À l'heure actuelle, le GDPR est l'une des lois sur la protection de la vie privée les plus influentes et les plus discutées au monde, si ce n'est la plus influente. La protection de la vie privée numérique est de plus en plus au premier plan des pratiques commerciales. Et il était temps. 10 ans après la révélation des dossiers Snowden, la protection de la vie privée n'en est encore qu'à ses débuts.
Dernièrement, les autorités ont pris position et l'ONG noyb s'est attaquée aux grands(Facebook et Google), et tout semble se résumer au règlement européen sur la protection de la vie privée, appelé GDPR (GDPR en anglais). Cet article décrit plus en détail cette loi sur la protection de la vie privée et aborde quelques questions générales et importantes à son sujet. Qu'est-ce que le GDPR ? Quand s'applique-t-il ? Comment est-il appliqué ?
- Qu'est-ce que le GDPR ?
- Le GDPR s'applique-t-il directement ?
- Quand le GDPR s'applique-t-il ?
- À qui s'applique le GDPR ?
- Qui fait appliquer le GDPR ?
- Le GDPR protège-t-il la vie privée ?
- Qui a des droits en vertu du GDPR ?
- Quels sont les principes du GDPR ?
- Quelles données sont considérées comme des données à caractère personnel dans le cadre du GDPR ?
- Quelles sont les données sensibles au sens du GDPR ?
- Quels sont les droits relatifs aux données protégés par le GDPR ?
- Quelles sont les obligations prévues par le GDPR ?
- Quelles sont les amendes prévues par le GDPR ?
- Le GDPR exige-t-il le consentement ?
- Le GDPR exige-t-il le consentement pour les cookies ?
- Comment le GDPR réglemente-t-il les transferts de données ?
- Le GDPR est-il la seule loi européenne en matière de protection de la vie privée ?
- Comment se conformer au GDPR ?
- Conclusions
Découvrons-le !
Qu'est-ce que le GDPR ?
Le règlement général sur la protection des données (RGPD) est un règlement de l'Union européenne (règlement (UE) 2016/679). Il s'agit du règlement européen le plus important en matière de protection de la vie privée et du cœur du cadre européen de protection des données. Le règlement a été approuvé en 2016 et est entré en vigueur en 2018.
Le GDPR vise à protéger les droits des individus en matière de données tout en encourageant la libre circulation des données. Ces objectifs ne sont pas faciles à concilier, et c'est pourquoi le GDPR est une législation longue et complexe, avec beaucoup de principes, de règles et d'exemptions. Mais en résumé, le GDPR concerne ce qui peut et ne peut pas être fait avec des données personnelles.
Le GDPR s'applique-t-il directement ?
Oui, car il s'agit d'un règlement. En droit européen, les règlements s'opposent aux directives parce qu'ils ne doivent pas être mis en œuvre. En revanche, les directives ne s'appliquent pas directement et doivent être mises en œuvre par la législation nationale des États membres.
Le GDPR a été précédé par la directive sur la protection des données. Le GDPR hérite de nombreuses règles de la directive, mais il établit une base plus solide pour les droits à la vie privée dans les États membres parce qu'il s'agit d'un règlement.
Quand le GDPR s'applique-t-il ?
Le GDPR s'applique à tous les États membres de l'Union européenne et de l'Espace économique européen (c'est-à-dire les États membres de l'UE, ainsi que l'Islande, le Liechtenstein et la Norvège).
Le GDPR a également un effet extra-territorial car il s'applique parfois à des entreprises et autres entités situées en dehors de l'UE/EEE. Les règles relatives au champ d'application territorial du GDPR sont trop complexes pour être résumées en quelques mots, mais pour simplifier à l'extrême, nous pouvons dire qu'il s'applique à toute entreprise ou service ciblant un marché ou un public européen. Vous pouvez consulter le site gdprhub.eu pour une explication plus détaillée et plus précise.
Il convient également de noter que le GDPR ne s'applique qu'aux données personnelles.
À qui s'applique le GDPR ?
Le GDPR s'applique aux responsables du traitement des données et aux sous-traitants.
