1. Les grandes étapes de la construction européenne

2. Les institutions européenne

3. La Protection des données : un enjeu majeur

4. Le RGPD

5. Le rôle de la CNIL

6. Les différentes données personnelles

7. Quels sont les grands principes des règles de protection des données personnelles ?

8. Le droit à l'oubli

9. Le transfert des données hors de l'Europe

10. Ouverture des données

​

Sommaire

​Les institutions de l’UE au soutien
de la transformation numérique des activités juridiques

Les grandes étapes de la construction européenne

Le 25 mars 1957, l’Allemagne, la Belgique, la France, l’Italie, le Luxembourg et les Pays-Bas signent à Rome deux traités :
le premier crée la Communauté économique européenne (CEE) ; le second crée la Communauté européenne de l’énergie atomique (CEEA ou Euratom). Ces deux traités sont entrés en vigueur le 14 janvier 1958. Les nouvelles Communautés sont alors apparues comme un facteur de renforcement économique pour les Etats membres.

​

La préambule du traité de la Communauté économique européenne (CEE) énonce les engagements et objectifs des États membres pour une Europe plus unie et prospère. Ils expriment leur détermination à consolider l'union entre les peuples européens et à promouvoir le progrès économique et social en supprimant les divisions en Europe. Les États membres visent à améliorer constamment les conditions de vie et d'emploi, à éliminer les obstacles au commerce et à assurer une concurrence loyale. Ils s'engagent également à renforcer l'unité économique, réduire les disparités régionales, et promouvoir une politique commerciale commune pour ouvrir progressivement les marchés internationaux. En outre, ils souhaitent renforcer les liens avec les pays d'outre-mer, en accord avec les principes de la Charte des Nations Unies, et encouragent d'autres pays européens partageant ces idéaux à se joindre à eux pour renforcer la paix et la liberté.

Le concept de marché commun au sein de la Communauté économique européenne se fonde sur une union douanière qui supprime les droits de douane et les contingents entre les États membres, tout en établissant une politique commerciale unifiée et un tarif douanier commun vis-à-vis des pays tiers.

Le marché commun repose sur le principe de la libre concurrence, ce qui conduit à l'interdiction des ententes entre entreprises et des aides d'État, sauf celles à caractère social. Il prévoit également la suppression des barrières à la libre circulation des personnes, des services, et des capitaux entre les États membres.

Pour garantir le bon fonctionnement du marché unique, un rapprochement des législations nationales est nécessaire, accompagné de l'élaboration de politiques communes dans des domaines tels que le commerce, la concurrence, les transports, et l'agriculture.

Entré en vigueur le 1er novembre 1993, le traité de Maastricht institue une Union européenne entre les 12 Etats membres de la Communauté (Allemagne, Belgique, Danemark, Espagne, France, Grèce, Irlande, Italie, Luxembourg, Pays-Bas, Portugal et Royaume-Uni).

Il permet alors de rassembler trois champs d’action, ou “piliers”. Ceux-ci sont regroupés sous un “chapeau” commun, dont l’intitulé officiel est pour la première fois “l’Union européenne” : la Communauté européenne (qui remplace la CEE) avec des compétences supranationales étendues, à laquelle s’ajoutent les deux autres Communautés (CECA et Communauté Euratom) ; la coopération en matière de politique étrangère et de sécurité commune (PESC) ; la coopération en matière de justice et d’affaires intérieures (JAI). Le premier pilier relève de l’action communautaire, les deux autres de la coopération intergouvernementale.

Le traité établit que toute personne possédant la nationalité d'un État membre de l'Union européenne est automatiquement citoyen de l'UE. Cette citoyenneté européenne, qui dépend de la nationalité nationale, octroie des droits supplémentaires, tels que :

1. La liberté de circulation et de résidence dans les pays membres.

2. La protection à l'étranger par les ambassades et consulats de tout État membre en l'absence de représentation diplomatique nationale.

3. Le droit de voter et d’être élu lors des élections européennes et municipales de l'État de résidence, sous certaines conditions.

4. Le droit de pétition auprès du Parlement européen.

5. Le droit de soumettre une plainte au Médiateur européen en cas de dysfonctionnement de l'administration de l'UE.

La création de l'Union économique et monétaire (UEM) sous l'égide de la Banque centrale européenne (BCE) au 1er janvier 1999 marque l'aboutissement de l'intégration économique et monétaire au sein du marché unique européen. L'UEM s'est développée en trois phases principales :

1. Première étape (1er juillet 1990 - 31 décembre 1993) : Cette phase initie la libéralisation de la circulation des capitaux entre les États membres.

2. Deuxième étape (à partir du 1er janvier 1994) : Elle introduit une coordination renforcée des politiques économiques entre les États membres, visant à harmoniser des aspects clés comme l'inflation, les taux d'intérêt, et les taux de change, et à contrôler les déficits publics et la dette. Les critères de Maastricht, établis durant cette étape, visent à assurer une convergence économique essentielle à l'adoption d'une monnaie unique. Cette étape est préparée par l'Institut monétaire européen (IME).

3. Troisième étape (à partir du 1er janvier 1999) : C'est le début de l'utilisation de la monnaie unique, l'euro, et la mise en place d'un système européen de banques centrales qui regroupe les banques centrales nationales autour de la BCE.

Après la crise économique et financière de 2008, d'autres réformes telles que le semestre européen et l'union bancaire ont été introduites pour renforcer l'architecture économique de la zone euro.

Le traité signé le 2 octobre 1997 à Amsterdam maintient la structure en trois piliers de l’Union européenne et affirme les principes de liberté, de démocratie et de respect des droits de l’homme. Entré en vigueur en 1999, le traité d’Amsterdam fait suite à celui de Maastricht. Ce dernier prévoyait dès 1992 une future révision des traités, afin notamment d’assurer une meilleure efficacité des institutions communautaires en vue des élargissements futurs.

Le traité d’Amsterdam propose de mettre en place “un espace de liberté, de sécurité et de justice” , et fait entrer de nouveaux domaines dans le champ communautaire. Il pose également le principe des coopérations renforcées, qui permettent à un groupe restreint de pays d’avancer plus vite sur des projets définis, et ébauche une réforme du fonctionnement institutionnel. Le traité mentionné établit un "espace de liberté, de sécurité et de justice" au sein de l'Union européenne, en "communautarisant" des domaines précédemment régis par la coopération intergouvernementale tels que le contrôle de l'immigration, les visas, le droit d'asile, et la coopération judiciaire en matière civile. Ces domaines sont transférés du troisième au premier pilier de l'UE, les soumettant ainsi à la méthode communautaire, qui comprend le monopole d'initiative de la Commission, le passage à la majorité qualifiée du Conseil dans la plupart des cas, et le contrôle par la Cour de justice. Des exceptions existent pour le Danemark, l'Irlande, et le Royaume-Uni.

​

En plus, un cadre intergouvernemental est créé pour renforcer la coopération entre les pays de l'UE dans la lutte contre des menaces telles que le terrorisme, le crime organisé, la pédophilie, le trafic de drogues et d'armes, ainsi que la fraude et la corruption. La politique sociale est établie comme une politique communautaire au sein de l'Union européenne par le traité, qui étend la liste des droits fondamentaux garantis dans tous les États membres. Ces droits incluent les droits sociaux, avec l'intégration du protocole social par le Royaume-Uni, l'égalité entre hommes et femmes, et la protection des services publics.

