RGPD ET SES NOTIONS CLÉS

Les origines du RGPD

1973 : Déploiement du projet Safari initié par l’INSEE

Objectif : faciliter la circulation des informations entre les administration via la Généralisation du RIPP, le Répertoire d’Identification des Personnes Physiques (basé sur le NIR – numéro de sécurité sociale), et le transfert du RIPP sur bandes magnétiques, pour passer de 10 heures à quelques minutes pour la recherche d’un individu.

Potentiel : que chaque français dispose d’un identifiant unique obligatoire, réel clé d’interconnexion des fichiers des administrations (état-civil, impôts, cadastre, santé, etc…).

1974 : le monde dévoile l’affaire S.A.F.A.R.I.

Cette affaire sera à l’origine de la Loi Informatique et Libertés de 1978. L’acronyme S.A.F.A.R.I signifie Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus. L’idée était toute simple, mais liberticide, croiser les fichiers de l’administration française, pour en faire un méga-fichier, et ainsi tout savoir, de tout le monde.

Ce projet a été initié par le gouvernement français en 1973 par le ministère de l’Intérieur. Le monde révèle ce projet le 21 mars 1974, avec l’article « Safari : ou la chasse aux français » de Philippe Boucher.

1978 : Le gouvernement est obligé de prendre 3 décisions majeur

En raison de la prise de conscience de la population française des risques potentiels, le gouvernement prend 3 décisions :

1- SAFARI est renommé RNIPP, décisions d’interconnexion validés par le premier ministre, Commission Informatique et Liberté créée

A- SAFARI est donc renommée en RNIPP signifiant le Répertoire National d’Identification des Personnes Physiques.

B- Toute décision d’interconnexion de fichiers administratifs devra obligatoirement recevoir l’aval du premier ministre.

C- La commission « Informatique et Liberté » est créée.

Le rapport TRICOT, publié en 1975, fera connaître ses travaux et ses conclusions. Il met en lumière l’aggravation des rapports inégalitaires dans la société contemporaine de l’époque et la nécessité de faire voter une loi pour protéger les libertés et les données personnelles des citoyens français.

Le rapport TRICOT sera la base du texte de la loi Informatique et Libertés de 1978, concernant les traitements portant sur des données d’identifications des personnes physiques (directement ou indirectement).

2- Adoption et application de la Loi Informatique et Libertés (dite loi I&L)

Le 17 novembre 1977  s’engage, au Sénat la discussion en première lecture du projet de loi, adopté par l’Assemblée nationale, relatif à l’informatique et aux libertés. Dans son rapport, rédigé au nom de la commission des Lois, M. Jacques THYRAUD souligne, que cette loi conduit à s’interroger “sur le devenir des libertés individuelles et publiques dans la quête permanente à l’information”.

Vote de la Loi Informatique et Libertés le 6 janvier 1978. L’objet du texte  est de mettre en place un garde-fou contre les abus de l’informatique mal maîtrisé, via une autorité administrative de contrôle.

3- Création de la CNIL, la Commission Nationale de l’Informatique et des Libertés

Elle est en charge de proposer une réglementation sur l’utilisation des moyens informatiques. Il s’agit de la toute première AAI de France, Autorité Administrative Indépendante

1995 : Application de la Directive Européenne 95/46/CE du 24 Octobre 1995

Les évolutions technologiques ont nécessité l’adaptation de la loi.

Adoption de la Directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données.

Une Directive européenne est un acte législatif adopté par le Conseil de l’UE, laissant le choix des moyens et de la forme pour atteindre l’objectif défini. Pour une prise d’effet national, chaque pays adopte un acte législatif de transposition (sous deux ans).

Procédure de transposition : rédiger ou modifier des textes afin de permettre la réalisation de l’objectif fixé et d’abroger les textes en contradiction.

2004 : Réforme de la loi informatique et libertés

Sous l’impulsion des avancées technologiques et des nouveaux usages numériques, une réforme de la loi nationale Informatiques et libertés est votée. Il s’agissait également de transposer la Directive 95/46/CE de 1995 dans la loi nationale.

Avènement de la notion de « Donnée à caractère personnel ». Le secteur privé est soumis à un régime de déclaration préalable à la constitution d’un fichier.

La CNIL est investie d’un pouvoir de sanctions, et le métier de CIL (Correspondant Informatique et Libertés), est crée.

2016 : Application de la Loi pour une République Numérique et de la Directive Police-Justice

La Directive Police-Justice est dédiée à l’encadrement des traitements mis en œuvre à des fins de prévention, de détection et de répressions des infractions pénales. Le RGPD est adopté.

