• AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Tribune Libre > La loi relative à la protection des données personnelles

La loi relative à la protection des données personnelles

La loi de protection des données personnelles a été promulguée le 20 juin 2018. Cette loi a pour objet, non pas d'innover, mais d'appliquer le RGPD européen (règlement général sur la protection des données) du 27 avril 2016. Cela dit, l'Europe a laissé à ses pays membres quelques marges de manoeuvre. La loi a aussi pour objet de transposer la directive européenne adoptée le même jour que le règlement. En effet, les directives ne s'appliquent pas d'elles-mêmes, elles doivent être transposées par les états. Voir article précédent "le projet de loi relative à la protection des données personnelles".

Le « paquet européen de protection des données », adopté par le Parlement européen et le Conseil le 27 avril 2016, comprend un règlement (règlement (UE) 2016/679 ou version pdf) et une directive (directive (UE) 2016/680). La France s'est dotée d'une loi : Loi n°018-493 du 20 juin 2018 relative à la protection des données personnelles.

Le RGPD et la loi Informatique et liberté de 1978

Avant le RGPD, la France était régie par sa loi n° 78-17 dite "informatique et liberté" loi n°78-17 du 6 janvier 1978. Le législateur français a décidé de conserver cette loi en l'actualisant car c'est une loi de référence et emblématique, même si depuis mars 2016 toutes les dispositions ont été codifiées dans le Code des relations entre le public et l'administration. L'article 20 de la loi a pour objet de permettre au Gouvernement de prendre, dans un délai de six mois, une ordonnance pour procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978 et d’en prévoir l’application à l’outre-mer.

Quel est l'objet du RGPD ?

Le RGPD a pour objet de conforter les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 et en créer de nouveaux. Le règlement porte une inversion de la logique de responsabilité qui contraint les managers publics à se réorganiser. Alors qu’auparavant, le contrôle des traitements s’exerçait a posteriori, les organismes publics auront dorénavant à garantir activement la protection des données des usagers. Cela passe en premier lieu par la constitution et la tenue, obligatoires, d’un registre à jour des traitements de données. Il établit de nouveaux droits pour les utilisateurs, réaffirme les principes de consentement et de proportionnalité, instaure le principe de traçabilité complète de la donnée. Le règlement consacre les principes de protection des données dès la conception et par défaut, de manière à ce que : « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement [soient] traitées », c’est-à-dire que ces données ne soient plus accessibles à un nombre indéterminé de personnes et dans un but non caractérisé, mais que sa finalité soit bien établie et renseignée.

Quel est le champ d'application du RGPD ?

D'abord, le règlement est d’application directe sans transposition. Son champ d’application territorial est fixé à l'article 3 du RGPD : Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l'Union européenne et offrant des biens et services aux Européens. Le RGPD sera applicable dès lors que les données sont collectées en Europe. Application aux personnes physiques : Le RGPD ne couvre pas les traitements des données personnelles qui concernent les personnes morales. Sont exclus du champ du RGPD : les traitements effectués dans le cadre de politiques qui ne relèvent pas de la compétence de l’UE mais de celle des États membres, ainsi que ceux réalisés par des personnes physiques dans le cadre de leur vie privée. Toutefois, le RGPD s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données personnelles pour de telles activités personnelles ou domestiques (les fournisseurs de services de réseaux sociaux).

Quelles marges de manoeuvre le RGPD laisse-t-il aux états ?

Il est permis aux États membres de préciser certaines dispositions que ce que prévoit le droit européen. Par exemple :

L’article 14 relatif aux traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique et historique, ou à des fins statistiques, précise les marges de manœuvre relatives aux mesures concernant de tels traitements sont permises par l’article 89 du règlement.

L’article 21 de la loi tire parti de la marge de manœuvre prévue au b) du 2 de l’article 22 du règlement, pour ouvrir plus largement la possibilité pour l’administration de recourir à des décisions automatisées (prises sur le fondement d’un algorithme), à la condition d’offrir d’importantes garanties en contrepartie.

L’article 24 utilise la marge de manœuvre prévue à l’article 23 du règlement qui prévoit la possibilité pour le droit national de limiter, par la voie de mesures législatives, la portée des obligations et des droits des personnes concernées.

Le RGPD liste les définitions-clés du vocabulaire concernant le traitement des données

L'article 4 du RGPD est essentiel car il donne une liste de définition des termes employés à consulter impérativement : « données à caractère personnel », « traitement », « limitation du traitement », « profilage », « pseudonymisation », « fichier », « responsable du traitement », « sous-traitant », « destinataire », « tiers », etc.

Les rubriques qui suivent traitent du RGPD appliqué par la loi de 2018.

********************************************************

I – LE RGPD DU COTE DES PARTICULIERS

********************************************************

Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles. Il sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union européenne (UE). Les sociétés détentrices de données seront responsables des informations privées collectées et devront en assurer la protection sous peine d'amendes qui pourront aller jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros. Le texte donne aussi la possibilité aux ONG d'organiser des actions de groupe. Une disposition a pour but de s'assurer que Google et Apple ne puissent imposer leurs navigateurs et moteurs de recherche par défaut sur les smartphones, tablettes et PC.