Le traité fixe comme objectif un niveau élevé d'emploi et propose pour atteindre cet objectif une coordination améliorée des politiques nationales contre le chômage. Cela comprend la création de mécanismes de comparaison et d’évaluation, ainsi que l'adoption de lignes directrices communes. Des fonds européens peuvent aussi soutenir des projets pilotes et des mesures incitatives pour la création d'emploi.

​

En matière de droits fondamentaux, le traité renforce la protection contre la discrimination et reconnaît le droit à l'information et la défense des consommateurs. Il prévoit également une réglementation européenne pour protéger la santé des consommateurs, notamment en ce qui concerne les produits sanguins et les substances d'origine humaine. À l'insistance de la France, il souligne la nécessité de préserver des services d'utilité publique, désignés comme "services d’intérêt économique général" (SIEG).

Signé le 26 février 2001, le traité de Nice ambitionnait de réformer les institutions de l’Union européenne à l’aube du plus grand élargissement de son histoire. Il est entré en vigueur le 1er février 2003.

​

Le traité d’Amsterdam, appliqué depuis le 1er mai 1999, avait consolidé la dimension sociale de l’Union européenne et prévu une ébauche des réformes nécessaires en vue de l’adhésion de nouveaux membres à l’Union européenne. Préalable à l’élargissement, le traité de Nice devait permettre d’assurer le bon fonctionnement institutionnel d’une Union élargie.

Il s’inscrivait donc, pour l’essentiel, dans l’optique d’une réforme institutionnelle orientée autour de 3 axes principaux : la composition et le fonctionnement des institutions européennes, la procédure décisionnelle au sein du Conseil et les coopérations renforcées.

Les ministres des Affaires étrangères des Etats membres ont signé le traité de Nice le 26 février 2001. Ratifié ensuite par les pays de l’UE, par voie parlementaire ou par référendum, le traité est entré en vigueur le 1er février 2003.

L’euro a définitivement remplacé les monnaies nationales des États membres « qualifiés »

​​2002

Entrée en vigueur du Traité de Lisbonne. Ce texte prévoit notamment que : Ce traité a été signé pour répondre à la crise institutionnelle que connaît le système depuis Maastricht et les divers élargissements qui ont été réalisés. Amsterdam et Nice n’ayant pas réellement répondu aux attentes, il était urgent de réagir.

2009

Le « pacte vert » pour l'Europe est présenté par la présidente de la commission. L'objectif est de faire de l'Europe le premier continent climatiquement neutre d'ici à 2050.

2018

Le Conseil adopte la décision relative à la conclusion de l’accord de retrait du Royaume-Uni de l’UE (Brexit), suite au vote d'approbation du Parlement européen, le 29 janvier, et à la signature de l'accord de retrait par l'UE et le Royaume-Uni, le 24 janvier.

​​2018

Le Conseil adopte un règlement établissant la facilité pour la reprise et la résilience, dans le cadre du plan de relance de l'UE. Cette dernière mettra à disposition 672,5 milliards d'euros de subventions et de prêts pour soutenir les investissements publics et les réformes dans les 27 États membres, pour les aider à faire face aux conséquences de la pandémie de COVID-19.

​​2021

Les institutions européennes

Le Parlement européen a été initialement créé sous le nom d'Assemblée parlementaire européenne, suite à l'insistance des gouvernements du Benelux lors de la formation de la Communauté européenne du charbon et de l'acier (CECA) en 1951. À l'origine, cette assemblée se composait de 78 députés nationaux, délégués par leurs parlements respectifs, et dépourvus de pouvoir significatif, une configuration soutenue par la France. Avec l'établissement de la Communauté économique européenne (CEE) et de l'Euratom, et la signature du traité de Rome en 1957, l'assemblée a été renommée "Assemblée parlementaire européenne" et son siège fixé à Strasbourg. Le traité prévoyait l'élection des membres de cette assemblée "au suffrage universel direct, suivant une procédure uniforme dans tous les États membres". En 1962, elle a été officiellement renommée "Parlement européen".

​

Les premières élections au suffrage universel direct ont eu lieu en juin 1979. Initialement consultatif, le Parlement européen a acquis un pouvoir législatif limité avec le traité d'Amsterdam en 1997, lui permettant de demander des projets de loi à la Commission européenne et de contrôler cette dernière.

Avec le temps, et à travers les traités successifs, dont le traité de Lisbonne, les pouvoirs du Parlement européen ont été considérablement étendus. Il est devenu un colégislateur clé avec le Conseil de l'Union européenne, jouant un rôle significatif dans la législation, le budget, et les politiques de l'UE. Le Parlement détient également des pouvoirs importants en matière de contrôle politique, incluant le droit de censurer la Commission européenne et de participer à l'adoption du budget de l'UE. Actuellement, le Parlement européen siège à Strasbourg avec 705 députés, nombre qui passera à 720 après les élections de 2024.

La Commission européenne, dirigée par Ursula von der Leyen depuis 2019, fonctionne comme l'organe exécutif de l'Union européenne. Politiquement indépendante, elle joue un rôle crucial dans le processus législatif en proposant des textes (directives et règlements) qui sont ensuite adoptés par le Parlement européen et le Conseil de l'UE. Elle veille également à la mise en œuvre et au respect de ces législations.

Composée de 27 commissaires, un par État membre, la Commission représente les intérêts généraux de l'UE et non ceux des États individuels. Le traité de Lisbonne permet à ses membres d'être nommés pour cinq ans, renouvelables, avec le président de la Commission élu par le Parlement européen sur proposition du Conseil européen.

​

En outre, la Commission joue un rôle de "gardienne des traités", veillant à l'application correcte des traités et législations de l'UE, avec la capacité d'invoquer des sanctions par la Cour de justice de l'Union européenne en cas de non-respect par les États membres. Elle supervise aussi les règles de concurrence et gère l'attribution des aides d'État.

Le siège de la Commission est situé dans le bâtiment Berlaymont à Bruxelles, avec des représentations dans chaque État membre et des délégations dans d'autres pays. La Commission est l'une des institutions les plus importantes de l'UE, employant plus de 32 000 personnes.

La Cour de justice de l'Union européenne (CJUE), située à Luxembourg, est une institution essentielle de l'UE, veillant au respect du droit européen. Composée de deux juridictions principales, la Cour de justice et le Tribunal, elle assure l'interprétation et l'application uniformes des traités européens parmi les États membres et les institutions de l'UE.

La Cour de justice, existant depuis 1952, compte 27 juges (un par État membre) et est soutenue par onze avocats généraux qui aident à formuler des opinions indépendantes et impartiales sur les cas. Les juges et les avocats généraux sont nommés pour six ans, renouvelables, par les gouvernements des États membres.

​

La CJUE peut siéger en formations diverses selon l'importance de l'affaire, allant de la plénière à des chambres de trois ou cinq juges. Elle traite de recours directs contre les institutions ou les États membres pour non-conformité avec le droit de l'UE, ainsi que de questions préjudicielles soulevées par des juges nationaux nécessitant une interprétation du droit de l'Union.

Les décisions de la CJUE sont obligatoires pour tous les États membres, garantissant l'application uniforme du droit européen sur tout le territoire de l'Union.

​Le droit originaire qui sont les traités et le droit dérivé qui est issu des traités Le droit dérivé Il faut distinguer ici les actes obligatoires des actes non décisoires. L’article 249 du traité de Rome distingue assez nettement règlement et directives communautaires. Les premiers on un caractère général et peuvent s’appliquer aux particuliers, les secondes en revanche sont destinées aux Etats qui devront prendre des mesures de mise en œuvre afin d’atteindre les résultats fixés par les directives.

