Données personnelles et RGPD : attention aux sanctions

Données personnelles et RGPD : attention aux sanctions

SOMMAIRE

Utiliser des fichiers comportant des données à caractère personnel est soumis à des restrictions et à une procédure strictement encadrée par le Règlement relatif à la protection des données à caractère personnel (RGPD) au sein de l’Union européenne. Quelles sont les dispositions réglementaires applicables, depuis le 25 mai 2018, au traitement et à la protection des données personnelles ? Avocats Picovschi revient pour vous sur les dispositions encadrant le traitement des données personnelles et sur les sanctions applicables en cas de non-respect du règlement.

Le traitement des données personnelles : définition

Les données personnelles sont les informations qui permettent l’identification de la personne physique comme son nom, son prénom, son adresse ou encore son numéro de sécurité sociale mais également les éléments spécifiques à son identité physique, physiologique, génétique, culturelle, etc…

Ces données peuvent faire l’objet d’un traitement c’est-à-dire qu’on peut effectuer les collecter, les enregistrer, les conserver sur divers supports.

C’est ce traitement des données qui est encadré, dans l’Union européenne, par le RGPD.

Le RGDP se concentre sur le traitement des données, au sens large, recouvrant toutes les opérations relatives aux données personnelles – de la collecte à la destruction. Il s’adresse aux acteurs responsables du traitement des données des ressortissants de l’Union, créant de nouvelles obligations et des sanctions financières lourdes en cas de manquement. Le règlement européen permet ainsi aux citoyens d’avoir une plus grande visibilité sur leurs données personnelles et de vérifier l’utilisation qui en est faite.

Utiliser des fichiers comportant des données à caractère personnel est soumis à des restrictions et à une procédure strictement encadrée. Il est courant que le responsable du traitement des données personnelles fasse l'objet de sanction.

Les droits relatifs à la collecte des données

L’information

La personne dont les données vont être potentiellement collectées doit en être informée. En outre, elle doit savoir qui les collecte, pour quelles raisons et pendant combien de temps elles seront susceptibles d’être conservées. L’organisme qui collecte les données doit être identifiable et doit informer la personne de ses droits et des contacts à qui elle devra s’adresser en cas de problème.

L’ensemble de ces informations doit être transmis de façon suffisamment concise, transparente et accessible. En effet, si les termes ne sont pas assez clairs et simples, l’organisme risque de voir sa responsabilité engagée.

Le consentement ou non à la collecte

En principe, le consentement de la personne doit être obtenu de façon explicite et éclairé. Il doit être donné en connaissance de cause sur un acte claire ou une déclaration.

La Cour de justice de l’Union européenne a, par exemple, considéré que si une personne, sur un site internet, coche une case reconnaissant qu’elle a été informé de la collecte de données alors son consentement est explicite. Cependant si la case est pré-cochée, l’organisme n’a pas obtenu le consentement explicitement (CJUE, 11 novembre 2020, Affaire C-61/19).

En cas de litige, ce sera à l’organisme collecteur de prouver que les données ont été obtenues avec un consentement explicite et éclairé.

Chaque personne peut retirer son consentement à tout moment.

A noter qu’il existe des exceptions à cette obligation de consentement notamment en cas d’obligation légale ou pour une mission de service public de collecter certaines informations, pour la sauvegarde des intérêts vitaux d’un individu ou pour l’exécution d’un contrat dont la personne concernée est partie.

L’accès à ses données

Toute personne peut demander que les données détenues par un organisme lui soient communiquées. Elle peut également obtenir des informations sur le traitement de celles-ci (qui, pourquoi, comment, pendant combien de temps ?).

Si les demandes sont excessives ou manifestement infondées, l’organisme qui a collecté les données peut les refuser. Il devra cependant, démontrer l’abus, par exemple en cas de demandes d’information répétées.

La rectification 

Chacun peut demander la rectification des données par le responsable du traitement. Ainsi, les personnes peuvent obtenir gratuitement la rectification, un complément ou une mise à jour de ses données.

En cas de communication des données à un tiers, l’organisme ayant traité les informations doit faire le nécessaire pour l’informer des rectifications.

La suppression

Ce droit consiste à faire disparaître les données des fichiers de l’organisme les ayant collectées. Chaque personne peut demander la suppression des données s’il n’y a plus de raison de les conserver, si elle retire son consentement ou qu’elle s’oppose à leur traitement, si la loi impose l’effacement ou si la personne était mineure au moment de la collecte.

