Le droit spécial régissant les données informatiques
II) Le droit Européen
Le droit européen en matière de protection de données personnelles relevait de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995. La Directive instaurait un cadre visant à établir un équilibre entre une protection élevée de la vie privée des personnes et la libre circulation des données personnelles au sein de l’Union européenne essentielle au développement des nouvelles technologies. Elle a été transposée en droit français tardivement par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Face à la constante évolution des technologies et des usages, le droit européen devait être mis à jour. Cette modernisation est donc la bienvenue car la directive datait
d’avant la généralisation d’Internet. Elle restreignait le développement du numérique sans fournir de protections suffisantes des données personnelles.
Le droit européen a évolué récemment avec le règlement nº 2016/679 du 27 avril 2016 dit Règlement général sur la protection des données. Le législateur européen a saisi l’enjeu de la protection des données en passant par la voie du règlement, applicable sans transposition. Toutes les entreprises devront se conformer aux dispositions de ce règlement à compter du 25 mai 2018.
Le champ d’application du règlement est très large. L’article 2 l’étend à toute donnée à caractère personnel appelée à figurer dans un fichier que ledit fichier soit traité de manière automatique ou manuelle. Seules sont exclues les données utilisées à des fins strictement personnelles, les données hors champ de compétence de l’Union Européenne et les données recueillies par les autorités publiques dans le cadre d’enquêtes pénales.
L’article 3 indique que le règlement s’applique à toute personne physique ou morale disposant d’un établissement en Europe et ce même si le traitement de ces données s’effectue hors de l’Union Européenne. Le règlement insiste sur les données collectées lors de l’exécution d’une vente d’un bien, d’une prestation de services et du suivi du comportement des personnes dans la mesure où ce comportement a lieu au sein de l’Union Européenne. Ce dernier cas concerne en particulier les aéroports et les compagnies aériennes qui collectent des données sur les comportements des passagers durant leur voyage.
Le règlement vise à adapter la législation relative à la protection des données à l’univers numérique en harmonisant le cadre juridique applicable dans l’ensemble des Etats de l’Union européenne. En effet, la directive induisait des disparités selon la loi de transposition adoptée par chaque parlement national.
A) Les nouveaux droits pour les particuliers
Le règlement vise à renforcer les droits des personnes, cependant ces droits ne sont pas absolus, le considérant 4 du règlement prévoit leur « mis(e) en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité »
Le consentement de la personne dont les données sont enregistrées demeure l’obligation essentielle, il est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (Article 4). La charge de la preuve du consentement pèse sur le responsable
du traitement (Article 7). La personne concernée par le traitement informatisé peut à tout moment retirer son consentement.
La personne concernée doit, à présent, être clairement informée de son droit à l'oubli (effacement des données Article. 17), ainsi que du droit à la portabilité des données (Article 20).
Cependant, le droit à l’oubli voit sa portée limitée car les hypothèses de suppression des données ne recouvrent que : les données qui ne sont plus nécessaires au regard des finalités ou qui doivent être effacées pour respecter une obligation légale.
Quant au droit à la portabilité des données, son objet est plus de permettre de changer plus facilement de services, favorisant la concurrence que de protéger les données en elles- mêmes. L’objectif poursuivi est une transmission lus fluide des données favorables au consommateur.
L'article 22 accorde à la personne concernée le droit de ne pas être l'objet d'une prise de décision prise exclusivement sur le fondement du traitement automatisé. Avec la forte croissance du Big Data (fusion des données issues de différentes sources) conduit à établir un profilage des individus. L’entreprise connait mieux les habitudes commerciales de ses clients. Du point de vue sécuritaire, le Big Data permet les analyses comportementales au travers des algorithmes prédictifs. Les technologies à présent utilisées dans les aéroports suivent le passager et connaissent son comportement et ses habitudes. Ce droit prend donc tout son sens lors des contrôles de sûreté. La personne concernée doit pouvoir obtenir une intervention humaine afin de contester le résultat du traitement informatisé. D’autres nouveautés du règlement intéressent l’aéroport souhaitant implanter un système de traitement des données. Le responsable de traitement doit notifier les failles de protection des données personnelles qu’il détecterait à l'autorité de contrôle (Article 33) et éventuellement à la personne concernée (Article 34).
La responsabilité du sous-traitant est aussi abordée (Article 28). Souvent l’entreprise délègue la gestion des données à une société spécialisée, celui-ci pourra être tenu responsable s’il ne respecte pas la règlementation dans le traitement des données dont il a la charge. De plus, toute personne ayant subi un dommage matériel ou moral consécutive à une violation du règlement peut obtenir réparation du responsable du traitement ou de son sous-traitant.