Le responsable du traitement des données est l'entité qui "contrôle" le traitement des données, car il décide des moyens et des finalités du traitement. En revanche, le sous-traitant est l'entité qui traite les données pour le compte de quelqu'un d'autre et suit ses instructions. Ainsi, si une entreprise utilise un service en nuage pour stocker les données personnelles de ses employés, l'entreprise est un contrôleur de données et le fournisseur de services en nuage est un sous-traitant de données (tandis que les employés sont les personnes concernées).
D'autres scénarios sont possibles. S'il y a deux ou plusieurs responsables du traitement pour une même opération de traitement, il s'agit de responsables conjoints. Et si un sous-traitant travaille pour un autre sous-traitant, il s'agit d'un sous-traitant secondaire.
La distinction entre responsable du traitement et sous-traitant est importante car les obligations qui leur incombent en vertu du GDPR sont différentes. Elle est également délicate : certains cas sont clairs, d'autres sont plus compliqués.
Qui fait appliquer le GDPR ?
Le GDPR est appliqué à la fois par les tribunaux et par les autorités chargées de la protection des données.
Chaque État membre de l'UE et de l'EEE dispose d'une autorité de protection des données (APD), et certains en ont plusieurs, comme l'Allemagne. Les autorités chargées de la protection des données sont des autorités administratives qui agissent en vertu du droit national pour faire appliquer le GDPR et le droit relatif à la protection de la vie privée.
Toutes les autorités de protection des données font partie du Comité européen de protection des données, une institution de l'UE qui coordonne l'application du GDPR. Le CEPD statue sur les cas transfrontaliers sur lesquels les autorités de protection des données ne sont pas d'accord. Le Comité est également très actif dans la publication d'orientations qui ne sont pas contraignantes mais qui ont une grande influence.
Il est également possible de faire appliquer le GDPR par le système judiciaire des États membres. Ainsi, si vos droits en vertu du GDPR sont violés, vous pouvez saisir un tribunal et demander des dommages-intérêts ou déposer une plainte auprès de votre autorité nationale de protection des données.
Il existe des différences importantes entre ces deux voies d'exécution. Par exemple, les autorités de protection des données n'ont pas le pouvoir d'accorder des dommages et intérêts, et les tribunaux civils n'ont pas le pouvoir d'infliger des amendes. Les tribunaux et les autorités de protection des données jouent donc des rôles différents dans l'application de la loi.
Les recours fonctionnent différemment selon qu'il s'agit d'un tribunal ou d'une autorité de protection des données, mais dans les deux cas, une affaire peut être portée devant la Cour de justice de l'UE. La Cour de justice a essentiellement le dernier mot sur l'interprétation du GDPR. C'est pourquoi les autorités chargées de la protection des données, les avocats spécialisés dans les données et les tribunaux nationaux se réfèrent souvent à la jurisprudence de la Cour lorsqu'ils interprètent le GDPR. Si vous suivez notre blog, vous avez probablement perdu le compte des fois où nous avons mentionné l'arrêt Schrems II - nous l'avons fait !
Le GDPR protège-t-il la vie privée ?
En quelque sorte. Pour être exact, il protège le droit à la protection des données. Les termes "vie privée" et "protection des données" sont souvent utilisés comme synonymes. Nous le faisons aussi parfois, par souci de lisibilité. Mais la Charte européenne des droits fondamentaux les reconnaît comme des droits de l'homme distincts, de sorte qu'ils ne sont pas exactement identiques en vertu du droit communautaire.
La distinction entre la protection de la vie privée et la protection des données peut sembler étrange au départ, mais elle est logique d'un point de vue pratique. Pour exercer vos droits en vertu du GDPR, vous n'avez pas besoin de prouver que des informations intimes ont été révélées ou que votre sphère privée a été envahie de quelque manière que ce soit. Si quelqu'un traite vos données à caractère personnel, vous avez simplement des droits en vertu du GDPR. La distinction entre la protection de la vie privée et la protection des données facilite donc l'exercice de vos droits, et c'est ce qui compte vraiment.
Qui a des droits en vertu du GDPR ?