La CJCE dans un arrêt de 1974, VAN DUYN pose le principe de l’effet direct des directives européennes. Ainsi la CJCE est en opposition avec l’article 249 du traité de Rome qui énonce clairement que les directives n’ont pas d’effet direct, seuls les règlements ont un effet direct.

La CJCE raisonne sur le fait que les directives et les règlements sont de moins en moins différents et peuvent être assimilés. Cependant dans un Arrêt de 1979 RATTE, elle pose le principe que seules les directives suffisamment claires peuvent faire l’objet d’une application directe en droit interne.

​

​​Les enjeux des données personnelles

La notion fondamentale de données à caractère personnel encore appelées données personnelles, établie par le législateur en 1978 constitue le pilier de nombreuses lois sur la protection de la vie privée. Il faut tout d'abord commencer par définir le concept de responsable de traitement, qui peut être une entreprise privée ou une administration publique. Ce responsable détient une base de données contenant des données personnelles, c'est-à-dire des informations relatives à des personnes physiques. C'est donc la loi de 1978 appelée Loi informatique et libertés qui a été modifié par le RGPD (« Règlement Général sur la Protection des Données ») qui dans son article 2 donne la définition de ce qu'est une donnée personnelle : "Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement".
La nature des informations n'a aucune importance. Par exemple, la température d'un logement peut très bien servir d'exemple. La considération du fait qu'un logement, un certain logement, est chauffé à 19 degrés et annoncé au monde entier ne semble pas être très préoccupante. La question clé réside dans le lien avec une personne physique. Si tel est le cas, la loi dispose qu'il s'agit de données personnelles, peu importe la nature de ces données. La loi va plus loin en précisant que ce lien peut être direct, ce qui signifie que la base peut comporter et associer mon nom à la température. Mais il peut également être indirect, par exemple s'il existe un identifiant de client chez un fournisseur d'électricité.

​

C'est ce que révèle la notion de personne physique identifiée ou identifiable selon l'article 2. La loi ne se limite pas au cas où le responsable de traitement est lui-même capable d'identifier la personne physique. Elle évoque également des moyens techniques accessibles soit au responsable de traitements - dans le cas simple - soit à toute autre personne, implicitement dans le monde entier. Ainsi, si EDF collecte à la fois la température d'un logement et l'identifiant de client associé, il s'agit de données personnelles. Dans ce cas, cela semble intuitif. Mais si EDF collecte la température d'un logement et l'adresse IP du capteur de température, il s'agit également de données personnelles. En effet, dans ce cas, il existe nécessairement un fournisseur d'accès Internet capable de faire le lien entre adresse IP et client. La notion de personne physique identifiée ou identifiable peut donc s'étendre extrêmement loin.

RGPD

​La protection des données personnelles en droit de l’Union européenne a été renforcée par l’adoption d’un « paquet » de textes du législateur européen dont le règlement européen de protection des données personnelles dit RGPD du 27 avril 2016. Le RGPD est entré en vigueur le 25 mai 2018. Le RGPD remplace la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adoptée le 24 octobre 1995.

​L’article 4, paragraphe 1, du RGPD énonce ainsi que le règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut s'agir : du nom, du prénom, un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image. En 2011, la Cour de Justice de l'Union Européenne (« CJUE ») avait considéré que les adresses IP des utilisateurs d'Internet constituaient des données protégées à caractère personnel, dans la mesure où elles permettaient l'identification précise des utilisateurs (CJUE, 24 nov.2011, Scarlet Extended, C-70/10).

​

LA CNIL

Aujourd’hui, il est pertinent de mentionner quelques mots sur la Commission Nationale de l’Informatique et des Libertés, la CNIL.

Cette institution, dont beaucoup ont probablement déjà entendu parler, occupe une position particulière dans la sphère juridique. Pourquoi ? Parce que normalement, lorsqu’une réglementation est adoptée, celui qui contrôle le respect de cette réglementation, c’est le juge. C’est celui vers lequel on se tourne lorsque, par exemple, on estime que le site internet sur lequel un produit a été acheté n’a pas respecté la réglementation. En matière de protection des données, il y a certes le juge qui peut vérifier l’application de la loi, mais il y a aussi une autorité spécifique, la CNIL. Cette autorité a été instituée le 6 janvier 1978, en même temps que l’adoption de la loi Informatique et libertés, et sa mission première est de vérifier que les responsables de traitements respectent les dispositions de cette loi. En revanche, à la différence du juge, le rôle de la CNIL est un peu plus large parce qu’avant de contrôler, la CNIL est là pour conseiller. Elle est un interlocuteur qui est à la disposition des entreprises, mais aussi des personnes fichées, des internautes pour leur donner des conseils, pour les aider à respecter la réglementation ou à faire respecter leurs droits. De plus, elle est là pour contrôler, pour vérifier et, le cas échéant, pour sanctionner que les responsables de traitements mettent en place des fichiers dans le respect de la réglementation applicable.

Alors, qu’est-ce que la CNIL, de manière un peu synthétique ? La CNIL, juridiquement parlant, est une autorité administrative indépendante. Qu’est-ce que ça signifie ? Cela signifie que c’est une autorité financée sur fonds public, mais qui n’est pas dans un lien hiérarchique par rapport à d’autres administrations, par rapports à un ministère. Elle prend ses décisions en toute indépendance et c’est d’ailleurs la raison pour laquelle elle est fondée à faire des contrôles également dans les fichiers du secteur public.

Elle est composée de 17 commissaires qui, collégialement, vont prendre des décisions importantes. Par exemple, lorsque certaines autorisations de mise en place de fichiers sont données, cette décision est prise de manière collégiale.

Il y a un deuxième collège à la CNIL qu’on appelle la formation restreinte, qui est composée de 6 commissaires et qui, pour ce qui le concerne, est là pour prononcer, le cas échéant, des sanctions à l’encontre des responsables de traitements.

La CNIL a plusieurs missions. Elle a une mission de conseil, et également une mission de contrôle.

S’agissant de la mission de conseil, la CNIL va être là pour aider les professionnels à comprendre et à appliquer la réglementation. A titre d’exemple, il y a une hotline téléphonique auprès de laquelle les entreprises, les sites Internet peuvent téléphoner lorsqu’ils ont des doutes sur un certain nombre de points relatifs à une déclaration à effectuer à des niveaux de sécurité à appliquer.

La CNIL valide des chartes professionnelles et, même maintenant, elle délivre des labels aux entreprises qui sont respectueuses en matière de protection de la vie privée. La CNIL est là aussi pour conseiller les internautes. Elle le fait en recevant leur plainte. Lorsqu’un internaute estime avoir un problème avec ses données, il peut écrire à la CNIL. La CNIL va instruire son dossier et va essayer de trouver une solution avec l’entreprise concernée. Vous voyez l’adresse qui s’affiche à l’écran? Sachez également que sur le site internet de la CNIL, vous pourrez trouver un certain nombre de fiches pratiques et des modèles de lettre à utiliser en cas de difficulté.

Une fois que la CNIL a conseillé, elle va contrôler. Elle va contrôler de deux manières. Il y a tout d’abord, ce qu’on appelle le contrôle a priori, c’est-à-dire le contrôle par les formalités préalables. Toute entreprise, tout organisme qui met en place un fichier doit, préalablement à sa mise en œuvre, le déclarer auprès de la Commission Nationale de l’Informatique et des Libertés. Cette déclaration est obligatoire. Elle doit être faite avant la mise en œuvre du fichier et il faut savoir que tout fichier qui serait mis en œuvre sans qu’une déclaration ait été faite au préalable est un fichier qui n’a aucune existence légale, dont on ne peut normalement rien faire. Si un internaute veut vérifier que le fichier dans lequel ses données ont été enregistrées a bien été déclaré à la CNIL, il peut faire ce que l’on appelle faire une demande de « liste article 31 ». C’est une demande que l’on adresse à la CNIL par courrier ou par fax et vous recevrez la liste des fichiers, des traitements, la liste descriptive des traitements qu’un organisme a déclarés auprès de la CNIL.

