Introduction : Les grands principes du RGPD
Aujourd’hui nous allons parler des principes du RGPD, quand on parle de principe du RGPD, ce sont des principes clés qui structurent tout le droit de la protection des données personnelles. Ces principes sont au cœur du règlement général sur la protection des données personnelles, ils assurent les questions clés en termes de gouvernance. Comment est-ce qu'on va mettre en conformité une structure telle qu'elle soit : une entreprise, une association, un public privé etc…
Il y a trois choses importantes à noter quand on parle des principes du RGPD, découvrons-les ensemble.
Qu'est-ce que c'est qu'une donnée personnelle ?
Aujourd'hui, c'est une notion extrêmement large, c'est un nom, c'est un prénom, mais ça peut être aussi une donnée qui va être directement ou indirectement identifiante. On notera que, par rapport à l'évolution technologique, aujourd'hui, un certain nombre de données mises bout à bout permettent d'identifier des personnes. Et c'est la raison pour laquelle il faut être extrêmement prudent quand on parle de données pour savoir si on parle ou non de données personnelles. Quand on parle du droit à la protection des données, des principes du rgpd, il y a également la notion de traitement de données personnelles. Et ce sont ces fameux traitements qu'il faut rendre conforme au droit de la protection des données. Un traitement, c'est la collecte des données, la conservation des données, mais c’est aussi la destruction des données. À chaque fois, il faut que ces différents traitements soient conformes au droit de la protection des données et notamment à ces principes du rgpd.
Quels sont les principes du RGPD ?
Le principe de licéité du traitement des données : Il y a un premier principe de licéité, il faut que le traitement soit légal, qu'il soit conforme à une loi, un règlement à des dispositions à contractuel, etc.
Le principe de finalité : Je recueille des données pour un objectif, a priori, je ne peux pas les utiliser pour un autre objectif, ça c'est le principe de finalité.
Le principe de pertinence : Il y a un principe de pertinence, par exemple, je collecte des données dans le cadre d'un programme éducatif ou alors je collecte des données pour organiser un événement. Je ne dois alors collecter que les données qui sont pertinentes, ne pas aller au-delà et collecter une masse de données qui serait inutile et en tout cas qui serait disproportionnée.
Le principe d'exactitude : Pour le principe d'exactitude, on rejoint la notion de qualité des données. Je collecte des données, je fais en sorte qu'elle soit à jour, qu'elle soit de qualité pour justement éviter des erreurs dans le traitement de ces données personnelles.
Le principe de conservation des données : Il y a également un principe de conservation des données, il faut prévoir systématiquement une durée de conservation, une durée encadrée. Il faut que je puisse savoir combien de temps je vais garder les données informelles sur la durée de conservation des données.
Le principe de sécurité des données : Le dernier principe, c'est le principe de sécurité des données, c'est-à-dire que je collecte des données, je les conserve, je les détruis et à chaque fois, il faut que je mette en place des mesures spécifiques en termes de sécurité des données. Aujourd'hui c'est un point qui est extrêmement important, on le voit par exemple à travers les sanctions qui sont prononcées par la CNIL. Dans la majorité des sanctions, il y a eu des défauts en termes de sécurité des données.
Les grands principes sont des éléments structurants
Chaque responsable de traitement, celui qui collecte, qui traite les données, qui a la responsabilité de ces traitements de données personnelles, doit être à tout moment capable de montrer comment il a mis en place ces mesures.
Quels sont les outils déployés en termes de sécurité des données ? Qu'est-ce que vous avez fait ? Quelle mesure avez-vous effectivement prise pour fixer des durées de conservation qui soient limitées ? Comment est-ce que vous pouvez justifier de la base légale de votre traitement ?
Si vous n'êtes pas en mesure de démontrer le respect de ces dispositions, vous pouvez encourir des sanctions. Ce principe de responsabilité - principe d'accountability - aujourd'hui c'est un principe central qui irrigue tout le RGPD. Et c'est un élément qui doit être pris en compte, nous ne sommes plus dans un régime avec des formalités des déclarations préalables. Au contraire, à tout moment, vous devez veiller à votre conformité et faire en sorte qu'elle soit effectivement mise en place et conforme à ces principes.