2018 : Application du RGPD

Le 25 mai, application du RGPD dans l’ensemble des pays de l’UE, et pour l’ensemble des acteurs qui mettent en œuvre des traitements de données se rapportant à des personnes physiques se trouvant sur le territoire de l’Union Européenne. 

Néanmoins, les pays conservent en complément leurs propres lois nationales. La loi nationale dite Informatique et Libertés, transpose donc le RGPD et la Directive Police-Justice, et inclue des règles spécifiques permises par le RGPD (conditions de validité du consentement pour les mineurs, encadrement spécifique pour l’utilisation du numéro de sécurité sociale…).

Enjeux et risques

Le contexte lié à la protection des données personnelles

La quantité de données générées ne cesse d’augmenter, en raison de la numérisation de la société et des capacités technologiques.

Des milliards de données personnelles sont ainsi collectées et traitées. C’est également l’avènement des « traces informatiques » (objets connectés, profilage, contrôles, adresses IP…).

Les données personnelles sont à la base du développement de l’économie numérique.

Les risques inhérents à l’utilisation des données personnelles

L’accessibilité, la profusion, la granularité des données, combinés aux puissances de calcul et aux techniques de recoupement des algorithmes, aux cyberattaques représentent un risque conséquent pour les droits et les libertés des citoyens européens.

Une utilisation disproportionnée à des outils de surveillance (vidéosurveillance et cybersurveillance) peuvent déboucher sur du contrôle permanant des individus.

Certaines données doivent rester confidentielles (santé, vie sexuelle…). Des profilages très intrusifs menacent les libertés individuelles et publiques.

Objectifs du RGPD

Reprendre et enrichir les notions clés comme les grands principes (licéité et proportionnalité du traitement, durées de conservation…), les données à caractère personnel, les responsables de traitements, les sous-traitants.

Les 3 axes majeurs du RGPD : le renforcement des droits des personnes, la responsabilisation des acteurs qui traite la donnée personnelle, le renforcement des pouvoirs de sanctions de la CNIL.

Une approche par les risques oblige les organismes à mettre en œuvre les mesures techniques et organisationnelles adaptées aux traitements.

Le RGPD redonne le pouvoir aux personnes de contrôler l’usage de leurs données personnelles et d’en comprendre l’utilisation qui en est faite. Il s’agit également de l’avènement des actions de groupes (class action).

Intêret pour les organismes publics et privées

Rééquilibrage de la concurrence : en s’appliquant à l’ensemble des acteurs mondiaux qui traite des données de citoyens européens (ou d’acteurs européens traitant des données de citoyens européens et non-européens), le RGPD offre aux entreprises du monde entier, une règlementation unifiée.

La mise en conformité apporte une relation de confiance entre les organismes publics et privées et les citoyens, et donc un avantage concurrentiel certain.

Les parties prenantes institutionelles

CNIL (Commission Nationale Informatiques et Libertés)

La CNIL est l’autorité Administrative Indépendante (AAI) française qui régule l’utilisation des données personnelles.

Ses grandes missions sont : Informer et protéger, accompagner les organismes dans la mise en conformité, anticiper et innover, contrôler et sanctionner.

La CNIL formule des recommandations et des référentiels (ex normes simplifiées), aide les entreprises à respecter le cadre et à comprendre la marge d’interprétation, répond aux demandes de conseils des RT/DPO/CIL et des personnes fichées, vérifie la conformité des traitements à la loi (public et privé), contrôle et sanctionne (sanctions administratives et injonctions).

CEPD (Comité Européen de Protection des Données)

Le CEPD (ou EBDP), coordonne l’action des CNIL des états membres de l’UE.

Il surveille et garanti la bonne application du RGPD, conseille la Commission sur toute question relative à la protection des données personnelles et sur les règles d’entreprise contraignantes ou les échanges d’informations entre les responsables de traitements, les sous-traitants, les autorités.

Il publie des lignes directrices, des recommandations et des bonnes pratiques, examine toute question portant sur l’application du RGPD, procède à l’agrément des organismes de certification et à leur examen, rend à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, émet des avis sur les projets de décisions des autorités de contrôle, incite à la coopération et l’échange bilatéral et multilatéral d’informations et de bonnes pratiques, élabore des programmes de formation conjoints, facilite les échanges de personnel entre autorités.

CJUE (Cour de Justice de l’Union Européenne)

La CJUE est l’autorité judiciaire de l’UE qui veille à l’application uniforme de la législation européenne et qui peut sanctionner toute entité (état, entreprise, organisme public…).

