​Le règlement européen sur la protection des données personnelles enfin sur des rails

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement sur la protection des données (à qui il reste à passer la validation du Parlement Européen) devrait s'appliquer au 1er janvier 2018 dans tous les pays de l'Union Européenne et pour la France venir se substituer à l’ancestrale loi Informatique et Libertés du 7 janvier 1978. On y retrouve les classiques obligations de transparence, de loyauté et de proportionnalité dans le traitement des données personnelles mais aussi de vraies nouveautés. Détails...

Le principe pour la légalité d'un traitement de données personnelles est l'accord préalable des personnes concernées (opt-in). L'accord tacite reste possible mais devient l'exception (en cas d'obligation légale, pour préserver les intérêts des personnes concernées …). Le consentement doit être donné de façon claire, non ambigüe et c'est au responsable du traitement de justifier de celui-ci. Ce consentement peut être retiré à tout moment. Cela ne devrait pas révolutionner les pratiques dans la mesure où la « case à cocher » est devenue depuis longtemps la règle notamment dans le domaine du marketing.

Le traitement des données personnelles des mineurs (en dessous de 16 ans pour la règle générale ou par exception 13 ans s'il existe des dispositions spécifiques dans le pays concerné) est subordonné à l'accord préalable des titulaires de l'autorité parentale. Ce sera au responsable du traitement de le vérifier. Cette nouvelle disposition qui se calque sur le droit américain risque de modifier sensiblement les opérations à destination des mineurs qui ne faisaient pas l’objet par la pratique de précaution particulière.

Le règlement intronise le principe de portabilité de ses données personnelles, à savoir la possibilité de se voir transmettre sur un support numérique ou transférer sur un serveur l’ensemble de ses données. Il s’agit d’un renforcement du principe de droit d’accès à ses données personnelles qui figurait dans la loi Informatique et Libertés.

Le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :

– L'identité du responsable du traitement (et son adresse)
– L'objet du traitement – Les destinataires des données
– La durée de conservation des données
– Le droit d'accès, de rectifier ou de supprimer les données
– Le droit à la portabilité des données
– Le droit de saisir la CNIL
– L'obligation de fournir ses données pour remplir une obligation contractuelle

Si les données n'ont pas été reçues de la personne concernée mais d'un tiers (on peut penser aux opérations de parrainage en matière de marketing), il conviendrait de fournir en plus l'information sur la source ayant fourni les données (notion de traçabilité des données).

Le règlement encadre le principe de droit de retrait qui existait dans la Loi Informatique et Libertés pour consacrer un véritable droit à l’oubli numérique mais sous conditions. Le responsable du traitement se trouve contraint d’effacer dans un bref délai les données personnelles de toute personne en faisant la demande. Cette demande doit toutefois être justifiée et il est possible pour le responsable du traitement de s’y opposer en arguant notamment du principe du droit à l’information, de liberté d’expression ou dès lors que ce traitement de données procède d’un intérêt scientifique, historique ou vise à protéger le public d’une manière ou d’une autre. Sur ce point du droit à l'oubli, le règlement européen vient valider les différentes décisions judiciaires qui sont intervenues depuis le fameux arrêt de la Cour Européenne du 13 mai 2014 qui avait imposé à Google la mise en œuvre du droit au déréférencement.

A propos de l'auteur : Fabien Honorat est avocat associé chez Péchenard & associés.