Pour ce qui concerne les droits et protections, de nombreux grands principes, déjà présents dans le droit européen et français, sont repris par le RGPD.

1°) La notion de consentement est renforcée

Les entreprises devront, sauf exception, demander aux individus leur autorisation pour traiter leurs données personnelles, là encore, « sous une forme compréhensible ».

Le consentement des internautes doit être respecté

Néanmoins, les données pourront être traitées sans le consentement si elles remplissent les conditions du principe de finalité

Ce principe de finalité implique que les données sont collectées dans un but déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. C’est le cas pour l’objectif nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement : certaines missions de l’Etat en matière de sécurité (les fichiers de police par exemple). Le règlement prévoit d’autres objectifs nécessaires (Article 7 du RGPD) :

- à l’exécution d’un contrat auquel la personne concernée est partie (exemple : une vente en ligne),

- au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

- à la sauvegarde des intérêts vitaux de la personne concernée ;

- aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Le consentement des parents pour les mineurs

Consentir à une offre directe de services de la société de l'information

Le RGPD (article 8)  fixe à 16 ans l’âge de « majorité numérique », la France le fixe à 15 ans

L’âge à partir duquel un mineur n’a plus besoin de l’autorisation de ses parents pour utiliser un réseau social (« l'offre directe de services de la société de l'information ») est de 16 ans. Mais le RGPD dit aussi que « Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans (…). » Le législateur français a utilisé cette latitude pour descendre l’âge à 15 ans (article 20 de la loi) : « …un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services de la société de l'information à compter de l'âge de quinze ans. »

Conditions à respecter en-dessous de l’âge de 15 ans (en France)

« Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur. » (RGPD)

La loi française précise dans le même article 20 : « Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles. » Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne. »

« Traitements de données à caractère personnel dans le domaine de la santé".

L’article 16 de la loi modifie l’article 59 de la loi de 1978 et dit ceci : « Pour ces traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l'exercice de l'autorité parentale » :

- « aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits. (...) »

- « soient informés du traitement de données... » (dans certains cas sensibles - dépistages, etc. - ou si le mineur mène une vie autonome).

2°) Portabilité des données

Le RGPD apportera un nouveau droit aux internautes : celui de pouvoir récupérer et transférer leurs données personnelles gratuitement d’un service à un autre. Le règlement prévoit la possibilité que le transfert puisse être fait automatiquement entre fournisseurs de services, sans que l’internaute ait besoin de les manipuler. Références : droit à la portabilité des données : article 20 du RGPD.

3°) Communication en cas de fuite

Des obligations de sécurité pèsent sur les entreprises gérant des données personnelles

Lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit communiquer la violation de données personnelles à la personne concernée dans les meilleurs délais.

Toutefois, le RGPD prévoit trois hypothèses dans lesquelles la communication à la personne concernée n’est pas nécessaire :

- Si les données étaient protégées par de la cryptographie - donc illisibles par d’éventuels pirates -, l’entreprise n’aura pas l’obligation d’avertir ses clients ou usagers.

- Si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser.

- Si elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire faite « en des termes clairs et simples ».

L’article 24 de la loi introduit après le II de l’article 40 de la loi de 1978 des dispositions qui indiquent qu’un « décret en Conseil d’Etat » sera pris après avis de la Cnil et fixera la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du règlement. Références : article 34 du RGPD.

4°) Recours, réparations et amendes

Recours individuel

Si un Européen estime que ses données personnelles ont été utilisées ou collectées en contradiction avec la loi, il sera possible d’introduire un recours auprès des autorités de protection des données, la CNIL en France. C’est déjà le cas. Références : article 16 de la loi qui insère après l’article 43 ter de la loi de 1978, un article 43 quater (action de groupe).

Le RGPD ajoute la possibilité de lancer une action collective

La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a introduit une action de groupe en matière de protection des données à caractère personnel. L’article 25 de la loi crée un nouvel article 43 quater dans la loi du 6 janvier 1978 pour prévoir qu’une personne concernée peut mandater une association ou une organisation aux fins d’exercer en son nom une réclamation auprès de la CNIL (article 77 du règlement), un recours juridictionnel contre la CNIL (article 78) ou contre un responsable de traitement ou un sous-traitant (article 79). Références : article 83 du RGDP

5°) Des conditions d’utilisation plus claires

L’obligation pour les entreprises d’informer les individus est renforcée

L’information porte déjà dans le Droit français sur la façon dont les entreprises manipulent leurs données personnelles et dans quel but. Désormais, le droit européen leur impose de le faire « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. » Références : article 12 du RGPD.

6°) Les principes concernant la manière d’utiliser les données

Les données doivent ainsi être traitées de manière « licite, loyale, transparente » (article 5 du RGPD)

La « finalité », c’est-à-dire le but pour lequel les données sont traitées doit être « déterminée, explicite, légitime ». Les données collectées doivent être « adéquates, pertinentes, limitées, exactes, à jour  », et conservées en sécurité.