Règlement général sur la protection des données : Qui est concerné ?
Je vais maintenant vous parler des droits des personnes concernées au sens de la protection des données personnelles. Alors, le droit des personnes concernées qu'est-ce que cela signifie ? Il s'agit des différents droits que chaque personne peut exercer dans différentes situations.
Par exemple : une situation dans laquelle une personne est un consommateur, une situation dans laquelle une personne est étudiante, une situation dans laquelle une personne bénéficie d'un service ou alors pour un salarié. Il y a des situations extrêmement différentes, dans lesquelles, à partir du moment où il y a traitement de données personnelles, chaque personne va pouvoir exercer certains droits.
Il ne s'agit pas de droit absolu, chaque droit va s'apprécier en fonction du moment où les données ont été collectées.
Par exemple, les droits ne vont pas s'exercer de la même manière, quand j'ai donné mon consentement pour le traitement de mes données de santé, que lorsqu’il s'agit d'un étudiant qui s'est inscrit dans une association pour avoir accès à certaines activités.
Alors au sujet de ces droits, je vais évoquer 5 aspects spécifiques.
Quels sont ces fameux droits des personnes concernées ?
Il y a plusieurs droits :
Il y a le droit d'avoir accès à ces données de savoir quelles sont les données qui sont traitées.
Il y a le droit de rectification des données, mes données ont mal été collectées, il y a des erreurs, des erreurs qui me sont préjudiciables, je veux qu'elles soient rectifiées.
Il y a le droit d'opposition au traitement des données, quand je ne veux pas que mes données puissent faire l'objet d'un traitement.
Il y a le droit de demander leur effacement.
Le droit à la portabilité des données, c'est un nouveau droit qui a été inscrit par le RGPD. Vous changez d'un opérateur par exemple en matière de téléphonie ou d'assurance, vous pouvez demander la portabilité de vos données personnelles.
Il y a également la possibilité de demander la limitation du traitement de données personnelles qui a été ou qui pourrait être effectué.
Voilà les principaux droits des personnes concernées, de chaque personne concernée au sens du RGPD.
Garantir l'effectivité du droit de la protection des données personnelles
Le deuxième aspect, c’est : Quel est l'objectif ? L'objectif, c'est de garantir l'effectivité du droit de la protection des données personnelles. J'ai un certain nombre de droits dans le cadre de cette législation européenne, dans le cadre des législations nationales et je dois pouvoir les faire valoir je dois pouvoir les exercer. On parle beaucoup, en utilisant le terme anglais d’empowerment, du fait qu’on a un certain nombre de droits et qu’on doit pouvoir les faire respecter.
Afin qu'il y ait une vraie garantie du droit à la protection des données personnelles car, il ne faut pas l'oublier, le droit à la protection des données personnelles, c'est un droit fondamental.
L’exercice de ses droit et les délais encadrés par le rgpd
L'exercice de ses droits ça veut dire qu'il faut une procédure. Cela signifie qu'aujourd'hui il y a des délais qui sont encadrés par le RGPD. Par exemple : Je suis un consommateur, je constate que mes données ont été utilisées d'une façon qui n'est pas conforme à l'information qui m'a été donnée. J'écris, je prends contact, et normalement, on doit me répondre dans un délai d'un mois.
Dans certains cas, quand les demandes sont plus complexes, le délai peut être porté à 3 mois. En tout cas, le point important, c'est qu'aujourd'hui, d'une part, il faut une réponse. Et deuxièmement, il y a des délais qui sont encadrés, à défaut de réponse dans les délais, toute personne peut écrire à une autorité de contrôle, notamment la CNIL, pour se plaindre de l'absence de réponse.
