GDPR - La protection des données un droit fondamental

Le droit de l’Union Européenne se compose des traités et du droit dérivé de l’UE. Appliquée à la protection des données et de la vie privée, la hiérarchie des normes européennes en matière des règles de protection des données personnelles et de la vie privée se résume donc comme suit :

• le droit primaire de l’Union : Traité de l’Union européenne, Traité sur le fonctionnement de l’Union européenne (TFUE – article 16) et Charte des droits fondamentaux de l’Union européenne (article 8) ;
• le droit dérivé de l’Union : Règlement 2016/ 679 et textes associés.

Où trouver le texte ? Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est aisé à consulter :

1. Sur le site de la CNIL ;

2. Sur le site du DSB-Mit-System

3. Sur le site de l'Union Européenne.

À savoir : le Règlement européen abroge la directive européenne 95/46/CE

L’article 8 de la Charte des droits fondamentaux de l'Union européenne se lit comme suit :

« Protection des données à caractère personnel

1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »

Le principal acte juridique de l’UE en matière de protection des données fut la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (directive relative à la protection des données) - http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML.

Elle a été adoptée en 1995, date à laquelle plusieurs États membres avaient déjà adopté des lois nationales sur la protection des données. La libre circulation des marchandises, des capitaux, des services et des personnes au sein du marché intérieur imposait la libre circulation des données. Impossible à concrétiser donc si les États membres ne pouvaient se fier à un niveau uniformément élevé de protection des données.

Une méthode originale (« 6 c’s ») pour comprendre le droit

Pour comprendre le Règlement, nous appliquons au fil des articles qui vont suivre une méthode originale que j’ai développée, la méthode des 6 checks ou 6 c’s (https://youtu.be/IA6gPmlriyo?t=2 & http://www.law-right.com/fr/notre-cabinet/6-checks-pour-optimiser-votre-dossier/).

L’auteur fait ainsi référence aux commentaires des autorités de contrôle (« Data Protection Authority ») pour la protection de la vie privée des principaux pays francophones concernés :

1. France : la Commission Nationale de l’Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr et son rapport : Règlement européen sur la protection des données : ce qui change pour les professionnels (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels)
2. Belgique : de Commissie voor de bescherming van de persoonlijke levenssfeer ou CBPL / la Commission de la protection de la vie privée ou CPVP : https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0 et bientôt l’Autorité de protection des données cf PROJET DE LOI du 23 août 2017 portant création de l’Autorité de protection des données : https://www.droit-technologie.org/wp-content/uploads/2017/09/projet-loi-chambre-APD.pdf
3. Confédération Suisse : le Préposé fédéral à la protection des données et à la transparence (PFPDT) : https://www.edoeb.admin.ch/index.html?lang=fr
4. Grand-duché de Luxembourg : la Commission nationale pour la protection des données : https://cnpd.public.lu/
5. Québec : Commission d’accès à l’information du Québec : Commission d'accès à l'information du Québec |
6. German Data Protection Conference (Datenschutzkonferenz, abbr. DSK) : https://www.lda.bayern.de/en/privacy_eu.h@&é”’tml

Si les règles seront ainsi commentées à plusieurs niveaux de détails, et de manière transversale, nous renonçons à les particulariser dans une seule des législations nationales où ce Règlement est d’application (même pas la Belgique dont l’auteur est national et résident sur le plan civil).

C’est la condition déterminante pour conserver à ces partages et éclairages leur caractère universel et détaché de tout particularisme ou nationalisme.

Un droit fondamental des citoyens européens

In fine, la protection des données est plus que jamais un « droit fondamental » (considérant n°1 du RGPD) qui inspire et imprègne selon moi toute la matière en se résumant comme suit : « toute personne a droit à la protection des données à caractère personnel la concernant ».

Points clés

Conformément à l’article 8 de la CEDH (Cour Européenne des Droits de l'Homme), le droit à la protection contre la collecte et l’utilisation de données à caractère personnel fait partie du droit au respect de la vie privée et familiale, du domicile et de la correspondance.

La Convention 108 du CdE (Conseil de l’Europe) est le premier acte ayant force juridique obligatoire au niveau international explicitement consacré à la protection des données.

