Fiche thématique
23 min de lecture
10 novembre 2022
Depuis l’entrée en application du RGPD, la plupart des formalités préalables ont disparu. On est passé d’une logique a priori à une logique a posteriori. Le responsable de traitement n’a en principe plus à informer la CNIL de la mise en œuvre d’un traitement de données personnelles. En contrepartie, il est tenu de respecter un certain nombre d’obligations et d’en apporter la preuve en cas de contrôle. Autre nouveauté : le RGPD impose des obligations spécifiques aux sous-traitants dont la responsabilité peut désormais être engagée largement.

Sommaire

Obligations générales

Protéger les données par la mise en œuvre de mesures techniques et organisationnelles

Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD (RGPD, art. 24, § 1). Désormais, le RGPD laisse le responsable du traitement libre de décider des mesures qu’il doit prendre, comme par exemple la pseudonymisation, dès lors qu’elles permettent de respecter les droits des personnes concernées (RGPD, art. 25, § 1). La charge de la preuve lui incombe, aussi est-il absolument nécessaire de documenter toutes les décisions prises en ce sens. L’application d’un code de conduite ou de mécanismes de certification approuvés peut servir d’élément pour démontrer le respect des obligations (RGPD, art. 24, § 3).

Cependant, il n’est pas attendu du responsable du traitement qu’il prenne les meilleures mesures possibles puisqu’il doit prendre des décisions, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. Il doit donc prendre des mesures appropriées, en considération en particulier des risques encourus pour la protection des droits fondamentaux des personnes physiques. Au demeurant, les mesures prises ne le sont pas une fois pour toutes mais doivent au contraire être réexaminées et actualisées si nécessaire (RGPD, art. 24, § 1). Une vision évolutive s’impose donc, qui peut conduire à mettre en œuvre des politiques appropriées en matière de protection des données, si cela est proportionné au regard des activités de traitement (RGPD, art. 24, § 2).

Protéger les données dès la conception et par défaut

Le responsable du traitement doit plus précisément mettre en œuvre des mesures techniques et organisationnelles appropriées, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, afin de répondre aux exigences du RGPD et de protéger les droits de la personne concernée (RGPD, art. 25, § 1). Ce concept dit « privacy by design » implique donc de considérer l’exigence de protection des données personnelles dès la conception des projets, produits ou procédures. Ce concept a été développé à l’initiative d’Ann Cavoukian, préposée à la protection des données de l’État d’Ontario au Canada, (v. Operationalizing Privacy by Design : A Guide to Implementing Strong Privacy Practices, Toronto 2012). Elle formalise ce concept suivant sept principes fondamentaux :

  • 1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives ;
  • 2. Assurer la protection implicite de la vie privée (privacy by default) ;
  • 3. Intégrer la protection de la vie privée dans la conception des systèmes et pratiques ;
  • 4. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle ;
  • 5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des données ;
  • 6. Assurer la visibilité et la transparence ;
  • 7. Respecter la vie privée des utilisateurs.

On peut constater que la formulation de l’article 25, § 1 n’est pas aussi ambitieuse que le concept lui-même. La portée de ce principe est en outre nuancée par le fait de tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques que présente le traitement pour les droits et libertés des personnes physiques. Naturellement, plus les risques sont élevés et plus les mesures à prendre doivent être efficaces.

Notons toutefois que le paragraphe 2 de l’article 25 reprend le principe du « privacy by default ». Il prévoit que le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Un mécanisme de certification approuvé peut servir d’élément pour démontrer le respect des exigences de « privacy by design » ou « by default » (RGPD, art. 25, § 3).

Responsabilité conjointe du traitement

L’article 26, § 1 du RGPD reconnaît la possibilité d’une responsabilité conjointe du traitement, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Ces derniers définissent de manière transparente leurs obligations respectives, aux fins d’assurer le respect des exigences du RGPD, notamment en ce qui concerne l’exercice des droits de la personne concernée et leurs obligations respectives, par voie d’accord entre eux. Cet accord doit refléter les rôles respectifs des responsables conjoints et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée (RGPD, art. 26, § 2). Néanmoins, la personne concernée peut exercer ses droits à l’égard de et contre chacun des responsables du traitement, indépendamment des termes de l’accord (RGPD, art. 26, § 3). Un point de contact pour les personnes concernées peut être désigné dans l’accord.

Cette responsabilité conjointe est une avancée importante du RGPD et reflète mieux la réalité de nombreuses situations où les finalités et moyens sont définis par plusieurs personnes. Dans ce contexte, il est légitime de les rendre tous responsables.