Les modalités d'information et de transparence des données personnelles
Ce que nous venons de voir signifie aussi qu'il faut une information et une transparence vis-à-vis des personnes concernées. Là encore, il faut aussi avoir à l'esprit que cette information, cette transparence, elles doivent s'adapter à tous les contextes. C'est-à-dire qu'à chaque fois que vos données sont collectées, enregistrées ou conservées, que ce soit par une entité privée ou publique, dans le cadre de votre vie au travail ou dans le cas de votre vie quotidienne, à chaque fois, il faudra prévoir des modalités d'information et de transparence.
Et là encore, on a une liste encadrée de l'information qui doit être donnée.
C'est-à-dire : Qui collecte mes données ? Qui est responsable de traitement ? Qui est le délégué à la protection des données ? Comment est-ce que je peux exercer mes droits ? Qui est l'autorité compétente si jamais je ne suis pas satisfait par la réponse qui m'est donnée ? Pourquoi est-ce qu'on connecte mes données ? (principe de finalité). Qu'est-ce que l'on en fait ? À qui on communique mes données ? Quels sont les destinataires de ces données ? Est-ce qu'elles peuvent être transférées en dehors de l'Union Européenne ?
Et surtout combien de temps va-t-on les conserver ?
Là encore, c'est quelque chose qui peut être relativement complexe à mettre en œuvre. D'une part, il faut apporter cette information et d'autre part, il faut aussi la déployer concrètement. Pour celui qui déploie l'information, qui informe, il faut faire en sorte d'être sûr et persuadé qu'on délivre les bonnes informations. Et surtout que c'est suivi par des faits en pratique, qu'il y a une gouvernance effective en matière de protection des données personnelles.
La manière dont on communique sur ces informations personnelles
Il y a une question importante aujourd'hui qui est celle de la manière dont on donne toutes ces informations. On a des listes, on a des délais, mais la manière dont on informe est très importante. Et la CNIL et d'autres autorités de protection des données personnelles l'ont rappelé.
Il s'agit pas de donner un catalogue d'information mais il faut aussi s'adresser, à chaque fois, selon les différents types de public. Il y a des aspects qui sont proches du legal design, donc la manière dont on communique, la manière dont on apporte les informations, ce sont des questions clés. Et il est très important là encore de veiller à la manière dont ces informations sont apportées.
Qu'est-ce qu'une donnée personnelle ?
Je vais maintenant vous parler des données personnelles. Très souvent on entend parler du RGPD, de la loi Informatique et Liberté en France et du droit de la protection des données. Mais qu'est-ce qu'une donnée personnelle ?
De quoi parle-t-on lorsqu'on évoque les données personnelles ? Le point le plus important, c'est de noter qu'il s'agit d'une notion évolutive. Il est très difficile aujourd'hui de décréter une fois pour toute ce qu'est une donnée personnelle ou ce que n'est pas une donnée personnelle.
Une donnée personnelle, par exemple, c'est le nom, le prénom, des données qui sont associées à Monsieur Dupont ou à Madame Durand. Des données sur son adresse, sa situation familiale,... Et toutes les données qui vont en découler.
Ainsi, on a un certain nombre de catégories quand on parle de données personnelles. Par exemple, les données d'état-civil, des catégories qui vont être liées aux données de famille, etc. Lorsqu'on parle de données personnelles, on parle aussi de données sensibles.
Les données sensibles
Dans la catégorie des données personnelles, il y a aussi des données qui doivent faire l'objet d'un examen plus attentif et dont le recueil, dans certains cas, est interdit. Par exemple, des données qui vont révéler la vie sexuelle, l'appartenance à une religion, l'origine ethnique, une appartenance syndicale, etc.
Le principe est que la collecte, le traitement de ces données est interdit, sauf exception, et ces exceptions sont encadrées, elles font l'objet d'un certain nombre de dispositions spécifiques. C'est le cas, par exemple, pour les données de santé.
Alors, je le disais tout à l'heure, la notion de données personnelles, c'est une donnée évolutive. Avec le progrès technologique, vous pouvez partir d'un certain nombre de base de données dans lesquelles vous n'avez pas de nom, pas de prénom, rien qui puisse être identifiant. Et vous pouvez aboutir à des données qui sont elles bien identifiantes.