La mission de contrôle de la CNIL, c’est également une mission que l’on appelle a posteriori, c’est-à-dire qu’une fois que les traitements sont mis en œuvre. Alors cette mission de contrôle a posteriori, elle se traduit d’abord par la possibilité pour la CNIL de faire des contrôles sur place, c’est-à-dire de faire des perquisitions, de se rendre dans l’entreprise ou dans l’administration et d’aller regarder très concrètement comment fonctionne un fichier. Ces contrôles sont faits soit parce que la CNIL a été informée d’un problème - elle a reçu une plainte par exemple et donc elle va aller vérifier ce qu’il en est au sein de l’entreprise - mais ce peut être aussi des contrôles que l’on appelle d’audit. Chaque année la CNIL décide d’un certain nombre de sujets pour lesquels elle va faire des contrôles, l’idée étant non pas forcément de sanctionner les professionnels, mais plus d’essayer de comprendre comment ils travaillent, quels types de fichiers ils mettent en œuvre et, si c’est nécessaire, de faire des préconisations pour que ces professionnels puissent améliorer leurs pratiques.

Depuis une loi du 17 mars 2014, la CNIL peut désormais, c’est très important, faire des contrôles en ligne. Elle n’a plus besoin de se déplacer dans les entreprises sur Internet. Elle peut aller directement regarder comment fonctionnent les sites. Par exemple, elle peut aller regarder les mentions légales des sites internet et, si elle estime que ces mentions légales ne sont pas conformes, elle peut dresser en ligne un procès-verbal qui permettra, le cas échéant, d’engager une procédure de sanction.

C’est d’ailleurs la deuxième question qui est de savoir à quoi va servir un contrôle? Eh bien, le contrôle de la CNIL soit va permettre de constater qu’il n’y a pas de difficultés, que le site internet respecte bien la loi et, dans ce cas-là, cela ne va pas plus loin. Ça s’arrête. Ça s’appelle une clôture.

En revanche, dans l’hypothèse où la CNIL identifie que la loi n’a pas été respectée, elle a la possibilité d’engager une procédure de sanction administrative. Alors cette procédure de sanction administrative, elle peut se dérouler de différentes manières, mais comme expliqué précédemment, elle peut conduire au prononcé d’un avertissement public, elle peut conduire au prononcé d’une sanction pécuniaire voire l’interdiction d’utiliser un fichier.

Depuis le 1^er juin 2019, la loi du 6 janvier 1978, dite « Informatique et Libertés », est en vigueur dans une nouvelle rédaction. Elle comporte notamment les dispositions relatives aux « marges de manœuvre nationales » autorisées par le règlement général sur la protection des données (RGPD) que le législateur a choisi d’exercer ainsi que les mesures de transposition en droit français de la directive « Police-Justice ». 

La lecture de la loi est simplifiée par cette nouvelle rédaction. Elle précise en effet les différents régimes applicables en fonction de la nature des traitements concernés : traitements relevant du RGPD, traitements « police-justice », traitements intéressant la défense nationale ou la sûreté de l’État, etc. Elle comporte en outre des dispositions communes, applicables à tout traitement.

Pour rappel, la loi Informatique et Libertés n’a pas pour objet de reprendre en intégralité les dispositions du RGPD, même si elle y renvoie expressément dans certains cas. Pour les seuls traitements relevant du RGPD, la bonne compréhension du cadre juridique suppose donc de lire de manière combinée le RGPD et la loi Informatique et Libertés.

La loi Informatique et Libertés, dans cette nouvelle rédaction, est enfin pleinement applicable dans tous les territoires d’outre-mer.

Les différentes données personnelles

​"L’article 9 du RGPD protège les données sensibles. Est visé « le traitement de données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ». En principe, les traitements de telles données sont interdits. Cependant, le paragraphe 2 prévoit de nombreuses exceptions, comme par exemple si la personne concernée a donné son consentement explicite au traitement de ces données ou encore si le traitement est nécessaire en matière de droit du travail, de la sécurité sociale et de la protection sociale. Le traitement sera aussi autorisé s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique. "

"Est aussi autorisé le traitement nécessaire pour des motifs d'intérêt public importants, sur la base du droit de l'Union ou du droit d'un État membre ou encore en matière de santé si le traitement est nécessaire aux fins de la médecine préventive ou pour des motifs d'intérêt public dans le domaine de la santé publique. "

​"L’article 10 du RGPD porte sur le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes. Un tel traitement ne peut être effectué que sous le contrôle de l'autorité publique ou encore si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre. Le droit national ou de l’Union doit prévoir des garanties appropriées pour les droits et libertés des personnes concernées."

Principes de la CNIL

Les 5 grands principes des règles de protection des données personnelles sont les suivants :

• Le principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ;

• Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ;

• Le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier ;

• Le principe de sécurité et de confidentialité : le responsable du fichier doit garantir la sécurité des informations qu'il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ;

• Les droits des personnes.

Le droit à l'oubli

Tout débute lorsqu’un requérant espagnol agit en justice à l’encontre d’un journal espagnol et de Google Inc, compagnie basée aux États-Unis, afin que soit supprimées certaines pages Internet mentionnant une décision de justice définitivement réglée depuis plusieurs années, mais encore accessible à tous en tapant son nom dans la barre de recherche.

Le litige arrivant devant la Cour de Justice de l’Union Européenne ((CJUE, grde ch., 13 mai 2014, Google Spain SI, Google Inc c/. Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzales, C-131/12)), cette dernière donne gain de cause au requérant en faisant une stricte application de la directive 95/46/CE ((Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995)) dont les dispositions ont pour objectif de protéger les libertés et les droits fondamentaux des personnes physiques lors du traitement des données personnelles.

Est qualifiée de société de traitement des données une entreprise qui collecte, stocke et conserve ces dites données. Cette obligation s’impose donc naturellement aux fournisseurs de moteurs de recherche comme Google, mais également Bing ou Yahoo etc., qui se doivent de supprimer ou de rendre anonymes des données à caractère personnel dès lors qu’elles ne servent plus les finalités déterminées et légitimes pour lesquelles elles ont été collectées. Cela signifie que les données collectées et stockées par les moteurs de recherche ne doivent pas être conservées éternellement.

Par ailleurs la directive s’applique au traitement des données à caractère personnel par les moteurs de recherche même lorsque le siège de ces derniers se trouve en dehors de l’Union européenne, et ce dès lors que la société de traitement des données est un établissement implanté dans le pays de l’internaute désirant se faire oublier du moteur de recherche

Cependant ce droit à l’oubli connaît des limites, puisque la CJUE considère que seules des données pouvant entraîner un préjudice pour l’internaute sont susceptibles d’être supprimées par le moteur de recherche. Cela concerne donc uniquement des données à caractère personnel qui paraissent inappropriées ou hors de propos, ou ne sont plus pertinentes. Il ne s’agit donc pas d’un droit systématique. Mais qui est juge de ce qui doit être supprimé ou non ? Il semblerait que ce soit Google​.