Toute personne en Europe a des droits en vertu du GDPR, indépendamment de son lieu de résidence ou de sa citoyenneté. Cela signifie que les citoyens de l'UE et les non-ressortissants de l'UE ont exactement les mêmes droits en vertu du GDPR tant qu'ils se trouvent dans l'UE/EEE. En revanche, un citoyen de l'UE ne bénéficie d'aucun droit en matière de données en vertu du GDPR lorsqu'il se trouve en dehors de l'Union/EEE.
En outre, toute personne a des droits en vertu du GDPR, où qu'elle se trouve, tant que ses données sont traitées en Europe. Par exemple, une entreprise française qui traite exclusivement des données de résidents japonais est toujours liée par le GDPR.
Quels sont les principes du GDPR ?
La plupart des principes du GDPR se trouvent à l'article 5 :
- les données doivent être traitées de manière licite, loyale et transparente (principes de licéité, de loyauté et de transparence)
- les données doivent être collectées pour une finalité spécifique et être adaptées à cette finalité (limitation de la finalité)
- les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données - nous avons écrit à ce sujet)
- les données doivent être exactes et mises à jour (exactitude)
- les données doivent être effacées ou rendues anonymes dès qu'elles ne sont plus nécessaires (limitation de la conservation)
- les données doivent être traitées de manière sûre et confidentielle afin d'éviter toute violation des données (intégrité et confidentialité)
- si vous traitez des données à caractère personnel, il vous incombe de démontrer que vous respectez tous ces principes (responsabilité).
Quelles données sont considérées comme des données à caractère personnel dans le cadre du GDPR ?
Les données à caractère personnel sont toutes les informations relatives à une personne physique identifiée ou identifiable (une personne concernée dans le cadre du GDPR).
En termes juridiques, une personne physique est une personne au sens commun du terme. Les individus ont donc des droits en vertu du GDPR, alors que les organisations publiques et privées n'en ont pas. Les personnes décédées n'ont pas non plus de droits en vertu du GDPR.
Il n'est pas nécessaire que les données portent atteinte à la vie privée pour qu'elles soient protégées ; il suffit qu'elles soient liées à quelqu'un. Ce ne serait pas la fin du monde si vous appreniez que j'ai bu un café ce matin, mais cette information reste une donnée personnelle parce que mon nom figure en haut de ce blog.
La définition des données à caractère personnel semble assez simple, mais elle ne l'est pas vraiment. C'est le terme "identifiable" qui est le plus délicat. Selon le GDPR, une personne concernée est identifiable lorsqu'elle peut être identifiée - c'est-à-dire lorsque des données peuvent être rapportées à elle de manière individuelle. Il n'est pas nécessaire que les données révèlent l'identité de la personne concernée pour qu'elles soient considérées comme des données à caractère personnel.
Par exemple, certains cookies contiennent des identifiants uniques, qui sont des chaînes de lettres et de chiffres générées de manière aléatoire. Ces chaînes ne contiennent aucune information sur l'identité de la personne concernée, mais leur caractère unique en fait des données à caractère personnel au sens du GDPR, car chaque chaîne se réfère à un seul utilisateur.
La définition des données à caractère personnel a d'autres conséquences importantes. Certaines données ne permettent pas d'identifier une personne de manière indépendante, mais peuvent le faire lorsqu'elles sont combinées à d'autres données (pensez à la manière dont certains sites web prennent les empreintes digitales des utilisateurs en se basant sur les données de l'appareil). Ces données peuvent alors devenir personnelles au sens du GDPR. Les données anonymisées et agrégées posent les mêmes problèmes de réidentification.
En définitive, la notion de données personnelles est une véritable boîte de Pandore. Nous ne pouvons pas aller plus loin ici, mais si vous êtes curieux, le gdprhub offre des commentaires précieux sur le sujet.
Quelles sont les données sensibles au sens du GDPR ?
Les données révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, les données génétiques, les données biométriques, les données relatives à la santé et les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne sont toutes traitées comme des données sensibles par le GDPR.