B) Les conséquences pour les entreprises
La déclaration à la CNIL disparaitra au 25 mai 2018 et sera remplacée par le régime d’analyse de risques et de cartographie du processus de traitement décrit ici. Les entreprises doivent d’abord désigner un délégué, qui organisera le passage vers la nouvelle règlementation et assurera un suivi de conformité. Elles dressent ensuite une cartographie de leurs traitements et de leurs relations avec les sous-traitants. Ceci permet d’identifier les actions prioritaires à mener pour se mettre en conformité. Enfin, elles doivent, à partir d’une analyse des risques, prendre les mesures organisationnelles ou techniques nécessaires à la protection des données.
Le règlement renforce le régime existant en obligeant les entreprises recueillant des données à tenir une documentation interne à jour sur les données et leur mode de traitement. C’est, en plus développé, une organisation proche de l’actuel registre du CIL (correspondant informatique et libertés).
Enfin, pour certains cas, le règlement européen renvoie au droit national le soin de fixer des « garanties appropriées » ou des conditions supplémentaires. Un régime d’autorisation pourrait donc être maintenu par la loi nationale dans certaines matières.
Un délégué à la protection des données ou Data Protection Officer (DPO) doit être désigné pour les organisme dont l’activité principale les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Pour les autres organismes, la désignation n’est que recommandée. Le DPO est le responsable de la conformité en matière de protection des données au sein de son organisme. Il est chargé d’informer et de conseiller le responsable de traitement (dirigeant responsable), les salariés ou le sous- traitant le cas échéant. Il contrôle le respect du droit européen et du droit national. Il est le relai de l’autorité compétente dans l’entreprise et coopère avec elle pour assurer un contrôle de conformité en continu. Il doit disposer des moyens humains et financiers nécessaires pour accomplir ces missions.
Si l’entreprise collectant les données dispose, selon la précédente règlementation, d’un correspondant informatique et libertés elle devra simplement notifier le changement de statut à la CNIL. La transformation du poste s’opère par l’envoi d’une lettre de mission de mandant au délégué de mettre en conformité les procédures internes avec le règlement européen. La CNIL favorise dans un premier temps la collaboration avec les entreprises pour leurs faire intégrer les règles de gestion des données.
Ensuite, les entreprises doivent constituer et entretenir une documentation interne complète démontrant que leurs méthodes de traitement de données personnelles respectent les obligations légales. Pour cela, elles doivent recenser :
➢ Les différents traitements appliqués sur données personnelles. Un traitement se définit comme toute opération effectuée sur les données, la collecte étant le premier d’entre eux.
➢ Les catégories de données personnelles traitées ainsi que les lieux où elles sont physiquement hébergées et leur durée de conservation.
➢ Les flux de données en cas de transferts hors de l'Union européenne.
➢ Les objectifs poursuivis par les opérations de traitements de données tels que le suivi du flux des passagers ou la fourniture de renseignements personnalisés ➢ Les acteurs (services internes ou sous-traitants) qui traitent ces données. Les
rapports avec les sous-traitants devront notamment être revus (mise à jour des contrats en conformité avec le droit européen.
➢ Les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données
Après avoir identifié les traitements, il convient de prévoir des actions afin de se conformer aux nouvelles obligations. Seules les données strictement nécessaires à la poursuite des objectifs doivent être collectées. Chaque collecte implique d’identifier la base juridique sur laquelle va se fonder le traitement, cela inclut le consentement de la personne, l’intérêt légitime, une obligation contractuelle ou légale. De plus, des mentions clairement affichées informent la personne de ses droits sur les données collectées. Elles doivent être conformes aux articles 12, 13 et 14 du règlement. La CNIL conseille de modifier les clauses des contrats de sous-traitance pour rappeler ces obligations à toute la chaine de traitement des données. Parallèlement une étude de risque permet de déceler dans le processus les moments où les données personnelles sont mal protégées. Des mesures de réductions des risques seront prises en conséquence. Les aéroports ne collectent pas de données considérées comme sensibles mais ils sont amenés à surveiller de manière systématique et à grande échelle zone accessible au public. Ils peuvent donc se retrouver sous la coupe de ces obligations.
C) Les sanctions
Les sanctions ont été revues à la hausse afin d’être plus dissuasives. Elles peuvent s’élever à 20 millions d’€ ou 4 % du chiffre d’affaires mondial pour une entreprise, le montant le plus élevé étant retenu. Cette lourde sanction étant modulée selon la quantité et la sensibilité des données recueillies. L’autre grande nouveauté du règlement est la prise en compte des sous-traitants recueillant des données. Auparavant seuls les responsables de traitement pouvaient être sanctionnés pas les sous-traitants exécutant le traitement.