​Le « droit à l’oubli » tel qu’évoqué actuellement par rapport aux moteurs de recherches n’est pas, juridiquement, un droit nouveau, même si cette consécration par la Cour de justice a des effets pratiques importants. En effet la directive 95/46/CE, relative à la protection des libertés et des droits fondamentaux des personnes physiques lors du traitement des données à caractère personnel, comme la loi du 6 janvier 1978 « informatique et libertés » prévoient un droit d’opposition et un droit à l’effacement. Deux notions à ne pas confondre car elles présentent deux finalités bien distinctes.

​D’abord, le droit à l’effacement est prévu par la loi Informatique et libertés, qui dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Quant au droit d’opposition, il s’agit du droit que toute personne a de s’opposer, pour des motifs légitimes, à figurer dans un fichier. Ainsi, quiconque peut s’opposer à ce que ses données personnelles soient enregistrées dans des fichiers commerciaux par exemple.

​C’est à la lumière de ce cadre juridique qu’il faut lire l’arrêt de la Cour de justice, du 13 mai 2014 rendu dans l’affaire Google Spain. La Cour ne « crée » pas un droit nouveau, mais juge plusieurs points importants. Le premier, c’est qu’un moteur de recherches est bien un traitement de données personnelles, comme l’avait d’ailleurs dit le G29 (le groupe des « CNIL » européennes). Le deuxième, c’est que dès lors que l’exploitant d’un moteur de recherches a un établissement en Europe qui participe au traitement, en l’occurrence via l’activité publicitaire, le droit de l’Union européenne s’applique. Elle en déduit que le principe de protection des données personnelles – tel que garanti par la Charte des droits fondamentaux de l’Union – et la directive de 1995 – donc la loi informatique et libertés en France – s’appliquent bien aux moteurs de recherche. Elle déduit enfin de l’application du cadre juridique que nous venons d’évoquer que les internautes peuvent exercer, à l’égard des moteurs de recherche, un “droit au déréférencement”.

​Ce « droit au déréférencement » ne veut pas dire que les données personnelles que l’internaute veut voir disparaître sont complètement effacées. Il s’agit d’un droit à obtenir, auprès d’un moteur de recherches, la décorrélation entre l’identité d’une personne, par exemple, et un résultat de recherches (une url). Par exemple, si on trouve sur un site Internet, un Blog ou un forum, l’information selon laquelle Monsieur Pierre Y est mauvais cuisinier, et si ce Monsieur demande à Google, Bing ou Yahoo, etc. la suppression de cette information, seule l’URL en cause disparaitra de la liste de résultats apparaissant sous la recherche de « Monsieur Pierre Y » : elle sera déréférencée sous cette requête. En revanche l’URL de la page mentionnant ce fait ne disparaîtra pas du web, et pourra être trouvée à partir d’autres requêtes (par exemple, en l’espèce, « mauvais cuisinier »).

Autre aspect important : la Cour de justice précise bien que le droit au déréférencement n’est pas un droit absolu – ce qui est la conséquence immédiate du cadre juridique applicable en matière de droit d’opposition et d’effacement – mais que toute demande doit être appréciée au cas par cas. Elle indique notamment qu’il convient, le cas échéant, de tenir compte du droit à l’information du public.

Enfin, il faut savoir que toute personne peut, pour des motifs légitimes, demander à l’éditeur d’un site de supprimer des informations la concernant. Dans ce cas, l’information n’est plus présente sur le site en question.​

À la suite de cette affaire Google Spain, la CNIL avait alors prononcé, en 2016, une sanction pécuniaire publique à l’encontre de la société Google qui ne s’était pas conformée à une mise en demeure de la Présidente de la CNIL de rendre effectif le déréférencement sur l’ensemble des versions nationales de son moteur de recherche Google Search puisque pour la CNIL, seul un déréférencement mondial était de nature à permettre une protection effective des droits des personnes. La société Google avait alors saisi le Conseil d’État au motif que les mesures adoptées depuis mars 2016 étaient suffisantes.

Par deux arrêts du 24 septembre 2019, la Cour de justice de l’Union européenne délivre des précisions quant à la portée géographique du droit au déréférencement et quant à son effectivité lorsqu’il porte sur des catégories particulières de données.

Le droit au déréférencement, consacré par l’arrêt Google Spain du 13 mai 2014 (affaire C-131/12), est le droit pour toute personne de demander à un moteur de recherche la suppression de certains résultats provenant de recherches effectuées à partir de son nom.

Par ces deux arrêts, la Cour de justice de l’Union européenne donne des indications sur la portée du droit au déréférencement et notamment sur sa portée géographique (affaire C-507/17).

En effet, dans cette première affaire, la Haute juridiction limite les conséquences du déréférencement aux seuls résultats de recherches effectuées au sein de l’Union européenne. Dès lors, à la suite d’un déréférencement, les résultats litigieux resteront accessibles pour toute recherche effectuée hors Union européenne : le déréférencement n’est donc plus mondial mais limité au territoire européen.

La Cour considère en effet qu’il ne ressort aucunement des textes législatifs et règlementaires européens, que la portée du droit au déréférencement « dépasserait le territoire des Etats membres ». La CJUE précise « que, en l’état actuel, il n’existe pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée […] pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur ».

Par deux arrêts du 24 septembre 2019, la Cour de justice de l’Union européenne délivre des précisions quant à la portée géographique du droit au déréférencement et quant à son effectivité lorsqu’il porte sur des catégories particulières de données.

Le droit au déréférencement, consacré par l’arrêt Google Spain du 13 mai 2014 (affaire C-131/12), est le droit pour toute personne de demander à un moteur de recherche la suppression de certains résultats provenant de recherches effectuées à partir de son nom.

Par ces deux arrêts, la Cour de justice de l’Union européenne donne des indications sur la portée du droit au déréférencement et notamment sur sa portée géographique (affaire C-507/17).

En effet, dans cette première affaire, la Haute juridiction limite les conséquences du déréférencement aux seuls résultats de recherches effectuées au sein de l’Union européenne. Dès lors, à la suite d’un déréférencement, les résultats litigieux resteront accessibles pour toute recherche effectuée hors Union européenne : le déréférencement n’est donc plus mondial mais limité au territoire européen.

La Cour considère en effet qu’il ne ressort aucunement des textes législatifs et règlementaires européens, que la portée du droit au déréférencement « dépasserait le territoire des Etats membres ». La CJUE précise « que, en l’état actuel, il n’existe pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée […] pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur ».

Il est toutefois indiqué que les autorités de contrôle disposent, d’une part, du droit de mettre en balance les droits de la personne concernée au respect de sa vie privée et à la protection de ses données à caractère personnel et, d’autre part, le droit à la liberté d’information. Ainsi, aux termes de cette mise en balance, une autorité telle que la CNIL pourra parfaitement enjoindre l’exploitant de procéder à un déréférencement mondial si cela est justifié.

Dans la seconde affaire (affaire C-136/17), la Cour de justice de l’Union européenne apporte des précisions quant au déréférencement de résultats de moteurs de recherche contenant des données sensibles ou catégories particulières de données au sens du RGPD.

La CJUE rappelle que l’exploitant d’un moteur de recherche doit être qualifié de responsable de traitement et porte donc la responsabilité « non pas du fait que des données à caractère personnel visées par lesdites dispositions figurent sur une page web publiée par un tiers, mais du référencement de cette page et, tout particulièrement, de l’affichage du lien vers celle-ci dans la liste des résultats présentée aux internautes à la suite d’une recherche effectuée à partir du nom d’une personne physique. » Il est précisé que la mise en œuvre du droit au déréférencement doit être précédée d’une mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes.