Le GDPR définit des règles spécifiques et plus strictes pour le traitement des données sensibles.
Quels sont les droits relatifs aux données protégés par le GDPR ?
Ils sont assez nombreux. La plupart d'entre eux visent à donner aux personnes un certain contrôle sur leurs données. Par exemple, vous pouvez demander l'effacement ou la rectification de vos données, vous pouvez demander à y accéder et vous avez le droit de recevoir des informations de base sur le traitement de vos données. Dans certaines situations, vous pouvez également vous opposer au traitement de vos données ou révoquer votre consentement au traitement.
Quelles sont les obligations prévues par le GDPR ?
Chaque droit de la personne concernée implique une obligation pour le responsable du traitement. Ainsi, lorsque vous exercez votre droit à l'effacement de vos données, le responsable du traitement a l'obligation de les effacer, et ainsi de suite.
Les responsables du traitement ont également des obligations qui n'ont pas de contrepartie directe parmi les droits de la personne concernée. Par exemple, les responsables du traitement doivent traiter les données à caractère personnel de manière licite, ne pas les conserver plus longtemps que nécessaire, les traiter de manière sécurisée et notifier les violations de données aux autorités chargées de la protection des données. Il s'agit là d'obligations générales en vertu du GDPR, et les responsables du traitement doivent s'en acquitter même si les personnes concernées ne le leur demandent pas.
Les responsables du traitement doivent également être en mesure de prouver qu'ils se conforment au GDPR. C'est ce qu'on appelle le principe de responsabilité.
Les responsables du traitement ont également des obligations, mais la plupart d'entre elles sont différentes de celles d'un responsable du traitement. Cela se justifie par le fait qu'ils suivent des instructions et n'ont pas autant de pouvoir de décision que le responsable du traitement des données.
Quelles sont les amendes prévues par le GDPR ?
Le GDPR est réputé pour ses amendes effrayantes. Les sanctions sont plafonnées à 20 millions d'euros ou à 4 % du chiffre d'affaires annuel mondial d'une entreprise, le montant le plus élevé étant retenu. Le record actuel est détenu par Amazon, avec une amende de 746 millions d'euros, et nous avons récemment évoqué deux amendes infligées à Meta pour un montant total de 390 millions d'euros.
(Mise à jour : Meta a été condamné à une amende de 1,2 milliard d' euros et détient désormais le record !)
La mise en conformité peut être coûteuse, mais les amendes sont adaptées au cas par cas. Les petites entreprises qui ont commis une erreur honnête et les grandes entreprises qui tentent de jouer avec le système sont traitées différemment. Les autorités chargées de la protection des données s'efforcent généralement de travailler avec les entreprises pour qu'elles se mettent en conformité avec la loi, plutôt que d'infliger de lourdes amendes à tout bout de champ. Elles considèrent favorablement les entreprises qui collaborent aux enquêtes et prennent des mesures pour résoudre les problèmes de conformité, même si elles ne le font qu'après le dépôt d'une plainte.
Le GDPR exige-t-il le consentement ?
Non, le GDPR n'exige pas le consentement. Du moins, pas toujours.
Nous avons déjà écrit un blog sur le consentement, voici donc une explication condensée : en vertu du GDPR, les données ne peuvent être traitées que pour une raison. Chaque opération de traitement des données doit reposer sur une base juridique, c'est-à-dire une justification. Le consentement est l'une de ces justifications. Le GDPR en inclut cinq autres, comme l'intérêt légitime ou l'obligation légale.
La réponse la plus correcte à la question est donc que cela dépend. L'idée selon laquelle le GDPR exige toujours le consentement est erronée. Vous avez toujours besoin d'une base juridique pour traiter les données. Il peut s'agir d'un consentement ou d'autre chose (comme une obligation légale ou l'exécution d'un contrat). Il existe en effet des cas où le consentement est la seule option possible parce qu'aucune autre base juridique ne s'applique au scénario en question, mais ce n'est pas une règle générale.
Le GDPR exige-t-il le consentement pour les cookies ?