Obligations du sous-traitant et précision de la relation contractuelle

Parmi les nouveautés essentielles du RGPD, l’imputation de la responsabilité du sous-traitant est sans aucun doute une des plus remarquables. Un des objectifs du législateur européen a été de rendre responsables les fournisseurs de prestation de cloud computing, dans leurs activités de stockage de données personnelles. Rappelons d’ailleurs que le champ d’application du RGPD s’est élargi, notamment par la prise en compte du lieu d’établissement du sous-traitant et non plus seulement de celui du responsable du traitement.

Précisons d’abord que le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (RGPD, art. 4, 8). Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée (RGPD, art. 28, § 1). Autrement dit, le niveau de protection assuré par le sous-traitant doit être conforme au RGPD, c’est-à-dire identique en son principe à celui des responsables du traitement. Le RGPD exclut donc d’imposer des obligations moindres au sous-traitant. Le sous-traitant ne doit pas recruter un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement, afin de permettre à ce dernier d’émettre des objections à l’encontre de ces changements (RGPD, art. 28, § 2).

Le sous-traitant et le responsable du traitement doivent être liés par contrat ou acte juridique au titre du droit de l’Union ou du droit d’un État membre (RGPD, art. 28, § 3). Le RGPD va même jusqu’à préciser la forme (écrit y compris sous forme électronique) (RGPD, art. 28, § 9) et le contenu : l’objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique doit en outre prévoir que le sous-traitant :

  • ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ;
  • veille à ce que les personnes autorisées à traiter les données à caractère personnel respectent la confidentialité ;
  • prend toutes les mesures requises en matière de sécurité des traitements ;
  • aide le responsable du traitement au respect du RGPD.

Remarque

Par une décision d’exécution du 4 juin 2021, la Commission européenne a adopté des clauses contractuelles types applicables aux relations entre les responsables du traitement et les sous-traitants ( Déc. n° (UE) 2021/915 de la Commission, 4 juin 2021 : JOUE n° L 199, 7 juin).

De manière générale, le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d’audits. Au terme de la prestation de services de traitement des données, selon le choix du responsable du traitement, le sous-traitant supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige leur conservation. L’application par le sous-traitant d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut démontrer l’existence des garanties suffisantes (RGPD, art. 28, § 5).

Le sous-traitant peut naturellement être requalifié de responsable du traitement, dès lors qu’il détermine les finalités et moyens du traitement (RGPD, art. 28, § 10). Plus encore, le sous-traitant ne peut traiter les données à caractère personnel que sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre. Cette restriction vaut plus largement pour toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant qui a accès à des données à caractère personnel (RGPD, art. 29 ).

De façon générale, le sous-traitant, tout comme le responsable du traitement, ainsi que leurs représentants, doivent coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions (RGPD, art. 31 ).

Désignation d’un représentant du responsable du traitement ou du sous-traitant établi hors UE

Lorsque le responsable du traitement ou le sous-traitant ne sont pas établis dans l’Union européenne (RGPD, art. 3, § 2), ces derniers doivent en principe désigner par écrit un représentant dans l’Union (RGPD, art. 27, § 1).

Par exception, cette obligation ne s’applique pas à un traitement occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données sensibles ou de données relatives à des condamnations pénales et à des infractions et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Elle ne s’applique pas non plus à une autorité publique ou un organisme public (RGPD, art. 27, § 2).

Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi (RGPD, art. 27, § 3).

Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du RGPD (RGPD, art. 27, § 4). La désignation d’un représentant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même (RGPD, art. 27, § 5). Dans ces hypothèses, la représentation n’a aucune incidence.

Obligations spécifiques

Tenir un registre des activités de traitement

Le registre des activités de traitement est tenu par le responsable du traitement (RGPD, art. 30, § 1) mais le sous-traitant en tient un aussi (RGPD, art. 30, § 2). Il s’agit d’un des principaux outils permettant aux responsables du traitement et sous-traitants de prouver le respect des obligations imposées par le RGPD, ce qui implique qu’ils le mettent à la disposition de l’autorité de contrôle sur demande (RGPD, art. 30, § 4). L’article 30 du RGPD en précise la forme (écrite y compris électronique), ainsi que le contenu :

  • nom et coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et données personnelles ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
  • les dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • transferts de données personnelles vers un pays tiers ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

S’agissant du registre tenu par le sous-traitant, les mêmes informations doivent être fournies, à l’exception notable de l’indication des délais prévus pour l’effacement des différentes catégories de données, puisque la politique d’effacement est décidée par le responsable du traitement. S’agissant des coordonnées à indiquer, outre celles du ou des sous-traitants, il faut ajouter celles de chaque responsable du traitement pour le compte duquel le sous-traitant agit, ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du DPO.