En cas de communication des données à un tiers, l’organisme ayant traité les informations doit faire le nécessaire pour l’informer de l’effacement.

Si la demande est excessive ou manifestement infondée, l’organisme qui a collecté les données peut la refuser. Il devra cependant, démontrer l’abus.

La suppression peut être impossible si le traitement des données est indispensable à l’exercice d’une mission de service public ou d’une obligation légale de l’organisme ayant collecté, à l’exercice de droits en justice ou de droits à la liberté d’expression et d’information, pour des motifs de santé, des fins statistiques ou des recherches scientifiques par exemple.

Le déréférencement

Ce droit consiste à faire disparaître d’un moteur de recherche les pages de résultats associées aux informations d’une personne, par exemple son nom.

Les données ne disparaissent pas des sites internet mais uniquement des moteurs de recherche.

L’opposition au traitement des données

Si des données ont été collectées sans que la personne concernée n’ait été informée elle peut s’opposer à leur traitement.

Si l’organisme a collecté les données à des fins uniquement de prospections, la personne qui s’y oppose peut le faire sans aucun motif et le responsable du traitement doit y mettre fin.

Dans les autres cas, la personne doit soulever un motif justifié par sa situation personnelle.

En cas de demande valable, le responsable a un délai de 3 mois pour cesser le traitement, sauf dans certains cas.

En effet, si la personne est liée par un contrat avec le responsable du traitement, si le traitement des données est indispensable à l’exercice d’une mission de service public ou d’une obligation légale de l’organisme ayant collecté, à l’exercice de droits en justice, pour des motifs impérieux de santé, des fins statistiques ou des recherches scientifiques par exemple.

La portabilité des données

Chaque personne a le droit de récupérer les données auprès des organismes auxquels elle les a communiquées si elle en avait donné le consentement, si un contrat avait été conclu ou si le traitement était automatisé.

Les données doivent être transmises de manière structurée, utilisable et lisible par machine. Si la personne le souhaite, les données peuvent être transmises, par le responsable du traitement, à un tiers.

La portabilité peut être impossible si le traitement a pour objectif une mission d’intérêt public ou si elle comporte un risque d’atteinte aux droits et libertés d’un tiers.

La limitation du traitement

Chacun peut réclamer que ses données personnelles soient temporairement inaccessibles et inutilisables par l’organisme qui les traite.

La requête peut être admise si une demande de rectification ou d’opposition est en cours d’examen, si le traitement est illicite ou si l’organisme traitant les données veut les supprimer alors que la personne concernée en a besoin dans le cadre d’une action en justice.

En cas de transmission de données à un tiers, il doit être informé, par le responsable du traitement, de cette limitation.

La limitation peut être impossible si les données sont indispensables dans le cadre d’une action en justice, s’il y a une atteinte aux droits et libertés d’un tiers ou en cas de motifs d’intérêt public d’un Etat membre ou de l’Union européenne.

Le contrôle des données par les internautes

Les citoyens européens seront en droit de réclamer la suppression de leurs données personnelles et de leur diffusion. Cette demande pourra nécessiter l'intervention d'un avocat, afin qu'il rédige un courrier officiel, qui a généralement plus de poids qu'un simple courrier, si vous souhaitez effacer vos données personnelles pour l'une des raisons suivantes :

  • « elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » ;
  • vous n'êtes pas d'accord avec le traitement de vos données personnelles ;
  • suite à une décision judiciaire ayant reconnu que le traitement de vos données était illicite.

Si une telle demande n'aboutit pas, l'avocat expert en droit des NTIC et de l'informatique saura vous apporter tout son savoir-faire pour défendre vos intérêts et éviter tout abus dans la gestion de vos informations personnelles.  

En tant que chef d'entreprise, le recours à l'avocat vous sera nécessaire, car de nouvelles dispositions sont prévues par ces textes concernant la politique de vie privée des entreprises. Elle doit être améliorée afin de garantir plus de sécurité aux internautes. L'avocat est là pour vous accompagner dans les déclarations et changements à opérer afin d'être en conformité avec la loi.

Les particularités des données des personnes mineurs

La « majorité » en matière de traitement de données est de 15 ans. Ainsi, avant cet âge, l’organisme doit obtenir le consentement du mineur ainsi que celui du ou des titulaires de l’autorité parentale pour que le traitement soit licite. Après cet âge, le consentement de la personne concernée suffit.