Cela dépend. Les cookies nécessaires, tels que les cookies de sécurité, ne nécessitent pas de consentement. En revanche, les cookies non nécessaires, tels que les cookies d'analyse et de marketing, nécessitent toujours un consentement. C'est la raison pour laquelle vous voyez tant de bannières de cookies lorsque vous naviguez.
Cela n'est pas dû au GDPR. Les cookies relèvent de la directive "vie privée et communications électroniques", qui exige le consentement pour les cookies. Par ailleurs, la directive couvre également des technologies similaires aux cookies, telles que les traqueurs de publicité sur les appareils (nous avons récemment traité un cas intéressant à ce sujet).
Comment le GDPR réglemente-t-il les transferts de données ?
En principe, les données doivent être transférées en toute sécurité en dehors de l'Europe. Pour garantir cela, le règlement établit un système complexe de règles pour les transferts de données. Nous avons abordé ce sujet en profondeur, mais en résumé, chaque fois que vous transférez des données vers un pays tiers, vous devez vous appuyer sur l'un des mécanismes de conformité énumérés par le GDPR, qui sont tous censés agir comme des garanties pour les données.
La situation est compliquée pour les États-Unis en raison de l'étendue et du caractère invasif de la surveillance exercée par l'État sur les données étrangères. Le risque de surveillance est la raison pour laquelle la Cour européenne de justice a invalidé un mécanisme existant pour les transferts de données entre l'UE et les États-Unis (le Privacy Shield) dans l'arrêt Schrems II de 2020. Dans l'ensemble, l'arrêt rend très difficile le respect des règles de transfert de données lors de l'envoi de données aux États-Unis.
Schrems II est au cœur des problèmes de Google Analytics avec les transferts de données et c'est la raison pour laquelle Google Analytics a été pratiquement interdit en Autriche, en France, en Italie, au Danemark et en Finlande (ainsi qu'en Norvège, bien que la décision ne soit que préliminaire). Schrems II est également à l'origine de l'amende de 1,2 milliard d'euros infligée à Meta et du risque de black-out de Facebook en Europe.
Mais le problème ne se limite pas à Facebook et à Google Analytics. À l'avenir, il pourrait concerner d'autres fournisseurs de services, y compris des services clés tels que AWS, Oracle et Microsoft Azure.
C'est pourquoi la Commission européenne travaille sur le cadre transatlantique de protection des données, un nouveau système destiné à faciliter les transferts de données entre l'Union européenne et les États-Unis. Mais il n'est pas certain que ce nouveau cadre résoudra les problèmes du bouclier de protection de la vie privée. Et à un moment donné, le cadre transatlantique de protection des données personnelles sera certainement contesté devant la Cour de justice (probablement par M. Schrems lui-même).
En résumé, l'avenir des transferts de données entre l'UE et les États-Unis restera incertain jusqu'à ce que nous obtenions une décision "Schrems III".
Le GDPR est-il la seule loi européenne en matière de protection de la vie privée ?
Le GDPR est crucial pour la législation européenne en matière de protection de la vie privée, mais il existe également d'autres sources importantes.
Nous avons déjà mentionné l'une d'entre elles : la directive "vie privée et communications électroniques". Cette directive s'adresse principalement aux fournisseurs de services de communication, tels que les sociétés de télécommunications et les fournisseurs d'accès à Internet (mais les règles relatives aux cookies que nous avons mentionnées ont un champ d'application plus large). Un règlement sur la vie privée et les communications électroniques est en cours d'élaboration et devrait remplacer la directive, tout comme le GDPR a remplacé l'ancienne directive sur la protection des données.
La directive relative à l'application des lois est une autre pièce du puzzle. Elle traite des enquêtes criminelles et de la justice pénale et a été rédigée et approuvée parallèlement au GDPR. L'objet de la directive n'entre pas dans le champ d'application du GDPR, de sorte que les deux sources se complètent.
D'autres sources de droit européen ne sont pas des lois sur la protection de la vie privée, mais ont une incidence sur les droits en la matière. La récente loi sur les marchés numériques et la loi sur les services numériques en sont deux exemples notables.