Dans le droit de l’UE, la protection des données a été réglementée pour la première fois par la directive relative à la protection des données.

Dans le droit de l’UE, la protection des données a été reconnue comme un droit fondamental.

Soyons donc raisonnablement, pour ne pas en perdre la tête mais à juste titre en permanence, préoccupés par la conception et la protection des données… dès le stade de la conception et par défaut.

Et si l’enseignement absolu du Règlement était de nous encourager à initier nos multiples projets à l’aide des règles de protection des données personnelles et de la vie privée et ce dès lors donc le stade de la génération même de nos créations abondantes et souvent digitales ?

La protection dès la conception est définitivement le changement de mentalité qui nous sera le plus utile à l’ère digitale version Xy. Toute personne impliquée dans cette protection des données et de la vie privée, responsable du traitement, sous-traitant, délégué à la protection des données (DPD), intègre à présent les nouvelles règles du RGPD dès la conception de toute application, produit ou service (et non plus seulement au stade de la production, l’exploitation ou du service après-vente).

Un droit relatif

Si la protection des données à caractère personnel est un droit fondamental, il n’est toutefois aucunement supérieur et encore moins absolu ou simplement exclusif.

Un équilibre doit être trouvé entre les droits fondamentaux et l’objectif européen poursuivi depuis la naissance de cette grande alliance régionale : le marché unique (digital en l’occurrence) européen.

Ainsi, la Charte des droits fondamentaux de l’Union européenne prévoit que : « Toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ».

La protection des données à caractère personnel des individus est un droit fondamental. Ce droit n’est toutefois pas plus absolu que totalitaire.

Un équilibre doit être trouvé entre les droits fondamentaux en cas de conflits de règles.

Dans cet esprit, la Charte des droits fondamentaux de l’Union européenne prévoit que « toute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui » (Charte des droits fondamentaux de l’Union européenne, art. 52 § 1).

La jurisprudence de la CouEDH (La Cour européenne des droits de l'homme) est particulièrement fournie en termes de pondération du droit à la protection des données avec le droit à la liberté d’expression (l’article 10 de la CEDH).

Dans l’affaire Von Hannover c. Allemagne (n° 2)29, la CouEDH n’a pas constaté de violation du droit au respect de la vie privée au titre de l’article 8 de la CEDH lorsque la princesse Caroline de Monaco s’est vue refuser une injonction contre la publication d’une photographie la représentant avec son mari pendant des vacances au ski. La photographie était accompagnée d’un article faisant état, entre autres, de la dégradation de l’état de santé du prince Rainier. La CouEDH a conclu que les juridictions nationales avaient procédé à une mise en balance circonstanciée du droit des sociétés d’édition à la liberté d’expression avec le droit des requérants au respect de leur vie privée. La qualification donnée à la maladie du prince Rainier d’« événement de l’histoire contemporaine » par les juridictions nationales ne pouvait passer pour déraisonnable et la CouEDH a considéré que la photographie, considérée à la lumière des articles l’accompagnant, avait apporté, au moins dans une certaine mesure, une contribution à un débat d’intérêt général. La CouEDH a exclu la violation de l’article 8 de la CEDH.

Anticiper et se préparer

Selon une enquête réalisée par la Gazette des communes, seulement 10 % des collectivités pensent qu’elles seront prêtes pour mai 2018. La CNIL les incite à se préparer en désignant dès maintenant un correspondant à la protection des données qui deviendra délégué (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-comment-les-collectivites-peuvent-elles-se-preparer).

https://www.facebook.com/CNIL/videos/vb.234594743203/10153937295353204/?type=2&theater & https://www.facebook.com/CNIL/videos/10153937295353204/

La CNIL française est d’avis que « Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés » (CIL), qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener. » (I1ère des 6 étapes pour se préparer au Règlement européen : https://www.cnil.fr/fr/designer-un-pilote).

La désignation d’un délégué à la protection des données est obligatoire en 2018 si :

• Vous êtes un organisme public ;
• Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Les avocats, professionnels du chiffre, informaticiens et juristes sont en première ligne pour jouer ce rôle, à titre indépendant et ad interim le cas échéant, dans votre entreprise.