Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Les normes des sociétés démocratiques sont censées garantir un équilibre entre des intérêts qui peuvent être contradictoires. La plupart des grands textes cependant contiennent une orientation – j’ai parlé plus haut de philosophie – qui privilégient une partie au détriment d’une autre, soit parce que l’autorité qui impose ces textes souhaite donner une nouvelle direction, soit parce que le besoin d’un rééquilibrage s’est fait sentir après quelques dérives dans un sens, qui ont conduit à un rapport asymétrique entre les parties. Le RGPD est sans conteste un outil pour redonner des droits aux individus face à des entreprises toutes puissantes qui ne s’embarrassaient plus guère de respect de la vie privée.  

Le chapitre III du règlement est tout entier consacré aux « Droits de la personne concernée ». C’est « le responsable du traitement » qui a la charge de faciliter l’exercice de ces droits. Il doit répondre « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes » (art. 12-3). On pourrait donc en déduire que l’on dispose de trois mois pour répondre à une demande et que ce délai peut à lui seul dissuader nombre de demandeurs. En fait, non ; d’une part parce que ce prolongement doit être justifié par un « besoin » ou une « complexité », d’autre part parce que la personne qui demande doit être informée, dans le mois, des raisons de ce prolongement (art 12-3 encore). Et si le responsable du traitement estime que la demande est infondée, c’est à lui de démontrer ce caractère infondé (art 12-5).

L’article 13 liste toutes les informations à fournir lorsqu’on collecte auprès d’une personne des données la concernant. Là encore, quelle révolution : on ne saurait recevoir sans d’abord donner des gages de probité aux dispositions du règlement. Nul ne pourra se contenter de sa taille, de sa renommée ou de son ancienneté pour amener des internautes consommateurs à se dévoiler.

Doivent donc être fournies au préalable par l’entreprise :

– l’identité et les coordonnées du responsable du traitement ;

– les coordonnées du délégué à la protection des données (dans les structures où il est obligatoire, nous allons y venir) ;

– les finalités du traitement auquel sont destinées les données, ainsi que la base juridique de ce traitement ;

– les destinataires des données, entre autres lorsqu’un transfert est prévu vers un pays tiers.

À réception des données (le texte indique « au moment de la… »), doivent encore être notifiés :

– la durée de conservation ;

– le droit à la rectification, à l’effacement, à la limitation du traitement, à l’opposition au traitement, à la portabilité des données (nous allons revenir sur chacun de ces droits) ;

– le droit d’introduire une réclamation auprès des autorités de contrôle ;

– les conséquences d’une non-fourniture de données ;

– les conséquences de la fourniture de données, en termes de prise de décision automatisée ou de profilage notamment.

Lorsque les données n’ont pas été collectées auprès de la personne concernée, les obligations sont les mêmes, auxquelles s’ajoute « la source d’où proviennent les données à caractère personnel ». Ces informations ne sont pas exigibles lorsque les données sont traitées dans un but d’archivage, de recherche ou de statistique d’intérêt public.  

Une fois que les données ont été transmises par la personne concernée, elles ne lui échappent pas (quel changement avec les pratiques actuelles, là encore). En effet, le RGPD (re)crée d’abord un droit d’accès (art. 15). Ce droit d’accès existe déjà en France, mais il est peu connu et compliqué à mettre en œuvre. Ici, il recouvre toutes les informations mentionnées à l’article 13. L’accès se matérialise par une transmission sur simple demande : « Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement » (art. 15-3). Cette copie est gratuite (des frais raisonnables peuvent être demandés pour une copie supplémentaire). Lorsque la demande est présentée par voie électronique, la réponse est apportée sous la même forme, sauf si le souhait est différent.

Deuxième droit expressément consacré : le droit de rectification (art. 16). Ce droit concerne les données qui seraient inexactes et celles qui seraient incomplètes eu égard à la finalité du traitement.