C'est la raison pour laquelle, aujourd'hui, il y a un certain nombre d'éléments, de doctrines ou d'éléments qui sont apportés par l’European Data Protection Board à Bruxelles qui montre bien de la vigilance à exercer à en la matière.
Ces éléments permettent de vérifier à chaque fois s'il s'agit bien de données personnelles ou non. C'est un point-clé parce que s'il s'agit de données personnelles, vous devez appliquer le droit de la protection des données personnelles. Si ce n'est pas le cas, vous ne devez pas appliquer cette disposition.
Et il ne faudrait pas justement créer des situations dans lesquelles il y aurait des phénomènes de fraude. Des situations où l’on n’appliquerait pas ses dispositions protectrices qui permettent aux personnes d'exercer leurs droits, par exemple, pour favoriser un régime qui serait moins protecteur.
Les notions d'anonymisation des données ou de pseudonymisation
Enfin, quand on parle de données personnelles, il y a également les notions d'anonymisation des données ou de pseudonymisation. Dans certains cas, on peut coder les données pour pouvoir apporter des garanties supplémentaires, notamment en termes de sécurité des données. Quand on les pseudonymise, quand ce n'est pas définitif, cela reste des données personnelles et il faut les protéger comme des données personnelles. Au contraire, quand on anonymise des données, il ne s'agit plus de données personnelles et dans ces cas-là, vous n'avez plus à mettre en place les mesures protectrices liées aux données personnelles.
Pour autant, il faut être extrêmement vigilant, il faut que ce soit une anonymisation effective, efficace, avec des dispositifs qui ont fait l'objet de vérifications ou de mesures d'audit. Donc, on le voit, les données personnelles sont des données dont la nature et le champ d'application sont extrêmement larges, et cela appelle un examen précis et détaillé.
RGPD et le droit fondamental à la protection des données personnelles en Europe
Aujourd'hui, on parle beaucoup du RGPD, très souvent, on cite le RGPD, ce règlement général sur la protection des données. De quoi s'agit-il ? Comment est-ce qu'on pourrait le décrire aujourd'hui ou en tout cas le décliner rapidement ? Je vais vous parler du RGPD en 10 points pour vous expliquer de quoi il s'agit et quels sont ses objectifs.
Tout d'abord, ce qu'il faut noter, c'est que ce règlement général sur la protection des données a pour objectif de faire assurer le droit fondamental à la protection des données. On a un règlement général sur la protection des données, on a un RGPD parce qu'on a un droit fondamental à la protection des données personnelles en Europe. Et donc ce droit des citoyens européens doit être assuré.
Le RGPD, un règlement européen
Deuxième point, il s'agit d'un règlement européen c'est-à-dire que ce règlement s'applique dans tous les pays de l'Union européenne. Contrairement à d'autres règlements, les différents pays de l'Union européenne ont la possibilité de conserver certains éléments de leur législation. Pour autant, il s'agit d'un règlement européen donc applicable dans toute l'Europe.
Troisième point, l’objectif de ce règlement est d'assurer le même niveau de protection des données en Europe. C'est-à-dire de faire en sorte que : je suis salarié, je vais d'un pays à l'autre, mes droits en tant que salarié sur la protection des données reste les mêmes. De la même manière, je suis un consommateur, je vais dans un pays d’Europe, normalement, le niveau de protection de mes droits doit rester le même.
Quatrième point, le RGPD ce sont des principes, un certain nombre de principes, il faut que quand on collecte mes données ce soit pour une finalité spécifique. Il y a un principe de conservation des données, il faut mettre en œuvre des mesures en termes de sécurité des données.
Donc le RGPD ce sont des principes, mais le rgpd c'est aussi des droits, un certain nombre de droits pour les personnes concernées. Le droit d'accéder à leurs données, le droit de demander l'effacement de leurs données, le droit de demander la portabilité des données. Donc, corollaire du droit fondamental à la protection des données, le RGPD c’est aussi l’ensemble de ces droits que chaque personne doit pouvoir exercer.