Les données sensibles

Elles sont soumises à un cadre un peu plus restrictif. L'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié, en conformité avec l’article 9 du RGPD. : 1° Le I est ainsi rédigé : « I. - Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. » Le RGPD ne concerne pas les traitements de données qu’une personne pourrait réaliser pour son usage strictement personnel.

L’article 13 traite enfin des traitements de données à caractère personnel dans le domaine de la santé : il modifie le chapitre IX de la loi du 6 janvier 1978.

7°) Les garanties concernant le traitement des données

Droit à la communication d’informations

Comme auparavant, un certain nombre d’informations doivent être communiquées à l’individu lorsqu’on lui réclame ses données, comme la nature des données demandées, l’identité de la personne ou de l’entité qui va les traiter, la raison pour laquelle elle les demande, combien de temps elles seront conservées…Références : article 12 du RGPD, article 70-18-I modifié de la loi de 1978.

Droits concernant le contrôle des données

La loi met en application les articles suivants du RGPD : droit d’accès (article 15), droit de rectification (article 16), droit à l’effacement ou « droit à l'oubli » (article 17). L’art. 70-20. – I prévoit que « la personne concernée a le droit d'obtenir du responsable du traitement :

« 1° Que soit rectifiées dans les meilleurs délais des données à caractère personnel la concernant qui sont inexactes ;

« 2° Que soient complétées des données à caractère personnel la concernant incomplètes, y compris en fournissant à cet effet une déclaration complémentaire ;

« 3° Que soit effacées dans les meilleurs délais des données à caractère personnel la concernant lorsque le traitement est réalisé en violation des dispositions de la présente loi ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement. »

Toutefois, ce droit n’a vocation à s’appliquer que pour des motifs limitativement énumérés. Toutes les hypothèses visées supposent que le traitement en cause ne soit pas ou plus conforme au RGPD.

Le droit à l’effacement se réduit à une limitation du traitement dans les cas prévus à l’article 70-20-III loi 1978.

Restrictions de droits

« Art. 70-21. - I. - Les droits de la personne physique concernée peuvent faire l’objet de restrictions selon les modalités prévues au II du présent article dès lors et aussi longtemps qu'une telle restriction constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne pour… » (Suit l’énumération des cas).

Droit d'opposition : article 21 du RGPD.

Prise de décision individuelle automatisée

Le RGPD permet à la personne d’interdire qu’une décision « produisant des effets juridiques » soit basée sur un « traitement automatisé  », sauf si la loi l’autorise expressément et l’assortit de garanties « des droits et libertés » ou si l’individu donne son consentement.

Article 22 du RGPD : « 1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision :

  • est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;
  • est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ;
  • ou est fondée sur le consentement explicite de la personne concernée (…). »

Références  : article 22 du RGPD transposé par l’article 14 de la loi 2018 modifiant l’article 10 de la loi de 1978.

Le cas des archives

L’article 14 de la loi de 2018 modifie l’article 36 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;

2° Les deuxième à dernier alinéas sont supprimés ;

3° Sont ajoutés deux alinéas ainsi rédigés :

« Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d'archives à des fins archivistiques dans l'intérêt public conformément à l'article L. 211-2 du code du patrimoine, les droits prévus aux articles 15, 16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s'appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l'article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique. »

*****************************************

II – LE RGDP DU COTE DE LA CNIL

************************************

Les dispositions concernant la Cnil figurent au chapitre Ier du titre Ier de la loi. La Cnil « est l'autorité de contrôle nationale au sens et pour l'application du règlement » du RGPD (article 1er de la loi).

La Cnil est les collectivités locales

Ce même article dit que la Cnil :

« peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » (article 11 modifié de la loi n° 78-17 du 6 janvier 1978).

« a bis) (…) Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ; » (même article de la loi de 78).

1°) L’inversion de la logique de contrôle supprime des formalités

Principe de responsabilisation des opérateurs de données : en vertu de ce principe », le système de contrôle des données est assoupli. L’article 5 du RGPD dit que « Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ».

Les formalités déclaratives sont simplifiées hormis pour les données sensibles (données de santé, biométriques ou génétiques).

Le contrôle a priori est remplacé par un contrôle a posteriori, ce qui laisse au soin du responsable de traitement la définition du niveau de protection adapté, au regard des moyens, des enjeux et des risques relatifs aux données collectées.

La charge de la conformité d’un traitement repose essentiellement sur son responsable : celui-ci doit être en mesure de démontrer à tout moment sa régularité : « s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. » (Article 24 RGPD)

Suppression de la grande majorité des formalités préalables à un traitement de données : C’est la conséquence de la logique de responsabilisation : la loi, par son article 11 supprime les formalités prévues aux articles 22 à 24, et 25 et 27, de la loi du 6 janvier 1978.

Les responsables de traitement devront donc mener une analyse d'impact (voir III point 3), et, le cas échéant, consulter la CNIL lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque (considérant 84 du RGPD).

