide. C’est un merci sincère !





Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