Les rôles et les obligations des différents acteurs en matière données personnelles
Ce règlement, c'est aussi un certain nombre de rôles. C'est-à-dire que le RGPD prévoit les obligations à la charge du responsable de traitement, celui qui collecte, celui qui traite, celui qui conserve, celui qui détruit les données et éventuellement de ses sous-traitants ou des destinataires de ces données. Donc, à chaque fois, le règlement prévoit les obligations de chaque acteur.
Le rgpd c'est aussi des rôles renforcés pour les autorités de contrôle en matière de protection des données personnelles. Pour la CNIL en France, mais aussi pour toutes les autorités de contrôle en Europe. C'est-à-dire qu'elles doivent avoir des moyens effectifs pour garantir les droits des personnes concernées. Pour faire en sorte que là encore, on ait le même niveau de protection des données personnelles dans toute l'Europe.
Le transfert des données personnelles hors UE
Le RGPD est aussi un encadrement des transferts hors de l'Union Européenne des données personnelles. Le RGPD prévoit un niveau renforcé de protection des données en Europe, mais, lorsque ces données sont exportées, il faut que le niveau de protection soit le même.
Que ces données partent aux États-Unis, en Afrique du Sud ou en Inde, à chaque fois, celui qui exporte les données doit expliquer les mesures qu'il a mises en œuvre pour faire en sorte de garantir le niveau de protection de ces données.
Le RGPD ce sont aussi des sanctions renforcées, des sanctions financières notamment, qui peuvent aller jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise. Donc des sanctions beaucoup plus importantes que les sanctions qui pouvaient être prononcées jusque-là. Et là encore avec le renforcement du rôle des autorités de contrôle comme la CNIL en France cela leur permet de pouvoir prononcer des sanctions qui soient dissuasives.
Le RGPD, une référence au niveau mondial
Le RGPD qu'est-ce que c'est aujourd'hui ? C'est aussi un texte clé au niveau mondial. De plus en plus, c'est devenu une référence dans le monde. C'est un texte qui est utilisé par tous les grands groupes de sociétés, un texte qui sert aussi de référence quand certaines législations sont élaborées dans d'autres pays. Il y a eu des références par exemple en Californie au RGPD dans l'inspiration de la loi californienne sur la protection des données. Donc il ne faut pas oublier qu'aujourd'hui le RGPD c'est cette référence internationale.
Données de santé et implications ?
Maintenant, je vais vous parler des données de santé et des implications, par exemple dans le domaine de la recherche, sur le traitement des données de santé aujourd’hui.
Le premier point, qui est important à noter, c'est qu'aujourd'hui, on a une explosion des données de santé.
Que ce soit les données que l'on va collecter à travers des montres connectées, à travers un certain nombre d'applications de bien-être, de sport, ou encore toutes les données qu'on peut collecter justement en matière de santé via des téléphones portables. Les données qui vont être collectées évidemment au niveau médical, en tout cas les usages sont exponentiels, les utilisations et les traitements aussi.
Donc, deuxième point, il y a de véritables enjeux sur le traitement de ces données. Sachant que très souvent le traitement de ces données se fait sur une échelle internationale.
Par exemple : je vais utiliser une application qui a été développée aux États-Unis ou en Asie, où le traitement de mes données s'inscrit dans le cas d'un essai clinique mené par un sponsor américain avec des sites en Europe et en Asie et une CRO européenne.
Il y a donc des situations extrêmement variées et très souvent internationales, ce qui implique de mettre en place les bons outils en termes de protection des données personnelles.
Le caractère sensible des données de santé
Surtout que les données de santé, ce sont des données sensibles, cela signifie que ces données sensibles, au sens du RGPD, bénéficient d'un traitement particulier.
En principe, on ne peut pas les traiter, leur traitement est interdit, sauf à rentrer dans certains cas, il y a un certain nombre d'exceptions, dans lesquelles on peut traiter des données de santé. Notamment à des fins de santé publique.
Mais il y a un certain nombre de traitements pour lesquels il faut justement pouvoir démontrer que l'on est bien conforme aux règles en matière de protection des données personnelles.