Il faut préciser enfin que l’obligation de tenir un registre ne concerne pas les entreprises ou organisations comptant moins de 250 employés, sauf dans trois cas :

  • si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
  • si le traitement n’est pas occasionnel ;
  • s’il porte sur certaines catégories de données (données sensibles ou données relatives à des condamnations pénales et à des infractions) (RGPD, art. 30, § 5).

Remarque

Remarque : il y a de fortes chances que les entreprises concernées tombent dans l’un de ces cas, en particulier le deuxième, aussi cette réserve pour les plus petites entreprises aura probablement une faible portée pratique dans les faits.

Sécuriser les données et les traitements

Le RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque (RGPD, art. 32 ). Cela peut se traduire par l’utilisation :

  • de la pseudonymisation et du chiffrement des données ;
  • de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

En outre, doit être mise en place une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement (RGPD, art. 32, § 1).

Imposer une obligation de sécurité des données est particulièrement exigeant, mais la rigueur de l’obligation est nuancée par la prise en compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques. On sait que la sécurité absolue n’existe pas et il est tout à fait nécessaire de se référer à l’état des connaissances. Est ici consacrée une obligation de moyens, impliquant que les mesures prises par le responsable des données soient en phase avec l’état de l’art et ce qui est pratiqué en matière de sécurité, à un instant donné. Naturellement, cette obligation est à rapprocher des mesures de sécurité des systèmes d’information, parfois imposées par les législations nationales. Plus précisément, lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite (RGPD, art. 32, § 2). L’application d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect de ces exigences (RGPD, art. 32, § 3).

Notifier les violations de données personnelles

Le RGPD prévoit deux dispositifs de notification des violations de données personnelles : l’un auprès de l’autorité nationale de contrôle (RGPD, art. 33 ), l’autre auprès de la personne concernée par la violation de ces données (RGPD, art. 34 ).

Selon le premier, en cas de violation de données à caractère personnel, le responsable du traitement doit notifier la violation en question à l’autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que cette violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard (RGPD, art. 33, § 1). Le sous-traitant supporte la même obligation de notifier, mais il doit le faire au responsable du traitement et dans les meilleurs délais après en avoir pris connaissance, sans plus de précision (RGPD, art. 33, § 2). Il faut noter toutefois que le responsable du traitement n’est tenu d’avertir l’autorité nationale de contrôle que s’il estime que la violation fait subir des risques à la personne concernée, ce qui lui laisse une marge d’appréciation. Dans le cas contraire, il peut décider de s’abstenir mais, comme pour toutes les décisions qu’il prend, il doit être en mesure de justifier ses choix et donc de documenter le raisonnement suivi pour décider de ne pas informer. S’il décide de le faire, il doit au moins :

  • décrire la nature de la violation de données y compris, si possible, les catégories, ainsi que le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données concernées ;
  • communiquer le nom et les coordonnées du DPO ;
  • décrire les conséquences probables de la violation des données ;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives (RGPD, art. 33, § 3)

Ces informations peuvent être communiquées de manière échelonnée (RGPD, art. 33, § 4) et devront être documentées également en indiquant les faits concernant la violation des données, ses effets et les mesures prises pour y remédier, afin de permettre le contrôle de l’autorité nationale (RGPD, art. 33, § 5).

Cette mesure est une véritable révolution culturelle pour les responsables du traitement en Europe, le plus souvent habitués à taire les incidents par souci de protéger leur réputation. Au-delà, la discrétion peut avoir l’intérêt, selon les circonstances, de mieux préserver la sécurité des données et du système d’information, en attendant qu’ils soient consolidés et que des mesures soient prises. La publicité peut en effet s’avérer contre-productive et même dangereuse, en particulier s’il s’agit aussi de communiquer aux personnes concernées et donc de rendre publique la violation. C’est pourtant ce que prévoit l’article 34, § 1, dès lors que la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La temporalité de cette notification n’est pas précise puisqu’elle doit avoir lieu dans les meilleurs délais, sans qu’il y ait une nécessaire concomitance avec la notification auprès de l’autorité nationale. Des informations, claires et précises, tout à fait comparables à celle fournies à l’autorité nationale de contrôle doivent être données à la personne concernée (RGPD, art. 34, § 2). Toutefois, par exception, la communication n’a pas lieu d’être dans trois cas :

  • si le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, en particulier des mesures rendant les données incompréhensibles, telles que le chiffrement ;
  • si le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;
  • si elle exige des efforts disproportionnés.

Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace (RGPD, art. 34, § 3). Comme dit précédemment, une telle solution peut s’avérer catastrophique pour préserver la sécurité et le système d’information d’un organisme. Selon la nature de l’attaque, diffuser publiquement sa survenance peut faciliter sa propagation dans le système ou bien encore conditionner la stratégie de l’attaquant qui aurait pénétré le système mais, se sachant repéré, resterait discret dans un premier temps, pour mieux parachever son attaque ultérieurement. Une telle mesure de notification doit donc être prise avec précaution et une éventuelle abstention doit susciter une véritable réflexion.

Réaliser d’éventuelles analyses d’impact

Le RGPD est fondé sur une logique de rendre compte auprès de l’autorité de contrôle, en particulier par le calcul des risques, réalisé par le responsable du traitement. L’étude des risques conditionne ainsi les mesures techniques et organisationnelles que ce dernier va décider de prendre. Il en est particulièrement ainsi lorsqu’il doit prendre la décision de réaliser ou non une analyse d’impact de la protection des données (AIPD, en anglais « Data protection impact assessment » ou DPIA, l’expression « privacy impact assessment » ou PIA étant utilisée avant le RGPD).

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement identiques qui présentent des risques élevés similaires. Cette analyse d’impact doit prendre en compte la nature, la portée, le contexte et les finalités du traitement (RGPD, art. 35, § 1) et exige que le responsable du traitement prenne conseil auprès du DPO (RGPD, art. 35, § 2).

L’analyse d’impact est cependant obligatoire dans trois hypothèses :

  • en cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions ;
  • la surveillance systématique à grande échelle d’une zone accessible au public (RGPD, art. 35, § 3).

En outre, l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est également requise (RGPD, art. 35, § 4), de même qu’elle peut, à l’inverse, établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact n’est requise (RGPD, art. 35, § 5).

L’analyse d’impact doit au moins contenir : une description des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ; une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; une évaluation des risques pour les droits et libertés des personnes concernées ; les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité (RGPD, art. 35, § 7).

Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées (RGPD, art. 35, § 8).

L’analyse d’impact est une mesure phare du RGPD et doit être prise très au sérieux par le responsable du traitement. S’il est difficile de savoir a priori si une telle analyse doit être menée, avant de connaître précisément les risques, sans doute faut-il considérer prudemment que le simple doute sur la pertinence d’une analyse d’impact doit conduire à en mener une.

Si l’analyse d’impact révèle l’existence d’un risque élevé, le responsable du traitement doit consulter l’autorité nationale de contrôle (RGPD, art. 36, § 1). Lorsque cette dernière est d’avis que le traitement envisagé constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de 8 semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, sous réserve des possibilités d’extension prévues (RGPD, art. 36, § 2). La consultation de l’autorité de contrôle implique de lui communiquer notamment l’analyse d’impact elle-même.

Désigner un délégué à la protection des données

Le RGPD prévoit désormais des hypothèses de désignation obligatoire du délégué à la protection des données (DPO).

Le responsable du traitement, comme le sous-traitant, doit obligatoirement désigner un DPO dans les cas suivants :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions (RGPD, art. 37, § 1).

Obligations en cas de transfert de données hors UE

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si les conditions définies par les articles 44 à 50 du RGPD sont respectées par le responsable du traitement et le sous-traitant (RGPD, art. 44).

Transferts fondés sur une décision d’adéquation de la Commission européenne

Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu, lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique (RGPD, art. 45, § 1).

L’acte d’exécution par lequel la Commission décide d’un niveau de protection adéquat prévoit un mécanisme d’examen périodique, au moins tous les 4 ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise son champ d’application territorial et sectoriel (RGPD, art. 45, § 3). La Commission publie au Journal officiel de l’Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu’un niveau de protection adéquat est ou n’est plus assuré (RGPD, art. 45, § 8).

A l’heure actuelle, bénéficient d’une décision d’adéquation : la Suisse, le Canada (pour les traitements soumis à la loi canadienne Personal Information Protection and Electronic Documentation Act (PIPEDA) du 13 avril 2000), l’Andorre, l’Argentine, Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande, l’Uruguay, le Japon, le Royaume-Uni, la Corée du Sud.