Enfin, la CJUE précise que les informations relatives à une procédure judiciaire passée, ainsi que celles relatives à la condamnation subie, constituent des données sensibles devant faire l’objet d’un déréférencement par l’exploitant du moteur de recherche lorsque celles-ci ne correspondent plus à la situation actuelle. Dès lors, dans ces circonstances, les droits fondamentaux de la personne concernée prévalent sur le droit à l’information des potentiels internautes intéressés.

L’arrêt du Conseil d’État, intervenu le 27 mars 2020, tranche définitivement ce contentieux et est venu préciser la portée géographique du droit au déférencement. En tirant les conséquences nécessaires de la décision rendue par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt du 24 septembre 2019, le Conseil d’État a annulé la sanction de la CNIL, mais a précisé les marges de manœuvre de la Commission pour protéger efficacement les personnes. Le Conseil d’État a ainsi relevé que le législateur français n’a pas adopté de dispositions spéciales permettant, en France, à la CNIL d’opérer un déréférencement excédant le champ prévu par le droit de l’Union. En l’absence d’intervention du législateur, la CNIL ne peut dès lors qu’ordonner un déréférencement européen.

La CNIL a pris acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.​

L’arrêt du Conseil d’État, intervenu le 27 mars 2020, tranche définitivement ce contentieux et est venu préciser la portée géographique du droit au déférencement. En tirant les conséquences nécessaires de la décision rendue par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt du 24 septembre 2019, le Conseil d’État a annulé la sanction de la CNIL, mais a précisé les marges de manœuvre de la Commission pour protéger efficacement les personnes. Le Conseil d’État a ainsi relevé que le législateur français n’a pas adopté de dispositions spéciales permettant, en France, à la CNIL d’opérer un déréférencement excédant le champ prévu par le droit de l’Union. En l’absence d’intervention du législateur, la CNIL ne peut dès lors qu’ordonner un déréférencement européen.

La CNIL a pris acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.​

Transfert hors de l'UE

​L’article 3, paragraphe 1, du RGPD Champs d'application du RGPD : Le RGPD comporte notamment une grande avancée concernant son champ d'application territorial, puisqu'il s'appliquera « chaque fois qu'un résident européen sera directement visé par un traitement de données, y compris par internet ». Contrairement aux idées reçues, le règlement général sur la protection des données ne concerne pas exclusivement les entités européennes. En effet, le RGPD trouve également à s'appliquer lorsque le responsable de traitement ou le sous-traitant a un établissement situé au sein de l'Union européenne (UE), ou lorsque les données traitées sont celles d'une personne se trouvant au sein de l'UE. Cette portée territoriale du RGPD implique donc, dans ces circonstances, l'obligation pour les entités non européennes de se mettre en conformité avec les exigences posées par ce règlement.

​Transferts de données hors UE : le cadre général prévu par le RGPD :

Aux termes de l'article 45.-1 du RGPD, « 1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique ».

Aux termes de l'article 45.-2 du RGPD, « 2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants :

a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées ;

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres ; et

c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel ».​

​Le 6 Octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a invalidé le programme Safe Harbor, programme conçu par le Gouvernement des Etats-Unis et conclu avec la Commission européenne en juillet 2000.

Le problème est que les Etats-Unis d’Amérique ne sont pas éligibles au rang de pays adéquat, pour, notamment, n’avoir aucune législation fédérale en matière de protection des données à caractère personnel.

La Commission européenne a dès lors, par une Décision 2000/520 de Juillet 2000, conclu avec le Department of commerce du gouvernement des Etats-Unis, un programme d’autorégulation, purement déclaratif, par lequel les entreprises et organisations qui y adhèrent, s’engagent à assurer aux traitements reçus d’Europe, une protection équivalente à celle accordée au sein de l’Union européenne. Ce programme, approuvé par la Commission européenne, a pris pour nom « Safe Harbor »

De cette manière, les Etats-Unis et les seules entreprises qui ont adhéré au Safe Harbor, constituent une exception à l’interdiction de principe d’exportation des données à caractère personnel européennes, hors de l’Union européenne.

​Un jeune étudiant autrichien du nom de Max Schrems ne l’a pas entendu de cette oreille.

Membre de Facebook, dont il avait accepté les Conditions générales d’utilisation qui indiquaient expressément que ses données personnelles seraient transférées aux Etats-Unis mais que l’entreprise américaine était membre du Safe Harbor, il a d’abord saisi la Commission européenne contestant l’accord passé, puis, devant le rejet de sa requête, a saisi les juridictions irlandaises, lieu d’établissement de la filiale européenne de Facebook. Ces juridictions ont posé une question préjudicielle à la Cour de Justice de l’Union Européenne (CJUE) sur la légalité du Safe Harbor.

C’est ainsi qu’on arrive à la décision de la CJUE invalidant en Octobre 2015, l’accord conclu 15 ans plus tôt en Juillet 2000. Schrem I

Pour arriver à cette décision, les juges européens, rappelant les révélations d’Edward Snowden sur un autre programme américain appelé Prism, auquel ont adhéré de grandes entreprises américaines donnant à la NSA un accès aux données qu’elles traitent, constatent que « toutes les entreprises participant au programme Prism qui permettent aux autorités US d’avoir accès à des données stockées et traitées aux USA semblent être certifiées dans le cadre … » du Safe Harbor, ce qui est contradictoire. Or, la CJUE considère que la Commission européenne n’avait pas le pouvoir de conclure cet accord Safe Harbor, qui dépossède les CNIL européennes de tout pouvoir de contrôle sur les données des européens ainsi transférés, d’où l’invalidation de cet accord à compter de l’arrêt de la CJUE, sans rétroactivité.

​A compter du 6 Octobre 2015 et jusqu’à aujourd’hui, tout transfert de données personnelles vers les Etats-Unis est illégal, sauf autorisation exprès d’une CNIL Européenne qui peut être accordée au cas par cas sur demande, ou à l’intérieur d’un groupe (Binding corporate rules), ou sur la base de contrats conclus entre le e-marchand, avec des prestataires américains qui hébergeront leurs données, à la condition expresse que ces contrats reprennent à la virgule prêt, des clauses types élaborés par la Commission européenne.

​

A la suite de la décision d’invalidation, les CNIL européennes regroupées au sein d’un Groupe de travail informel appelé G29, ont tout d’abord donné trois mois à la Commission européenne pour trouver un nouvel accord, à défaut de quoi elles se réservaient la faculté d’engager des contrôles.

Les choses n’en sont d’ailleurs pas restées là, puisque le 26 Janvier 2016, la CNIL mettait en demeure publiquement Facebook Inc. et sa filiale en Irlande, de se conformer à la Loi informatique et libertés françaises sous trois mois, pointant ce qu’elle considérait être un certain nombre de non conformités à la Loi, notamment l’export non autorisé des données personnelles d’européens aux Etats-Unis. C’est ainsi qu’entre en jeu, le nouvel entre la Commission européenne et le gouvernement des Etats-Unis, désormais baptisé Privacy Shield en lieu et place de feu Safe Harbor appelé également Bouclier de protection des données UE-États-Unis

Le 16 juillet 2020, la CJUE a rendu une décision très attendue dans le cadre de la procédure fleuve opposant Maximillian Schrems, citoyen autrichien, le réseau social américain Facebook, et l’autorité irlandaise de protection des données à caractère personnel (Data Protection Commissionner ou DPC).