2°) Dans certains cas, la Cnil pourra cependant être saisie préalablement à un traitement de données à caractère personnel

L’article 11 de la loi modifie l’article 22 de la loi de 1978. Cette formalité préalable particulière est liée au caractère sensible de certaines données, en particulier pour les traitements qui nécessitent l’utilisation du numéro d’inscription des personnes au RNIPP (répertoire national d’identification des personnes physiques). Le RNIPP « est l'image des registres d'état-civil » (Insee).

3°) La CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes.

La Cnil avertit le responsable du traitement d’une éventuelle violation. Elle peut prononcer une injonction de conformité (article 6 modifiant l’article 45-I de la loi 1978). L’article 83 du RGPD fixe les conditions générales pour imposer des amendes administratives : « effectives, proportionnées et dissuasives. ». Le calcul précis du montant de la sanction déjà déterminé par le RGPD qui prévoit des « amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. » (Article 7 modifiant l’article 45 de la loi de 1978).

Cnil : ce qui ne change pas

La Cnil continuera de procéder à des vérifications dans les locaux des organismes (en ligne, sur audition et sur pièces). La décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou pour faire suite à un précédent contrôle. Les principes fondamentaux de la protection des données tels que la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité des données notamment, continueront à faire l’objet de vérifications par la Cnil.

*************************************************

III – LE RGPD DU COTE DES COLLECTIVITES

********************************************

La loi du 6 janvier 1978 étant toujours applicable aux collectivités, celles-ci doivent toujours respecter les grands principes qu’elle énumère pour la collecte, le traitement et la conservation des données.

Les collectivités sont responsables, dès la conception, du traitement de leurs données, et par défaut (elles définissent les outils utilisés et les paramétrages par défaut).

L’article 70-11 de la loi de 1978 modifié par l’article 30 de la loi  : « Art. 70-11. - Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. (…) »

Le cas des données à caractère personnel

Des dispositions visent à faciliter l'application des règles relatives à la protection par les collectivités territoriales :

Article 31 de la loi  : « Sans préjudice du dernier alinéa de l'article L. 5111-1 du code général des collectivités territoriales, peuvent être conclues entre les collectivités territoriales et leurs groupements des conventions ayant pour objet la réalisation de prestations de service liées au traitement de données à caractère personnel

Les collectivités territoriales et leurs groupements peuvent se doter d'un service unifié ayant pour objet d'assumer en commun les charges et obligations liées au traitement de données à caractère personnel. »

Obligation de notification aux personnes

En ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement, une obligation de notification est prévue par l’article 19 du RGPD (article 70-20-VI loi 1978) aux personnes qui ont demandé l’exécution de ces opérations.

Notification d’une violation de données à la CNIL

Le responsable du traitement doit informer la CNIL de toute violation de données personnelles (télé procédure de notification en ligne). Le responsable du traitement a l’obligation de notifier la violation de données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Le RGPD impose au sous-traitant de notifier au responsable du traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance.

Les collectivités territoriales doivent désigner un DPO

Trois cas de désignation

L'article 37 du RGPD définit trois cas de désignation obligatoire du délégué à la protection des données (DPO : Data Protection officer »), dont le premier cas est : lorsque « le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle (...) » Les personnes privées, mêmes lorsqu’elles sont structurellement liées aux personnes publiques et qu’elles gèrent des services publics locaux, ne doivent pas être considérées comme des organismes publics au sens de l'article 37 § 1.a) du RGPD.

La mission du DPO

Le DPO (ou, en français, DPD pour délégué à la protection des données), a pour missions, d’après l’article 39 du RGPD, de :

- « informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (…),

- contrôler le respect du présent règlement (…),

- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;

- coopérer avec l'autorité de contrôle ;

- faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement (…) ».

Quelles sont les différences entre le correspondant informatique et libertés (CIL) et le DPO ?

Le DPO est le successeur naturel du correspondant informatique et libertés (CIL), car leurs missions sont comparables. Néanmoins, les prérogatives du DPO sont renforcées. Des exigences accrues sur la qualification du DPO sont posées. Le DPO doit réunir des compétences particulières, comme le précise l’article 37 § 5 du RGPD. Il doit jouir d’un positionnement efficace s’il est désigné en interne, afin de pouvoir dialoguer directement avec le niveau le plus élevé de l’organisation et d’animer une équipe d’experts.

Obligations et responsabilités du DPO

Le DPO ne peut pas être tenu pour responsable de l’absence de conformité des traitements qu’il a pour mission de contrôler. Le responsable du traitement doit aider le DPO à exercer ses missions en lui fournissant les « ressources nécessaires » (article 38 § 2 du RGPD).

Le DPO doit éviter le conflit d’intérêts. Ce qui veut dire que :

- lorsque le DPO est interne à l’organisme, il faudra veiller à ce que ces fonctions ne l’amènent pas à participer à la détermination des finalités et des moyens du traitement.

- En cas de DPO externe, il y aura également conflit d’intérêts si celui-ci est appelé à représenter le responsable du traitement devant les juridictions pour des affaires en lien avec la question de la protection des données.