Les informations obligatoires doivent être transmises de manière adaptée au niveau de compréhension du mineur.

A contrario, l’effacement des données peut être demandé par le mineur uniquement. Dans le cas d’une demande d’effacement par un mineur, le responsable du traitement n’a qu’un délai d’un mois pour répondre.

Le responsable de traitement

Chef d’entreprise, vous récoltez parfois les données personnelles de vos clients (sites internet, publicités ciblées, cartes de fidélité, gestion des dossiers SAV) et même de vos salariés. Pour être sûrs d’être à jour avec le règlement européen, Avocats Picovschi vous aide à mieux comprendre les obligations qui en dépendent.

Toutes les entreprises peuvent prendre part à la collecte de données, tant sur le plan de la récolte des données que pour la gestion de leur traitement et de leur sécurité. Le règlement définit ce rôle de responsable de traitement et ses obligations.

Le responsable du traitement détermine les finalités et les moyens du traitement, ainsi que les modalités de déclaration auprès des organismes de contrôle. Il est possible que cette activité soit sous-traitée à une société qui traite les données à caractère personnel pour le compte du responsable.

En tant que responsable, l’entreprise doit prendre des mesures pour sécuriser le traitement sous le modèle « Privacy by design – security by default ». Les données devront faire l’objet d’un niveau de sécurité cohérent permettant le respect de la confidentialité. Dans le cas d’une violation de données, l’entreprise doit notifier les autorités de contrôle et personnes concernées. Par ailleurs, quand le traitement présente des risques élevés pour les droits et libertés des personnes concernées, l’entreprise doit réaliser une analyse d’impact ou DPIA, par exemple lorsque le traitement engage la collecte de données sensibles (orientation sexuelle, religion) ou données personnelles à grande échelle par surveillance systématique, croisement de données ou scoring.

Certaines sociétés doivent désigner un salarié délégué à la protection des données, c’est le cas des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (société de prestations de services, cabinet de recrutement, agence d’intérim). Un délégué qui aura pour rôle de conseiller et de sensibiliser sur le traitement des données par l’entreprise. Ce délégué devra répondre à certains critères concernant sa qualification et sa formation continue.

Les entreprises de plus de 250 salariés et les administrations devront obligatoirement tenir un registre des activités de traitement à la disposition de la CNIL en cas de contrôle. Ce registre est le document qui prouvera la conformité de l’entreprise. La CNIL en propose un modèle reprenant les mentions obligatoires listées à l’article 30 du RGPD.

Toutes ces obligations sont susceptibles de faire l’objet de sanctions en cas de manquement. Le règlement donne aux autorités de contrôle des pouvoirs d’enquêtes et de mesures correctives. Elles ont donc le pouvoir de prononcer des amendes administratives, selon la catégorie de l’infraction, pouvant aller jusqu’à 10 ou 20 millions d’euros, et dans le cas d’une entreprise d’un montant allant de 2% à 4% du chiffre d’affaires mondial annuel.

Le traitement des données des salariés

En tant qu’employeur, vous collectez un certain nombre d’informations auprès de vos salariés, ne serait-ce que pour le dossier d’embauche. L’employeur n’a pas à demander l’accord du salarié pour rassembler ce genre de données mais il doit les informer de leurs existences et du traitement qu’il en est fait. L’employeur doit également informer sur quel fondement légal il traite ces données, par exemple exécution du contrat de travail ou respect d’une obligation légale.

En cas de non-respect, cette obligation est désormais sanctionnée par une amende pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise. Le salarié obtient également un droit d’accès à l’intégralité de ses données dans un document qui en précise notamment la nature, leur durée de conservation et leur localisation.

Le salarié dispose d’un droit de rectification et d’opposition à certains types de traitement des données comme le profilage ou la prospection. De même, les données sensibles ne peuvent être recueillies sauf consentement explicite du salarié. Il peut s’opposer à ce que ses données soit utilisées pour évaluer ses performances professionnelles. L’article 21 du RGPD prévoit l’obligation pour les entreprises d’effacer la partie du traitement que le salarié refuse.

Les dispositions du règlement peuvent alors devenir un moyen de pression juridique en cas de conflit avec l’entreprise en cas de non-conformité des éléments de preuve fournis par le biais du traitement de données. Pour cela, l’employeur doit être intransigeant avec le respect des données personnelles et doit s’assurer de sa conformité avec les obligations légales.