Dans ce nouvel arrêt retentissant, la CJUE, estimant que la législation actuellement en vigueur aux Etats-Unis ne permet pas d’assurer un niveau de protection adéquat pour les personnes concernées européennes dont les données transiteraient par les Etats-Unis, invalide le Privacy Shield, dont l’objet était précisément de pallier ces insuffisances.

​

Le mécanisme du Privacy Shield était censé totalement pallier l’inadéquation du système juridique américain au regard de la règlementation européenne, et ainsi permettre de transférer des données personnelles librement aux entités adhérant au dispositif. Le Privacy Shield a ajouté des garanties supplémentaires pour les personnes concernées par rapport au dispositif du Safe Harbor. Notamment, la création de l’Ombundsperson devait permettre d’encadrer les ingérences dans les droits des personnes concernées européennes et de les doter d’un droit de recours.

​

La CJUE estime toutefois que ce mécanisme ne permet pas de pallier les limitations du droit américain.

En effet, selon elle, l’Ombundsperson ne présente pas suffisamment de garanties d’indépendance vis-à-vis du pouvoir exécutif (point 195), et ne peut prendre de décisions contraignantes à l’égard des agences de renseignement, ce qui retire toute effectivité au droit de recours des personnes concernées (point 196).

Le dispositif du Privacy Shield ne permettant pas d’assurer un niveau de protection adéquat, la décision d’adéquation 2016/1250 est annulée par la CJUE et les transferts de données personnelles ne peuvent donc plus être opérés librement vers des organismes situés sur le sol des Etats-Unis même s’il s’agit d’adhérents au Privacy Shield.

Notions de « traitement » et « fichier »

– Le traitement est « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » ".

​

​Protection des données dès la conception (« privacy by design ») et par défaut (« privacy by default »)– L’article 25, paragraphe 1, du RGPD dispose que le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles, afin de répondre aux exigences du règlement et de protéger les droits de la personne concernée. Le même constat s’applique à la protection des données personnelles par défaut. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées

​Protection des données dès la conception (« privacy by design ») et par défaut (« privacy by default »)– L’article 25, paragraphe 1, du RGPD dispose que le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles, afin de répondre aux exigences du règlement et de protéger les droits de la personne concernée. Le même constat s’applique à la protection des données personnelles par défaut. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées

​Le CLOUD Act est la loi fédérale des États-Unis qui permet en particulier aux services judiciaires de contraindre les fournisseurs de services établis aux États-Unis, à fournir des données stockées sur des serveurs, qu'ils soient situés aux États-Unis ou dans des pays étrangers. Il entre en conflit avec un règlement de la législation Européenne — le Règlement Général sur la Protection des Données (RGPD) — entré en vigueur le 25 mai 201843. Quels sont les véritables impacts du cloud Act ? Cette loi s’oppose-t-elle à la règlementation européenne “RGPD” ?

L'article 48 du RGPD précise qu'un accord international est obligatoire pour qu'une juridiction ou une autorité issue d’une administration "transfère ou divulgue des données à caractère personnel".

​Alors le Cloud Act permet-il de s’en abroger ? En réalité les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances :

- avec le consentement du client

- en l’absence d’accord bilatéral, avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime et contrôlées par le fournisseur. Les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont donc tenus de demander l’autorisation à leurs clients (article 44 à 49 du règlement RGPD).

Autre cas possible : une demande d’accès aux données personnelles sur des employés d’une société dans un pays de l’UE commercialisant avec les Etats-Unis sans un accord-cadre entre les pays ? Que se passe-t-il en cas de refus lors d’une demande d’accès par les autorités américaines ?

A ce jour et en l’absence de jurisprudence, il semble préférable de recommander en termes de choix des fournisseurs de service “européens” aussi bien au niveau de cloud, de signature électronique, d’hébergement,...., et d’être vigilants sur l’impact possible du Cloud Act. Vos services juridiques sont donc à associer pour vous aider à en mesurer les risques

​Alors le Cloud Act permet-il de s’en abroger ? En réalité les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances :

- avec le consentement du client

- en l’absence d’accord bilatéral, avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime et contrôlées par le fournisseur. Les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont donc tenus de demander l’autorisation à leurs clients (article 44 à 49 du règlement RGPD).

Autre cas possible : une demande d’accès aux données personnelles sur des employés d’une société dans un pays de l’UE commercialisant avec les Etats-Unis sans un accord-cadre entre les pays ? Que se passe-t-il en cas de refus lors d’une demande d’accès par les autorités américaines ?

A ce jour et en l’absence de jurisprudence, il semble préférable de recommander en termes de choix des fournisseurs de service “européens” aussi bien au niveau de cloud, de signature électronique, d’hébergement,...., et d’être vigilants sur l’impact possible du Cloud Act. Vos services juridiques sont donc à associer pour vous aider à en mesurer les risques

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

 Compatibilité entre RGPD et blockchains

 D'autres acteurs, comme l'Observatoire et forum EU Blockchain ont soulevé certaines oppositions entre le RGPD et les blockchains, des technologies de base de données distribuées reposant le plus souvent sur de multiples acteurs. En effet, ces technologies impliquent généralement que les données enregistrées sur ces chaines ne puissent être modifiées a posteriori, dans un but d'infalsifiabilité et de transparence, n'autorisant que l'ajout de données. De prime abord, ceci va à l'encontre du droit à l'oubli évoqué dans le RGPD, qui nécessite a priori un droit à la suppression des données personnelles. Cependant, des stratégies telle que l'inscription de données chiffrées dans le registre de la chaîne puis la destruction de la clé permettant leur déchiffrement pourrait répondre au droit à l'oubli tel qu'envisagé dans le RGPD, la CNIL a par exemple suggéré qu'une telle stratégie pourrait être une solution. D'autres questions restent en suspens, comme l'identification des acteurs tels que définis par le RGPD dans le contexte d'une blockchain publique où la participation au réseau est ouverte et ne requiert pas de permission.

 Compatibilité entre RGPD et blockchains

 D'autres acteurs, comme l'Observatoire et forum EU Blockchain ont soulevé certaines oppositions entre le RGPD et les blockchains, des technologies de base de données distribuées reposant le plus souvent sur de multiples acteurs. En effet, ces technologies impliquent généralement que les données enregistrées sur ces chaines ne puissent être modifiées a posteriori, dans un but d'infalsifiabilité et de transparence, n'autorisant que l'ajout de données. De prime abord, ceci va à l'encontre du droit à l'oubli évoqué dans le RGPD, qui nécessite a priori un droit à la suppression des données personnelles. Cependant, des stratégies telle que l'inscription de données chiffrées dans le registre de la chaîne puis la destruction de la clé permettant leur déchiffrement pourrait répondre au droit à l'oubli tel qu'envisagé dans le RGPD, la CNIL a par exemple suggéré qu'une telle stratégie pourrait être une solution. D'autres questions restent en suspens, comme l'identification des acteurs tels que définis par le RGPD dans le contexte d'une blockchain publique où la participation au réseau est ouverte et ne requiert pas de permission.

 La crise sanitaire pose la question de la collecte par l'employeur de informations relatives à l'éventuelle contamination du salarié. O l'article 9 du RGPD interdit par principe la collecte de données sensibles telles que l'état de santé des personnes. Et il est évident que la contamination est une donnée de santé. Certes l'article 9 prévoit des dérogations aux fins de médecine préventive ou médecine du travail dont l'appréciation de la capacité de travail du travailleur (art 9 2°h) ou lorsque le traitement est nécessaire pour des motifs d'intérêt public (art9, 2 I). Mais même dans un contexte de pandémie ces exceptions ne s'appliquent pas aux entreprises : Dans un premier cas, la collecte et le traitement des données de santé est réservé aux professionnels de santé. Et dans le second cas , l'intérêt public est le fait des autorités, pas de l'employeur. La crise actuelle n'autorise donc pas ce dernier à recourir à ces exceptions pour collecter des données sur l'état de santé de ses salariés, dont leur infection à la COVID 19.