L’intérêt du troisième droit s’est fait sentir progressivement ces dix dernières années, depuis l’apparition du web 2.0 et des réseaux sociaux. C’est en effet depuis cette date que l’on a pris conscience de l’importance des données, et que les collectes se sont organisées et multipliées. Puisque des informations nous concernant sont en possession de mains inconnues, la revendication d’un droit à l’effacement (ou droit à l’oubli) s’est formalisée. La France avait fait une tentative en 2010 avec l’adoption de Chartes du Droit à l’Oubli numérique, mais Facebook et Google avaient refusé de les signer. C’est la Cour de Justice de l’Union Européenne qui a fait naître ce droit à l’oubli en juin 2014, à la suite de quoi les principaux acteurs du numériques, dont Google, ont dû instaurer des procédures, notamment la mise en ligne d’un « formulaire », permettant à un internaute de faire valoir ce droit. Grâce au formulaire, des centaines de milliers de personnes ont ainsi pu obtenir le déréférencement de résultats les concernant.

Le RGPD consacre ce droit à l’échelle européenne et le pose de manière simple (article 17). Sur demande de la personne concernée, le responsable du traitement a pour obligation d’effacer, « dans les meilleurs délais », les données à caractère personnel :

– si les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ;

– si le consentement est retiré ;

– s’il y a opposition au traitement.

La personne concernée n’a pas à justifier sa demande. Les seules restrictions à ce droit d’effacement sont :

– le respect d’une obligation légale qui émanerait du droit de l’Union ou de celui d’un État membre ;

– l’exercice de droits en justice ;

– des raisons d’archivage public, de recherche scientifique ou de statistique, ainsi que de santé publique ;

– enfin « l’exercice du droit à la liberté d’expression et d’information » (art. 17-3a). On se demande un peu ce que vient faire la liberté d’expression et d’information ici. Des lobbies relayant les intérêts des médias ont-ils pesé ? Ou est-ce simplement la toute-puissance des médias – aussi forte que celle des données – qui s’est imposée aux concepteurs du texte ?

Un « droit à la limitation du traitement » est également prévu, notamment pendant la vérification de l’exactitude des données, ou lorsque le traitement est illicite mais que la personne concernée s’oppose à l’effacement (art. 18). La limitation, comme le traitement, doivent être notifiés à l’intéressé(e) (art.19).        

Avec le « droit à la portabilité », le RGPD permet à une personne de récupérer les données qu’elle a fournies à un organisme, « dans un format structuré, couramment utilisé et lisible en machine » (art 20-1). Elle peut le faire soit pour son usage personnel, soit pour les transférer à un autre organisme. Elle peut même exiger que ses données soient transférées directement d’un responsable de traitement à un autre. La CNIL précise que les données qui sont « dérivées, calculées ou inférées », c’est-à-dire créées par l’organisme, ne peuvent être exigées (il se distingue ici du droit d’accès). En revanche, les données récupérées peuvent contenir, « de manière secondaire », des informations relatives à des tiers.

Le G29, groupe de travail européen institué en vertu de l’article 29 de la directive européenne de 1995, qui travaille à expliciter le RGPD avant d’être transformé en Comité Européen pour la Protection des Données, recommande le mécanisme du téléchargement pour la transmission des données dans le cadre du droit à la portabilité. Dans tous les cas, la mise à disposition doit être facilement accessible et sécurisée. Aucun format particulier n’est indiqué pour l’instant, mais « le G29 encourage les acteurs de l’industrie et les associations professionnelles à travailler sur un ensemble de standards et formats interopérables pour respecter ces prérequis du droit à la portabilité ».

Le responsable du traitement est encouragé à communiquer de manière claire sur le droit à la portabilité, à mettre en place une procédure d’authentification avant de transférer les données demandées, et à délivrer gratuitement ce service, sauf si la demande est manifestement infondée ou excessive, « notamment en raison de son caractère répétitif ». On notera que les données transférées dans le cadre du droit à la portabilité n’ont pas à être supprimées du fichier d’origine.

Un droit d’opposition est reconnu à chacun, à tout moment (art 21). Cette opposition peut concerner tout traitement, ou plus spécifiquement la prospection (art. 21-2) et même la recherche scientifique ou historique, « à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public » (art. 21-6). On peut imaginer que ce droit sera utilisé avant tout pour s’opposer à des finalités commerciales.

Enfin, le RGPD encadre le profilage. « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire » (art. 22). Il est autorisé dans le cadre d’un contrat ou s’il est fondé sur un accord explicite. Dans ces cas, le responsable du traitement veille à la « sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ».