L'entrée en vigueur, le 25 mai 2018, du règlement général sur la protection des données (RGPD) (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016 : JOUE n° L 119, 4 mai) apporte de nouvelles obligations à l'archivage électronique.

Transposé en droit français par plusieurs textes modifiant la loi Informatique et libertés du 6 janvier 1978, le RGPD affecte l'archivage tant en matière de conservation et de sécurité des données personnelles, ainsi qu'en matière d'accès, de rectification et de suppression des données à caractère personnel conservées.

En effet, en matière de conservation des données, le RGPD indique qu'elles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui ne doit pas être excessive par rapport à ce qui est nécessaire au regard des finalités du traitement (RGPD, art. 5, § 1, eL. n° 78-17, 6 janv. 1978, art. 6 : JO, 7 janv.). Cette durée de conservation doit être déterminée par le responsable du traitement, dès la mise en place du dispositif de collecte des données. La loi lui laisse donc une marge d'appréciation.

En principe, une fois que la finalité poursuivie a été atteinte, les informations collectées ne sont plus nécessaires et doivent donc être supprimées. La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies. Par exemple, pour les images d'un dispositif de vidéosurveillance, la Commission nationale informatique et libertés (CNIL) préconise une durée de conservation d'un mois. Pour les achats sur Internet, la CNIL recommande que les coordonnées de carte bancaire du client ne soient conservées que le temps de réalisation de l'opération de paiement. S'agissant de la prospection commerciale, la CNIL préconise de supprimer au bout de 3 ans les coordonnées d'un prospect qui ne répond à aucune sollicitation (Délib. CNIL n° 2016-264, 21 juill. 2016). En 2016, la CNIL a sanctionné d'une amende de 30 000 euros une société de vente en ligne de vêtements du fait de l'absence de suppression des données personnelles (Délib. CNIL n° 2016-204, 7 juill. 2016).

Comment protéger ses données à caractère personnel ? Quel spécialiste de la protection des données à caractère personnel est habilité à vous conseiller voire à protéger vos données ?

Pour répondre à toutes ces préoccupations, l’avocat spécialisé en droit de la protection des données à caractère personnel devient un recours indispensable pour la défense de vos droits.

Le cabinet d’Avocats de Maître Murielle-CAHEN, spécialisé (e) en droit internet et informatique ainsi qu’en droit de la Propriété intellectuelle intervient dans de nombreux domaines du droit des données personnelles, au-delà de la mise en conformité RGPD et accompagne ses clients au titre du conseil et en cas de contentieux (assistance en cas de contrôle, assistance suite à mise en demeure, sanctions).

 

I) L’avocat en droit des données à caractère personnel vous aide à vous mettre en conformité avec le RGPD.

 

  • Objet et objectifs du RGPD

L’avocat en droit des données à caractère personnel vous aidera à la mise en conformité RGPD. En effet, depuis le 25 mai 2018, le RGPD ou règlement général sur la protection des données en vigueur depuis le 25 mai 2016 est directement applicable dans notre législation (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016).

  • Le règlement repose sur les principes suivants. Les données à caractère personnel doivent être (RGPD art. 5.1) :
  • -  traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • -  collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ;
  • -  adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
  • -  exactes et tenues à jour ;
  • -  conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • -  traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle (intégrité et confidentialité).

 

  • Concrètement, les différentes actions à mener pour se conformer à ces principes sont les suivantes :

-  désigner un pilote ;

-  recenser les fichiers ;

-  repérer les traitements à risque ;

-  respecter le droit des personnes ;

-  sécuriser les données ;

-  s'assurer, en cas de sous-traitance, que le prestataire respecte le RGPD.

Sur les obligations des sous-traitants.

 

 

II)          L’avocat en droit des données à caractère personnel défend votre consentement pour l’utilisation de vos données

L’avocat pourra défendre vos droits au consentement RGPD devant les juridictions. En effet, le responsable peut procéder à un traitement de données personnelles dès lors que la personne concernée a consenti à ce traitement pour une ou plusieurs finalités spécifiques. Le consentement doit ici être compris au sens donné par la RGPD qui indique qu’il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, § 11).

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire.

Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

Le consentement doit encore être spécifique en ce sens qu’il doit être donné pour un traitement en particulier pour une finalité donnée. Dès lors que plusieurs finalités sont visées, la personne concernée devrait pouvoir consentir indépendamment pour l’une ou l’autre des finalités. Le G29 préconisait en ce sens une granularité des consentements en fonction des finalités (Lignes directrices CEPD n° 05/2020, 4 mai 2020).

Troisièmement, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

Enfin, le consentement doit être univoque. Cela signifie qu’il doit être exprimé sans aucune ambiguïté.

Pour cette raison, le RGPD édicte que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (RGPD, art. 7, § 2).

 La CNIL considère que le recours à des cases précochée ou pré-activées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante (« Renvoi préjudiciel – Directive 95/46/CE – Directive 2002/58/CE – Règlement (UE) 2016/679 – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Cookies – Notion de consentement de la personne concernée – Déclaration de consentement au moyen d’une case cochée par défaut »).

De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non. S’agissant des cookies, rappelons qu’en juillet 2019, la CNIL a adopté une délibération par laquelle elle a modifié sa doctrine en matière de recueil de consentement au moment de déposer les cookies pour exiger un consentement conforme à celui du RGPD (Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif)).

Il est à noter que la décision de la CNIL de reporter d’un an l’application de cette exigence de consentement conforme au RGPD en matière de cookies a fait l’objet d’un recours devant le Conseil d’État qui a été rejeté le 16 octobre 2019 (CE, 16 oct. 2019, n° 433069).

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptés par la CNIL le 4 juillet 2019, mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Cette pratique consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion (CE, 19 juin 2020, n° 434684).

 

III)        L’avocat en droit des données à caractère personnel vous accompagne dans votre recours en cas de non-respect de vos droits

 

  • Droit de saisir la CNIL

L’avocat pourra saisir la CNIL pour la défense des droits de son client. En effet, toute personne concernée a le droit d’introduire une réclamation, une pétition ou une plainte auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel (RGPD, art. 77).

Si elle estime que la réclamation est fondée, la CNIL peut désormais demander au Conseil d’État d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée.

Elle doit alors assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision d’adéquation et les actes pris par la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt Schrems («Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Directive 95/46/CE – Article 25 – Décision 2000/520/CE) dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du « Safe Harbor » (L. n° 78-17, 6 janv. 1978, art. 39).

Pour l’année 2018, la CNIL indique avoir enregistré 11 077 plaintes de personnes concernées, soit une hausse de 32,5 % par rapport à l’année précédente. La CNIL précise que, le plus souvent, elle « intervient auprès du responsable du fichier pour l’informer des manquements soulevés par le plaignant et des textes applicables, afin qu’il se mette en conformité et respecte les droits des personnes ». Pour 2018, ces plaintes portent sur la diffusion de données sur internet (373 demandes de déréférencement), sur le secteur marketing/commerce, sur celui des ressources humaines, sur les secteurs de la banque et du crédit ou encore de la santé et du social (CNIL, Rapp. D’activité 2018, La Documentation française, avr. 2019, p. 42 et s.).

  • Droit de saisir les juridictions des ordres administratifs et judiciaires

L’avocat pourra saisir les juridictions de l’ordre administratif et judiciaire. En effet, l’’action peut être exercée pour lutter contre une décision de la CNIL (RGPD, art. 78) ou du responsable de traitement ou sous-traitant (RGPD, art. 79). Dans le cadre d’un litige transfrontalier, l’action est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique (RGPD, art. 79, § 2).

Le recours peut être formé à titre individuel ou collectif. Cette possibilité de mettre en œuvre une action de groupe en cas de violation des règles inhérentes au traitement de données personnelles est une innovation du RGPD (RGPD, art. 80). Elle a été intégrée dans le corpus juridique français aux articles 37 et suivants de la loi du 6 janvier 1978.

Pour l’intenter, il est nécessaire que plusieurs personnes physiques placées dans une situation similaire aient subi « un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD ou de la loi Informatique et libertés par un responsable du traitement ou un sous-traitant » (L. n° 78-17, 6 janv. 1978, art. 37, II). Quant à ses modalités, l’action peut être portée à l’encontre d’un responsable de traitement ou d’un sous-traitant devant une juridiction administrative ou civile par trois catégories de personnes morales.

Il peut s’agir d’une association régulièrement déclarée depuis au moins cinq et ayant dans son objet statutaire la protection de la vie privée ou la protection des données à caractère personnel, d’une association de défense des consommateurs représentative au niveau national et agréé dès lors que le manquement en cause affecte un consommateur ou d’une organisation syndicale de salariés, de fonctionnaires ou de magistrats de l’ordre judiciaire représentative quand le traitement affecte les intérêts des personnes dont elles ont la défense en vertu de leurs statuts. Les cabinets d’avocats en sont par conséquent exclus.

La CNIL doit être tenue informée de la procédure. Pour que l’action aboutisse, le manquement doit être intervenu après le 24 mai 2018 et être de même nature pour toutes les personnes concernées qui décident d’engager la procédure. Si l’action est fondée, le responsable ou le sous-traitant peut se voir contraint de cesser le manquement et/ou, et c’est une nouveauté, d’indemniser les préjudices moraux et matériels subis par les personnes concernées.

Le dispositif encadrant les recours ouverts à la personne concernée est complété par la possibilité pour toute personne de mandater une association ou une organisation afin qu’elle agisse en son nom et pour son compte. Ici, le mandataire peut être l’une des personnes visées dans le cadre de l’action de groupe ou une association ou organisation dont l’objet statutaire est en relation avec la protection des droits et libertés ou encore une association dont la personne concernée est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.

L’éventail des personnes susceptibles d’agir en qualité de mandataire est donc plus large. Il faut noter qu’en matière pénale, cette action peut être portée devant la CNIL, contre la CNIL ou devant un juge contre un responsable de traitement ou un sous-traitant (L. n° 78-17, 6 janv. 1978, art. 38).

  • Conséquences de l’action - Engagement de la responsabilité du responsable et/ou du sous-traitant

Aux termes de l’article 82, § 2 du RGPD, il suffit qu’un responsable ait participé au traitement pour que sa responsabilité puisse être engagée en cas de dommage causé par une violation du règlement, à moins de prouver que le fait qui a provoqué le dommage ne lui est nullement imputable. À la lecture du texte, la responsabilité du responsable semble donc pouvoir être retenue largement.

Ce cadre diffère pour le sous-traitant dont la responsabilité peut désormais être engagée avec le RGPD. Tel est le cas s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. À l’image du responsable du traitement, le sous-traitant peut s’exonérer s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (RGPD, art. 82, § 2).

Pour la personne concernée, ce partage de la responsabilité n’est pas le système le plus protecteur. Pour cette raison, l’article 82, § 4 du RGPD instaure un mécanisme de solidarité lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement.

Dans cette situation, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celui qui a réparé intégralement le préjudice dispose dans un second temps, d’une action récursoire à l’encontre de ses codébiteurs (RGPD, art. 82, § 5).

Cette action récursoire n’est pas superflue au regard du renforcement des sanctions pécuniaires pouvant être prononcées par une autorité de contrôle. En effet, le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme qui ne respecterait pas le texte.

Cette amende varie en fonction de l’infraction commise, la CNIL pouvant tantôt sanctionner à hauteur de 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’organisme fautif, tantôt sanctionner à hauteur de 20 M€ ou 4 % du chiffre d’affaires annuel mondial, la plus haute des deux étant à chaque fois retenue comme amende maximum pouvant être prononcée (RGPD, art. 83, § 4 et 5).

 

SOURCES :