Le DPO doit agir en toute indépendance et ne peut être exposé à des sanctions par l’organisme au titre de l’exercice de ses fonctions. Qu’ils soient internes, externes ou mutualisés, les DPO peuvent adhérer à la charte de déontologie du délégué à la protection des données personnelles publiée 28 décembre 2017. Cette charte garantit le bon exercice des fonctions de ces DPO et peut être invoquée à l’encontre des responsables de traitement, sous-traitants, employeurs, partenaires internes et externes des organismes, de la Cnil, d’autres DPO ainsi qu’aux personnes concernées.

Un DPO peut être commun à plusieurs administrations

« 3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille » (article 37 § 3 du RGPD). La mutualisation des fonctions de DPO ne doit pas nuire au bon exercice de l’une de ses missions essentielles : la disponibilité.

Comment est formalisée la désignation d’un DPO en interne ?

La Cnil a publié un formulaire de désignation en ligne du DPO. Une fois le DPO interne désigné et ce formulaire rempli, l’article 37 § 7 du RGPD impose au responsable du traitement de publier les coordonnées du délégué et de les communiquer à l’autorité de contrôle.

IV – Le RGPD et l’open data

A – Les documents concernés

La loi (article L312-1-1 du CRPA) oblige à publier en open data 4 types de données

Conformément à l’article L. 312-1-1 du CRPA, les collectivités territoriales de plus de 3500 habitants comptant plus de 50 agents sont tenues, lorsque ces documents sont disponibles sous format numérique, de publier en ligne les documents suivants (4 catégories). Pour pouvoir s’y référer facilement :

- les données qui sont communicables au sens de la loi de 1978 sur l’accès aux documents administratifs et au sens de la Cada,

- Les « les documents figurant au répertoire tenu par les administrations / des principaux documents contenant des informations publiques »

- Les « les bases de données » : mises à jour de façon régulière / et qui ne font pas l’objet d’une diffusion publique par ailleurs »,

- Les « données, / mises à jour de façon régulière, / dont la publication présente un intérêt économique, social, sanitaire ou environnemental. » 

Les cétégories de données 3 et 4 doivent être en accès libre (en open data) à partir du 7 octobre 2018, tandis que les datas de catégories 1 et 2 sont en principe disponibles, respectivement, depuis avril et octobre 2017.

Cas particulier du RIP (Répertoire des Informations publiques)

Il est mentionné au premier alinéa de l'article L. 322-6 du CRPA).

- Critère de libre appréciation, par la collectivité, de ce qui est nécessaire : Le RIP « La CADA a précisé que les dispositions de l’article 36 du décret du 30 décembre 2005 ne confèrent pas un caractère exhaustif à ce répertoire et laissent ainsi à chaque collectivité une marge d’appréciation. Le but n’est donc pas de dresser une liste complète des documents existants… » (Source : site de la Cada)

- Critère de la pertinence externe : Le RIP doit rassembler « des informations publiques susceptibles de présenter un intérêt pour des réutilisateurs »,

- Critère de l’existant : Le RIP ne prend en compte que les répertoires existants (cada : « publication en ligne du répertoire sollicité, sous réserve que celui-ci ait été élaboré par l'administration, ainsi qu'elle a l'obligation de le faire depuis 2005. » (avis n° 20180159 du 22 février 2018). Publication en ligne obligatoire, si « ces documents sont disponibles sous forme électronique » (article L312-1-1 du CRPA),

- Critère de l’utilité pratique et de la lisibilité : Le RIP doit « faciliter, par nature d’informations publiques, l’identification des documents qui les contiennent lorsqu’elle peut poser problème »

Sources : conseils n° 20061361 et 20061452 du 27 avril 2006). (Source : site de la Cada)

B – L’effectivité de la mise en œuvre

Quelles sont les sanctions encourues en cas de méconnaissance par une collectivité de ces nouvelles obligations ?

Sur cette page, la CADA a indiqué que l’absence de constitution d’un tel répertoire n’exposait pas la collectivité publique à des sanctions (conseil n° 20062173 du 8 juin 2006).

Lorsqu’une collectivité ne procède pas spontanément à mise en ligne d’un document soumis à une obligation « open data », un administré peut saisir la Cada de ce refus de publication (article L. 342-1 du CRPA). Toute procédure contentieuse devant les juridictions administratives est conditionnée à la saisine préalable pour avis de la Cada.

Retards dans l’application de la loi dans les ministères

Beaucoup de ministères ne sont pas en règle. Comme le prévoit la loi, la Cada a été saisie et a rendu ses avis et a émis « un avis favorable à la publication en ligne du répertoire sollicité… ». Toutefois dans un cas, une demande d’avis adressée par un tiers à la Cada a été déclarée « sans objet ». Elle concerne le ministère de l’environnement : les services ont reconnu que leurs informations publiques « n'étaient pas accessibles en ligne à partir d'une page unique mais que les liens permettant d'accéder en ligne à ces informations avaient été transmis au demandeur par courrier électronique du 21 février 2018 », soit un jour avant la réunion de la Commission.

C – Les règles fondamentales à respecter

Quelles préconisations respecter en cas de mise en ligne d’un document comportant des données personnelles ?

- concilier les exigences de transparence et de protection des données personnelles

- parvenir à un niveau d’anonymisation qui, à défaut d’être parfait, soit a minima satisfaisant au regard de l’avis rendu par les Cnil européennes le 10 avril 2014

- proscrire toute réutilisation des données ayant pour objet ou effet d’identifier de nouveau les personnes physiques initialement concernées par les informations diffusées.

1°) La protection des secrets

Avant d'être communiqués, les documents administratifs doivent être expurgés de tout secret protégé. Il s’agit des secrets indiqués aux articles L.311-5 et L.311-6 du CRPA : secret de la vie privée, secret industriel et commercial, secret médical, jugement de valeur, etc.

2°) La protection des données personnelles

Pour être publiés en ligne, mais aussi réutilisés, ils doivent en outre ne comporter aucune donnée à caractère personnel.

Cas d’exemption de communication

Les administrations ne sont tenues de les communiquer et de les publier que s'il est possible d'occulter ou de disjoindre les mentions non communicables et non publiables : la Cada considère qu'un document comportant un très grand nombre de mentions couvertes par un secret et dont l'occultation s'avérerait difficile pour l'administration peut être regardé comme non communicable. Voir par exemple cet avis de 2009 : avis n°20090682.

3°) Le cas des subventions individuelles

Les mentions des identités des bénéficiaires et des montants accordés ne portent pas en elles-mêmes atteinte à la vie privée. Ces données sont communicables et donc publiables comme données de première catégorie. Voici ce que disent la loi et la Cada.

Obligation de publication des données essentielles pour subventions > 23000 €

Cette obligation s’applique aux subventions d’un montant supérieur à 23 000 euros pour lesquelles une convention est obligatoire en vertu de l’article 10 de la loi 2000-321 du 12 avril 2000 sur les relations administrations-citoyens modifiée par l’article 18 de la loi du 7 octobre 2016 « pour une République numérique » (PRN).

L’arrêté du 17 novembre 2017 fixe les conditions de mises à disposition de ces données essentielles (article 1er). Parmi les données essentielles figure « le nom de l'attributaire » (décret du 5 mai 2017).

Publication des données sur les subventions quel que soit le montant

La Cada opère une distinction entre l’aide prise sur des critères individuels et l’aide indépendante de la situation individuelle. Cada avis 20055081 - Séance du 19/01/2006

« Pour les aides versées en considération de la situation d’une personne physique ou dont le calcul est fonction de celle-ci, la commission estime que le secret de la vie privée fait obstacle à la communication de la liste des bénéficiaires de telles aides et du montant des aides perçues par chacun.

En revanche, lorsqu’il s’agit d’aides versées pour l’exercice d’une activité économique ou culturelle ou encore pour améliorer l’état de l’environnement, indépendamment de la situation personnelle d’une personne physique, la commission estime que le nom des bénéficiaires de ces aides, que ce soient des personnes physiques ou des personnes morales, n’est pas couvert par le secret de la vie privée ni par le secret des affaires. Il en va de même du montant de l’aide perçue sous réserve que la révélation de ce montant ne permette pas d’en déduire une information couverte par le secret en matière industrielle et commerciale telle que le montant du chiffre d’affaires ou celui d’un investissement. »

Fiche thématique Cada

4°) Les règles du RGDP

Afin de permettre l'exercice le plus effectif possible des droits de l'open data, les collectivités devront veiller à ce que leurs outils de traitement permettent de rendre facilement communicables, publiables et réutilisables les documents administratifs et les informations publiques qu'ils contiennent.

Voir cet article pour : les règle des minimisation et de pseudonymisation, les responsabilités qui pèsent sur le responsable du traitement des données à caractère personnel, les analyses d’impacts sur la vie privée

IV – Le RGPD du côté des sous-traitants des collectivités

Les obligations qui incombent aux sous-traitants

L’article 12 de la loi (modifiant l’article 35 de la loi de 1978) énonce que le sous-traitant respecte les conditions prévues au chapitre IV du RGPD. Depuis le 25 mai 2018, les sous-traitants ne peuvent plus se contenter de suivre les instructions des collectivités responsables du traitement pour protéger la sécurité et la confidentialité des données. Ils doivent adopter une démarche active auprès des responsables de traitement dès lors qu’ils sont eux aussi concernés par la logique de responsabilisation. Les sous-traitants ont une obligation de transparence et de traçabilité. Ils doivent garantir le respect des principes de protection de données dès la conception et par défaut. Ils doivent garantir la sécurité des données traitées notamment au regard des principes de l’obligation de confidentialité imposée à leurs salariés. Ils ont enfin une obligation d’assistance, d’alerte et de conseil.

La conformité

- Certification (des personnes, produits, systèmes…) et agrément (des organismes certificateurs) ainsi que les critères de ces opérations sont du ressort de la Cnil (article 11 de la loi de 1978 modifié, point 6 et suivants).