La Cour de justice de l’Union européenne (CJUE), est l’une des sept institutions de l’Union européenne. Elle regroupe deux juridictions : la Cour de justice et le Tribunal. Le siège de l’institution et de ses différentes juridictions est à Luxembourg.

La Cour veille à l’application du droit de l’Union et à l’uniformité de son interprétation sur le territoire de l’Union. À cette fin, elle contrôle la légalité des actes des institutions de l’Union européenne et statue sur le respect, par les États membres, des obligations qui découlent des traités. Elle interprète également le droit de l’Union à la demande des juges nationaux.

L’autorité référente dite chef de file

Autorité compétente d’un pays où les traitements transnationaux sont gérés. Il s’agit du régulateur national compétent qui donne les avis de conformité à un responsable de traitement. On parle également du mécanisme de « guichet unique », dit « onestop shop ».

L’autorité locale ne perd pas de pouvoirs de sanctions, mais elle doit demander l’avis de l’autorité référente ou chef de file du responsable de traitement (décisions commune). Il s’agit de l’unique interlocuteur pour le traitement transfrontalier effectué par le responsable de traitement, une fois que celle-ci est officiellement désignée.

Régime spécifique pour un traitement de données identique dans plusieurs pays de l’UE

Système de guichet unique : l’entreprise désigne l’autorité de protection des données de l’état ou se trouve l’établissement principal, comme autorité « chef de file », l’établissement principal étant soit le lieu du siège, soit l’établissement au sein duquel sont prises les décisions en terme de finalités et modalités des traitements.

Impact : interlocuteur principal pour les demandes transeuropéennes (les traitements nationaux restent la compétence de l’autorité nationale)

Les individus déposent plainte auprès de leur autorité nationale, qui se coordonnera avec l’autorité chef de file, à des fins de prise de décision. En cas de désaccord entre autorités locales et autorité chef de file, seul le CEPD est compétent pour arbitrer.

Traitement de données à caractère personnel

L’article 4 du RGPD précise qu’un «traitement» correspond à toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Les données à caractère personnel

Les données à caractère personnel sont les données directement ou indirectement identifiantes, ainsi que l’ensemble des combinaisons d’informations qui, infine permet d’identifier une personne.

Une donnée directement identifiante indique clairement l’identité de la personne comme le nom, son email nominatif ou sa photo d’identité.

Une donnée indirectement identifiante prises de manière isolée, ne permet pas d’identifier une personne (identifiant, téléphone…). L’association avec une autre base de données (interne ou externe), permet infine, d’identifier celle-ci.

Certaines informations ne permettent pas d’identifier une personne, ni directement, ni indirectement. Mais la combinaison de plusieurs de ces informations, peut potentiellement permettre une identification de celle-ci. La réidentification est de plus en plus facilité notamment, via l’open-data et le recoupement des données.

Le traitement de données à caractère personnel

Un traitement de données à caractère personnel regroupe notamment la collecte, la conservation, la transmission, la communication, le rapprochement.

Il existe 2 types de traitements : les traitements internes (fichiers de gestion RH, dispositifs de sécurisation des locaux…), et les traitements liés aux activités (gestion des fichiers clients et prospects…).

Application du RGPD & champ territorial

Qui doit appliquer le RGPD ?

Tout organisme qui se trouve sur le territoire de l’UE, ou qui traite des données de citoyens présent sur le territoire de l’UE (entreprises, administrations, associations et collectivités).

Le champ d’application territoriale du RGPD

L’article 3 du RGPD précise que le RGPD s’applique sur le territoire de l’UE? que le traitement est ait lieu ou non dans l’UE (critère d’établissement).

Il s’applique également pour les entreprises non situées au sein de l’UE, mais dont l’activité cible des personnes se trouvant sur le territoire de l’UE (critère de ciblage).

Le Responsable de Traitement et le Sous-traitant

Un traitement peut être mise en œuvre par un organisme pour son propre compte, ou pour celui d’un organisme tiers.

Un organisme peut donc être Responsable de Traitement (RT) si ce dernier détermine les traitements, les moyens et les finalités, ou Sous-traitant (ST) s’il traite des données pour le compte et sur instruction d’un autre organisme. Le Responsable de Traitement (RT) est donc l’organisme pour lequel le traitement est mis en œuvre.

Responsable de Traitement (RT)

L’article 4 du RGPD défini un «responsable du traitement» comme étant “la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre”.

Le sous-traitant (ST)

Le même article 4 du RGPD défini un «sous-traitant» comme étant la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Un contrat de sous-traitance devra être conclu entre les parties.