Depuis 1978, la Commission Nationale de l’Informatique et des Libertés (CNIL) a pour mission de « protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles ». Elle reste un interlocuteur privilégié pour les professionnels du droit et possède un certain nombre d'outils pratiques pour accompagner les entreprises dans leur mise en conformité.

Les données personnelles sont désormais au cœur du droit de la propriété intellectuelle, branche complexe du droit des affaires. Et pour un chef d’entreprise, ces problématiques peuvent paraitre insurmontables. Pour cela, Avocat Picovschi, par son expertise en droit des affaires, est là pour vous conseiller !

L’absence de déclaration à la CNIL

Une absence de déclaration à la Commission nationale de l'informatique et des libertés (CNIL) peut avoir de lourdes conséquences pour les entreprises. Les sanctions prévues peuvent aller du simple avertissement à la peine d'emprisonnement assortie d'une amende élevée. En cas de sanction, sachez que des recours existent et qu'un avocat peut vous aider.

Tout fichier sous format papier ou informatisé comportant des données à caractère personnel doit en principe être déclaré à la CNIL. Il existe différents degrés de déclaration :

  • Exonération de déclaration : certains fichiers contenant des données personnelles sont dispensés de formalités déclaratives auprès de la CNIL : la comptabilité générale, les activités des comités d'entreprise et d'établissement, la paie du personnel dans le secteur privé, les fichiers de fournisseurs, les fichiers de communication non commerciale, etc.
  • Déclaration simplifiée : il suffit de remplir un formulaire, en ligne sur le site de la CNIL. C'est le cas par exemple de la mise en place de fichiers clients par une entreprise privée.
  • L'autorisation préalable : le traitement de données présentant un risque particulier d'atteinte aux droits et libertés de la personne doivent obtenir une autorisation de la CNIL (le ministre compétent va rendre un arrêté après avis de la CNIL). C'est le cas par exemple lors de l'utilisation d'un système biométrique.

L'article 226-16 du Code pénal précise bien que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende ».

Quels sont les recours ?

Il faut savoir qu'il existe des recours contre toute sanction. Il ne faut donc pas hésiter à faire appel à un avocat surtout lorsque l'on voit le montant des sommes en jeu et les peines encourues.

Le Conseil d'Etat peut être saisi d'une demande afin d'obtenir la suspension d'une sanction de la CNIL (article L. 521-1 du Code de justice administrative). Pour les sanctions civiles et pénales un recours sera toujours possible.

Les données à caractère personnel doivent faire l'objet d'un traitement spécifique. La CNIL encadre strictement le traitement de ces données. Il ne faut pas oublier de déclarer vos fichiers contenant de telles données sous peine d'être exposé à des sanctions. L’avocat peut être d’un grand secours dans la mesure où il peut se révéler être un correspondant informatique et liberté de choix. En pareille situation, Avocats Picovschi saura répondre à vos attentes.

Que faire en cas de litige ?

Si une personne souhaite faire valoir un de ses droits relatifs aux données personnels, il doit dans un premier temps, prendre contact avec le responsable du traitement. Cette demande peut être faite par tout moyen (courrier, email, …).

L’organisme ayant traité les données à ensuite 8 jours pour des demandes concernant des données de santé ; 1 mois pour répondre à une demande simple ou émanant d’un mineur de moins de 15 ans et enfin 3 mois pour une demande complexe (comme une copie de toutes les données de la personne).

Ces demandes doivent être traitées gratuitement par le responsable du traitement sauf en cas de demandes abusives entrainant des coûts excessifs. Dans ce cas, la demande peut être refusée ou l’organisme peut demander une prise en charge par le demandeur.

Si la personne demanderesse n’obtient pas de réponse favorable dans le délai légalement prévu pour sa demande, elle peut saisir la CNIL.

Si une telle demande n'aboutit pas, l'avocat expert en droit des NTIC et de l'informatique saura vous apporter tout son savoir-faire pour défendre vos intérêts et éviter tout abus dans la gestion de vos informations personnelles.  

De plus, pour le chef d'entreprise, le recours à l'avocat vous sera nécessaire, pour vous accompagner dans les déclarations et changements à opérer afin d'être en conformité avec la loi.

Avocats Picovschi, compétent en droit des NTIC, reste à votre disposition pour vous assister et vous accompagner dans chacun de vos projets mais aussi, pour vous défendre en cas de contentieux.

Votre avis nous intéresse

* Ces champs sont obligatoires
En savoir plus sur le traitement des données