- L’analyse d’impact ou DPIA (« Data Privacy Impact Assessment »)

Elle est obligatoire dans les cas indiqués par l’article 70-4 modifié de la loi de 1978 : « Si le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu’il porte sur des données mentionnées au I de l’article 8, le responsable du traitement effectue une analyse d’impact relative à la protection des données à caractère personnel. »

Elle est particulièrement requise aussi pour le traitement à grande échelle des catégories de données sensibles citées à l’article 9 du RGPD et, en cas de surveillance systématique, à grande échelle d’une zone accessible au public.

Elle peut s'avérer utile dans le cadre des transferts de compétences entérinés par la loi « Notre » du 7 août 2015 ou les délégations de compétences fondées sur l’article L. 1111-8 du CGCT donnant lieu à la redistribution de données personnelles entre les différents niveaux de collectivités territoriales concernées.

- Le registre de traitements :

Il doit être en conformité avec la loi « informatique et libertés ». Mais il est aussi un des principaux outils permettant aux organismes de prouver le respect des obligations imposées par le RGPD, ce qui implique qu’il soit mis à la disposition de la CNIL. La collectivité doit donc, en premier lieu, disposer d’un registre qui liste les traitements qui ont eu lieu sous sa responsabilité.

Le registre des activités de traitement est tenu par le responsable du traitement mais le sous-traitant en tient un aussi.

Le RGPD précise la forme du registre (écrite y compris électronique) ainsi que son contenu. S’agissant du registre tenu par le sous-traitant, les mêmes informations doivent être fournies, à l’exception notable de l’indication des délais prévus pour l’effacement des différentes catégories de données, puisque la politique d’effacement est décidée par le responsable du traitement.

 


Moyenne des avis sur cet article :  2.71/5   (7 votes)




Réagissez à l'article

13 réactions à cet article    


  • Taverne Taverne 28 juin 12:11

    P.S : La question des subventions

    Pour être complet et exact, il faut savoir que la question juridique des subventions n’est pas complètement réglée. Il y a discussion sur le point de savoir si tout ce qui est publiable pour les subventions officielles des collectivités peut être repris tel quel en traitement open data. La mise en œuvre de l’open data réglera ce point...


    • Pierre 28 juin 12:43

      On protège de plus en plus l’intimité des gens, la preuve : il faut désormais raconter aux banquiers sa vie en long, en large et en travers !


      • La Voix De Ton Maître La Voix De Ton Maître 28 juin 13:38
        - Loi au titre simplet et paternaliste, Ouais !
        - Loi boursouflée de mesurettes, Ouais !
        - Loi incompréhensible où on peut y caser n’importe quoi, Ouais !
        - Loi qui dit nous libérer en contrôlant tout, Ouais !
        - Loi aux exceptions dont les conséquences sont difficiles à imaginer, Ouais !
        - Loi rafistolée avec des morceaux de loi déjà rejetés par le passé, Ouais !

        Tous les voyants sont au vert pour qu’on s’fasse encore baiser.


        • MagicBuster 28 juin 13:51


          Tout le monde sait que accéder à une machine sans autorisation est répréhensible.
          C’est peu connu mais la loi est un plus sévère si la machine sert à effectuer des traitements automatisés avec des données personnelles !!

          Article 323-1 

          Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

          Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.


          Compte tenu des acteurs qui en veulent à nos données personnelles ,

          Je ne suis pas convaincu que cette peine soit assez sévère pour être dissuasive.


          • colibri 28 juin 14:36

            Ca a l’air d’être une foutaise pour mieux encore nous contrôler .


            • Taverne Taverne 28 juin 16:42

              Avant la loi du 20 juin 2018, la France avait produit une autre loi sur l’open data : la loi pour une République numérique du 7 octobre 2016 Cette loi est stricte sur les données personnelles.

              Sauf quand un texte le prévoit ou (cas n°2) si accord de l’intéressé, l’exploitation des données en vue de leur publication doit faire l’objet d’un traitement spécifique (respect des données personnelles).

              Article L311-1 : « Sous réserve des dispositions des articles L. 311-5 et L. 311-6, les administrations mentionnées à l’article L. 300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu’elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre. »

               Article L312-1-2 : « Sauf dispositions législatives ou réglementaires contraires, lorsque les documents et données mentionnés aux articles L. 312-1 ou L. 312-1-1 comportent des mentions entrant dans le champ d’application des articles L. 311-5 ou L. 311-6, ils ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement permettant d’occulter ces mentions.

              Sauf dispositions législatives contraires ou si les personnes intéressées ont donné leur accord, lorsque les documents et les données mentionnés aux articles L. 312-1 ou L. 312-1-1 comportent des données à caractère personnel, ils ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement permettant de rendre impossible l’identification de ces personnes.

              Exceptions  : "Une liste des catégories de documents pouvant être rendus publics sans avoir fait l’objet du traitement susmentionné est fixée par décret pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. » (…)



                • Konyl Konyl 28 juin 17:29

                  Ayant fini la mise en place de cette nouvelle règle à mon travail, on était pas trop mal et franchement ça oblige a faire une bonne cartographie de son système d’information, et ça fait mal aux opérationnels car ils se retrouvent responsabilisé un peu plus formellement.