Transferts moyennant des garanties appropriées

Dès lors que le pays destinataire des données ne bénéficie pas d’une décision d’adéquation, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (RGPD, art. 46, § 1).

Garanties appropriées sans autorisation de l’autorité de contrôle

De telles garanties peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par :

  • un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
  • des règles d’entreprise contraignantes ; des clauses types de protection des données adoptées par la Commission ;
  • des clauses types de protection des données adoptées par la Commission ;
  • des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission ;
  • un code de conduite approuvé ou un mécanisme de certification approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées (RGPD, art. 46, § 2).

Règles d’entreprises contraignantes

Si les règles d’entreprise contraignantes n’ont pas besoin d’être autorisées par l’autorité nationale de contrôle, cette dernière peut tout de même les approuver, à condition que :

  • ces règles soient juridiquement contraignantes et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés ;
  • elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel (RGPD, art. 47, § 1).

Ces règles doivent, en outre, préciser un certain nombre d’informations, comme les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question ; l’application des principes généraux relatifs à la protection des données (notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données), ainsi que les droits des personnes concernées par le traitement (RGPD, art. 47, § 2).

Garanties appropriées avec autorisation de l’autorité de contrôle

En outre, sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées peuvent aussi être fournies :

  • soit par des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale ;
  • soit par des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées (RGPD, art. 46, § 3).

Ces mécanismes de protection, destinés à conférer des garanties appropriées, existaient en pratique et ont été consacrés par le RGPD.

Dérogations pour des situations particulières

En l’absence de décision d’adéquation ou de garanties appropriées, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale peut tout de même avoir lieu dans les cas suivants :

  • la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
  • le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
  • le transfert est nécessaire pour des motifs importants d’intérêt public ;
  • le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
  • le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • le transfert a lieu au départ d’un registre qui est destiné à fournir des informations au public, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies (RGPD, art. 49, § 1).

Remarque

Les dérogations ainsi prévues ont naturellement pour effet de vider de leur substance les mécanismes de protection précédemment énoncés. En particulier, les dérogations fondées sur le consentement de la personne concernée ou sur la conclusion d’un contrat sont particulièrement discutables car, outre le fait que l’on peut douter de la pleine compréhension par la personne concernée des risques encourus, la volonté de conclure un contrat, en vue de bénéficier des services proposés par les entreprises de l’économie numérique, risque d’être plus forte que la prudence que l’on pourrait attendre des personnes. Autrement dit, ces dernières ne sont pas nécessairement en mesure d’assurer leur propre protection.

Transfert non répétitif, limité et impérieux

Par ailleurs, même si le transfert ne peut être fondé sur une décision d’adéquation ou des garanties appropriées, telles que précédemment évoquées, et même si le transfert ne bénéficie d’aucun cas de dérogation tel qu’énoncé, un transfert vers un pays tiers ou à une organisation internationale peut néanmoins avoir lieu si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée. Le responsable du traitement doit en outre avoir évalué toutes les circonstances entourant le transfert de données et offrir des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement doit informer l’autorité de contrôle du transfert et la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit (RGPD, art. 49, § 1, g).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Code de la protection des données personnelles 2024, annoté et commenté
Ce code regroupe l’ensemble des textes fondamentaux (RGPD, loi « informatique et libertés » de 1978, décret d’application du 26 mai 2019) ainsi que les dispositions qui les complètent
79,00 € TTC
Code de la protection des données personnelles 2024, annoté et commenté
Questions fréquemment posées

Qu’est-ce qu’un responsable de traitement de données personnelles ?

Il s’agit de la personne physique ou morale (une entreprise, une commune, une autorité publique, etc.) qui détermine les finalités et les moyens du traitement (RGPD art. 4, 7°). Autrement dit, le responsable de traitement est celui qui décide pourquoi et comment les données personnelles devraient être traitées. La qualification dépend donc de circonstances essentiellement factuelles.

Le responsable de traitement doit-il effectuer une déclaration préalable auprès de la Cnil ?

Non. L’obligation de déclaration à la Cnil a disparu depuis l’entrée en application du RGPD. Le responsable du traitement est en revanche tenu à des obligations de fond, dont la Cnil peut contrôler le respect. Certaines formalités demeurent en ce qui concerne les données de santé.

Les dernières actualités dans ce thème
20 % des violations de données sont causées par des erreurs humaines
Droit des affaires
Protection des données personnelles (RGPD)
20 % des violations de données sont causées par des erreurs humaines
29 mars 2024