À un niveau plus élevé, la Charte des droits fondamentaux de l'Union européenne protège les droits à la vie privée et à la protection des données. La Charte a le même statut juridique que les traités qui établissent l'Union : elle est l'une des sources les plus élevées du droit communautaire et l'emporte sur les directives et les règlements.
La Convention européenne des droits de l'homme reconnaît également la vie privée comme un droit fondamental. La Convention ne fait pas techniquement partie du cadre juridique de l'UE, mais elle a néanmoins une influence sur le droit communautaire. Il en va de même pour la jurisprudence de la Cour européenne des droits de l'homme, qui veille à l'application de la Convention et n'est pas une institution de l'UE.
Comment se conformer au GDPR ?
Iln'existe pas de réponse unique etuniverselle. Il n'existe pas non plus de liste de contrôle exhaustive. Chaque stratégie de conformité doit être adaptée à un scénario spécifique et tenir compte des types de données, des finalités pour lesquelles elles sont traitées, de l'ampleur du traitement des données, etc. Une bonne stratégie de conformité doit impliquer toutes les parties prenantes au sein d'une organisation et nécessite une bonne compréhension de la manière dont les données sont traitées, ce qui n'est pas trivial(oui, Meta, je te regarde).
Ceci étant dit, l'article 5 du GDPR résume la plupart des principes qui sous-tendent le GDPR, vous pouvez donc l'utiliser comme point de départ pour vous poser les bonnes questions. Vous pouvez donc l'utiliser comme point de départ pour vous poser les bonnes questions :
- sur quelle base juridique puis-je traiter des données à caractère personnel ?
- Est-ce que je fournis suffisamment d'informations à mes clients ou à toute autre personne à laquelle les données se réfèrent ? Comprennent-ils ce que je fais de leurs données et pourquoi je le fais, au moins en termes très généraux ? Comprennent-ils quels sont leurs droits et comment les exercer ?
- est-ce que je collecte des données dans un but clair et précis ?
- ai-je vraiment besoin de toutes ces données ? Y en a-t-il que je pourrais effacer ou rendre anonymes ? Est-ce que je conserve les données plus longtemps que nécessaire ?
- puis-je faire quelque chose pour atténuer le risque d'une violation de données ? Puis-je améliorer la sécurité technique de mes systèmes ? Certains membres de mon personnel peuvent-ils accéder à des données à caractère personnel dont ils n'ont pas vraiment besoin ?
- puis-je expliquer ce qui rend mon traitement de données conforme ? Et puis-je documenter ces raisons ?
Ce ne sont pas des questions faciles, mais les garder à l'esprit est un bon premier pas, même si vous n'avez pas encore toutes les réponses.
Par ailleurs, assurez-vous que vous utilisez le consentement de la bonne manière. Le consentement est parfois considéré comme une solution miracle pour la conformité, mais il y a des limites à ce que le consentement vous permet de faire et des scénarios dans lesquels s'appuyer sur le consentement ne fonctionne pas. Notre blog peut vous donner un aperçu rapide du fonctionnement du consentement dans le cadre du GDPR.
Enfin, si vous utilisez Google Analytics, le fait de changer de service d'analyse web constituera un pas vers la conformité. Bien sûr, la conformité ne s'arrête pas là, mais l'abandon de Google Analytics est le fruit le plus facile à atteindre pour de nombreuses organisations.
Conclusions
La protection de la vie privée nous tient à cœur. C'est pourquoi nous faisons de notre mieux pour couvrir l'actualité de la protection de la vie privée et discuter du droit de la protection de la vie privée d'une manière précise et accessible. Nous pensons que le droit de la protection de la vie privée nous concerne tous et qu'il ne devrait pas être l'apanage des avocats et des spécialistes du jargon juridique.
Nous pensons également qu'Internet pourrait être un meilleur endroit, plus respectueux de la vie privée. C'est pourquoi nous avons créé Simple Analytics. Nous sommes fiers de fournir à nos clients toutes les informations dont ils ont besoin, sans suivre les utilisateurs et sans collecter de données personnelles. Si cela vous convient, n'hésitez pas à nous essayer!