                  • Jean Roque Jean Roque 28 juin 19:21

                    LES PHÉROMONES NUMÉRIQUES,
                    TRACES PISSEUSES DU PANTALON BAISSÉ (le gland remplacé du jouir sans entrave) SUR INTERbeNET
                     

                    « L’Iphone est au gogochon, ce que le doudou est au petit enfant : un objet transitionnel, fétiche rassurant nécessaire à son endormissement" WinniCott
                     
                    Les traces numériques laissées dans la rue par l’Iphone du gogochon (gogo, cochon de gôôôche, “on” heideggerien) s’ajoutent à celle des “piaillements” et de “fesses-boucs”.
                    Le Seigneur Mondialiste Zuckerberg les appelle les “phéromones numériques du gogochon”.
                     
                    Comme le multiethniquage standardisant dans le multi-akulti, ces effluences servent à assurer la bonne marche de la fourmilière, gouverner l’incertitude du futur, gouvernasse que Zuck nomme “l’économie comportementale”. Ce n’est pas de la statistique, qui demanderait l’entrée préalable de “catégories subjectives” déjà pensées (type social, ethnique, lieux etc...), pour seulement ensuite classer, hiérarchiser des données. Mais à l’inverse, ce sont les données de l’immanence naturelle du virtuel totalisé amorphes (La Nature Big Data) elles-mêmes, qui génèrent spontanément leurs propres catégories, mystérieuses souvent. Ce sont les phéromones qui créent les pistes à fourmis gogochonnes naturalisées.
                     
                    Ces pistes ne “répondent” pas à des “désirs” exprimés intentionnellement, mais anticipent suscitent pour guider elles-mêmes (“anticiper vos désirs” dit la pub...) de façon totalement immanente à la Nature capitalistique de la fourmilière.
                    Le Capital totalisé se branche ainsi directement sur l’inconscient libidineux du gogochon, pas sur sa volonté où son entendement qui doivent être nanifiés pour assurer le statu quo reproductif.
                     
                    Mais, les phéromones numériques font plus, elles formatent aussi la fourmi. Pour avoir reconnaissance des autres fourmis d’InterBEnet, beaucoup de “likes”, la fourmi gogochonne va d’elle-même adapter son comportement virtuel, modifier son profil fesses-boucs etc. Elle s’auto-optimise : le numérique se clôt sur lui-même. Par là, cette forclusion gère et gèle l’autobiographie même de l’animal (et même la sélectionne génétiquement par la parade sexuelle fesses-boucs).
                     
                    La classique dialectique sujet-objet fait donc intervenir un 3ème larron chiasmatique : la sélection virtuelle et son dessein intelligent caché, que l’animal gogochon ne peut comprendre, mais qui assure la pérennité des gènes du Capital Total.
                    La fourmilière est ainsi immunisée automatiquement, naturellement, écologiquement, par les phéromones numériques bavées par les fourmis vertes gogochonnes.


                    • rhea 1481971 28 juin 20:47
                      • Tout ceci est de la foutaise, tant qu’il y a un fil ou une onde
                      • électromagnétique on peut accéder au contenu d’un fichier
                      • Le cryptage ou les méthodes pour protéger un fichier des
                      • intrus sont du marketing pour vendre du vent. Un bon
                      • bidouilleur en informatique casse tout ça.

                      • Dom66 Dom66 28 juin 22:04

                        Les données personnelles ??? c’est mal barré ..déjà avec le compteur Linky mes pauvres amis


                        • sirocco sirocco 29 juin 00:58

                          @Dom66

                          Oui, Enedis va pouvoir se faire des c.... en or en vendant nos habitudes à tous les commerçants planétaires. Sinon pourquoi investirait-il une fortune dans la pose de ses compteurs mouchards ? Par philanthropie ? Pour nous faire économiser de l’énergie ? Mais bien sûr !... Et en plus il sponsorise le Tour de France ! Y aura vraiment gros à gagner avec nos données perso.


                        • Ruut Ruut 29 juin 08:09
                          Beaucoup de blabla pour pas grand choses.

                          C’est quand les bases de données d’état que nous n’aillons pas a redonner en permanence les mêmes infos encore et encore et ce a chaque services. car ce qui est un fléau c’est l’obligation (sois disant volontaire) de propagation de nos données personnelles pour accéder a certains services.

                          Tu as déjà préparé un PC Windows 10 sans avoir créer au moins 1 compte Microsoft , ou un Mac sans compte Apple ?

                          Combien de fois as tu du donner a l’administration des documents venant de l’administration....
                          Etc...

                          C’est quoi ces interdictions qui empêchent de créer des comptes enfants afin de protéger nos bambins sur le Net ?

                          Essaye de créer un compte YouTube a ton gamin de 3 ans afin qu’il ne subisse pas du contenu inapproprié a son age.....


Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON






Les thématiques de l'article


Palmarès