Il est vraiment essentiel de conserver à l'esprit le caractère sensible de ces données. Le fait que chaque responsable de traitement, chaque structure, qui va mettre en place des traitements particuliers, devra pouvoir démontrer qu'elle est bien conforme au RGPD ou aux lois nationales qui s'appliquent. En France, la loi Informatique et Liberté a un dispositif spécifique pour le traitement des données de santé.
Les méthodologies de référence de la CNIL pour la protection des données
Troisième point, il y a des caractéristiques spécifiques pour les règles en matière de protection des données pour les données de santé. Et ses règles sont complémentaires à d'autres règles déjà existantes. C'est-à-dire qu’il y a un certain nombre de dispositions, par exemple, dans le cadre de la recherche clinique, dans le cadre de la conduite des essais cliniques sur le traitement des données personnelles.
Et à ses dispositions se superposent des règles spécifiques sur la protection des données. Dans le cadre de la recherche, par exemple, la CNIL a mis en place qu'on appelle des méthodologies de référence, il en existe 6. Ces différentes méthodologies, adaptées à des types de recherche particuliers, prévoient à chaque fois les obligations qui devront être respectées par les responsables de traitement.
Alors, au-delà du fait de devoir déclarer le respect de ses règles à la CNIL dans le cadre de ces méthodologies, il y a bien évidemment un certain nombre d'autres outils à mettre en place. Je pense par exemple aux analystes d'impact au sens du RGPD, au fait d'avoir un délégué à la protection des données, au fait justement de documenter un certain nombre de dispositifs en termes de sécurité des données personnelles.
Autre exemple des domaines dans lesquels la CNIL est intervenue, c'est sur la constitution d'entrepôt de données de santé. Aujourd'hui, la constitution de ces entrepôts, le fait de conserver des données de santé en masse, constitue de vrais enjeux en termes de protection des données personnelles.
Donc la CNIL a mis en place un référentiel en matière d'entrepôt de données de santé. C'est un référentiel important pour les hôpitaux, pour les cliniques, pour pouvoir utiliser ces données. Cela permet d'encadrer les finalités : les raisons pour lesquelles on traite ces données ou pas - Comment on les utilise - Comment est-ce qu'on va informer les personnes ?
Alors dans certains cadres spécifiques, lorsqu'un projet ne rentre pas dans le cadre des méthodologies de référence de la CNIL. L'organisation concernée a toujours la possibilité de faire une demande d'autorisation spécifique à la CNIL, en expliquant pourquoi et comment elle compte conduire ce projet. Elle devra alors déployer tous les éléments permettant de justifier de sa conformité.
Ce sont des éléments clé, cela nécessite à chaque fois de pouvoir identifier la situation dans laquelle une organisation, une collectivité ou une entreprise va intervenir. Cela nécessite également d'expliquer pourquoi et comment et de documenter ces différents éléments.
On est à l'articulation plusieurs dispositifs, par exemple, en matière d’essais cliniques, on a d'une part le RGPD, mais on a aussi un règlement européen sur les essais cliniques qui prévoit des renvois au RGPD et au droit de la protection des données personnelles. Avec la nécessité à chaque fois de pouvoir créer une articulation qui soit cohérente.
On a par exemple de la documentation de la Commission européenne qui explique comment interpréter certaines notions. On ne va pas interpréter de la même manière la notion de consentement en matière d’essais cliniques et en matière de protection des données personnelles.
Les données de santé et le principe de responsabilité
Il est essentiel là encore d'avoir à l'esprit le principe de responsabilité. Le grand principe qui irrigue tout le droit à la protection des données personnelles et le RGPD. Donc, à chaque fois, en fonction des différents types de projets, il va falloir pouvoir démontrer, que du début à la fin du projet, les grands principes du RGPD ont été appliqués. Qu’ils ont été mis en œuvre et qu’ils sont correctement déployés. Si on a prévu une durée de conservation de 15 ans, on est en mesure de prouver qu'au bout de 15 ans les données seront détruites, supprimées, anonymisées etc. Voilà, il est important encore une fois d'avoir ce principe de responsabilité à l'esprit !