Ouverture des données

La Commission a eu l’occasion, à plusieurs reprises, de participer aux réflexions sur l’ouverture de ces données, notamment dans le cadre du rapport du professeur Loïc Cadiet, remis à la garde des Sceaux le 9 janvier 2018.

Le décret relatif à l’open data des décisions de justice (décret n° 2020-797 du 29 juin 2020), sur lequel la Commission s’est prononcée dans son avis du 6 février 2020, s’inscrit dans la continuité des lois Lemaire (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique), de la loi du 20 juin 2018 (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles) et de programmation de la justice (loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice) en ce qu’il a vocation à fixer les conditions d’application de certaines de leurs dispositions.

Ce décret n’a toutefois pas vocation à détailler l’ensemble des modalités d’occultation et le dispositif doit encore être complété pour ce qui est des conditions précises de mise en œuvre de l’open data des décisions de justice.​

​La Commission avait été saisie pour avis par la ministre de la Justice d’un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « DataJust ». Ce décret n° 2020-356 du 27 mars 2020 vise à encadrer uniquement la phase de développement d’un traitement algorithmique (d’une durée de deux ans) ayant notamment pour finalité la réalisation d’un référentiel relatif à l’indemnisation des préjudices corporels.

Dans sa délibération n° 2020-002 du 9 janvier 2020, la Commission a notamment rappelé que, « compte tenu de la particulière sensibilité des informations susceptibles d’être traitées, relatives tant à des personnes majeures que mineures, ainsi que du périmètre particulièrement large du traitement projeté, une attention particulière devra être portée aux évolutions envisagées de l’algorithme et plus particulièrement à la présence d’éventuels biais (pratiques discriminatoires liées par exemple à l’origine ethnique, au genre ou encore à la situation géographique) ». Elle a ainsi demandé à ce que ce bilan lui soit transmis, le cas échéant, avant toute mise en œuvre de la phase de pérennisation par un second traitement et a demandé également que lui soient aussi communiqués, à l’occasion de ce bilan, une description détaillée des algorithmes, des méthodes mises en œuvre ainsi que les indicateurs de performance utilisés, les résultats obtenus avec ceux-ci et les modalités d’audit de l’algorithme utilisé.

​La publication du décret du 27 mars 2020, durant la période d’urgence sanitaire, a pu susciter des inquiétudes, notamment de la part des professionnels de la justice. Dans une réponse ministérielle du 26 mai 2020, le ministère est venu indiquer que : « […] Loin de remplacer les professionnels du droit par des algorithmes, ce référentiel indicatif vise à mieux les informer, ainsi que les victimes qu’ils sont amenés à conseiller, sur le montant de la réparation à laquelle ces victimes sont susceptibles d’obtenir devant les juridictions – à l’instar du référentiel inter-cours ou des bases de données de jurisprudence actuellement utilisées par les praticiens. […] Si les travaux à mener s’avèrent concluants, un second décret viendra ensuite encadrer la mise à disposition au public, en conformité avec les règles prévues pour la mise œuvre de l’open data des décisions de justice. »

Si le dispositif est pérennisé, la CNIL serait vraisemblablement amenée à se prononcer sur ce second décret qui permettra la mise à disposition du public du référentiel indicatif.

​Dans son avis du 6 février 2020 précité, la CNIL n’a pas eu à se prononcer précisément sur cet aspect.

Il peut néanmoins être indiqué qu’une personne qui réutilise des informations publiques contenant des données à caractère personnel doit se conformer à la réglementation en la matière (règlement européen sur la protection des données à caractère personnel dit « RGPD » et loi du 6 janvier 1978 modifiée) et aux grands principes qu’elle édicte.

Pour ce qui est des décisions de justice, il convient de relever que les décisions mises en open data, qui seront pour partie pseudonymisées et non anonymisées (dès lors que la réidentification n’est pas toujours impossible), contiennent des données dites « sensibles », dont le traitement est par principe interdit par la réglementation, et des données d’infraction (articles 9 et 10 du RGPD). Le législateur est toutefois intervenu en 2018 pour permettre aux réutilisateurs des décisions de justice diffusées en open data de traiter des données sensibles et des données d’infraction qu’elles contiendront, même après avoir été pseudonymisées (voir le 5° de l’article 44 et le 5° de l’article 46 de la loi du 6 janvier 1978 modifiée).

La première directive PSI (Public Sector Information), dite PSI 1 du Parlement européen et du Conseil, parue le 17 novembre 2003 sur la réutilisation des informations du secteur public a fixé un ensemble minimal de règles concernant la réutilisation et les moyens visant à faciliter la réutilisation de documents existants détenus par des organismes des États membres de l’Union européenne. Elle a été transposée en droit français le 6 juin 2005 et précisée par décret le 30 décembre de la même année.

      Cette directive s’est traduite dans les systèmes d’information publics de l’Union européenne par une plus grande diffusion d’information et de données publiques. Elle était justifiée par différents éléments inhérents au marché intérieur. Le traité de l’Union européenne prévoit l’établissement d’un marché intérieur, ainsi que l’instauration d’un régime assurant que la concurrence n’est pas faussée dans le marché intérieur. L’harmonisation des règles et des pratiques des États membres en matière d’exploitation des informations du secteur public contribue à la réalisation de ces objectifs. Les informations émanant du secteur public constituent une matière première importante pour les produits et les services de contenu numérique.

    L’amélioration des possibilités de réutilisation des informations, émanant du secteur public, devrait notamment permettre aux entreprises européennes d’exploiter le potentiel de ces informations, contribuer à la croissance économique et à la création d’emplois.

      Les règles et pratiques des États membres en matière d’exploitation des informations du secteur public présentent d’importantes divergences, qui font obstacle à la pleine réalisation du potentiel économique de cette ressource essentielle.

      Il importait ainsi, via cette première directive, d’établir un cadre général fixant les conditions de réutilisation des documents du secteur public afin de garantir que ces conditions seront équitables, proportionnées et non discriminatoires.

    L’amélioration des possibilités de réutilisation des informations, émanant du secteur public, devrait notamment permettre aux entreprises européennes d’exploiter le potentiel de ces informations, contribuer à la croissance économique et à la création d’emplois.

      Les règles et pratiques des États membres en matière d’exploitation des informations du secteur public présentent d’importantes divergences, qui font obstacle à la pleine réalisation du potentiel économique de cette ressource essentielle.

      Il importait ainsi, via cette première directive, d’établir un cadre général fixant les conditions de réutilisation des documents du secteur public afin de garantir que ces conditions seront équitables, proportionnées et non discriminatoires.

    La première révision de la directive PSI 1 a eu lieu le 26 juin 2013, avec une nouvelle directive dite PSI 2.

Ce texte a été transposé par la loi dite Valter de 2015 et ses dispositions reprises dans le livre III du Code des relations entre le public et l’administration (CRPA). Cette loi nationale est allée plus loin que la directive en posant le principe de l’open data gratuit par défaut des informations publiques, avec possibilité, par exception pour les administrations, de poser des redevances.

​

Actuellement, la directive est une nouvelle fois en cours de révision et deviendra la PSI 3, avec pour objectif de poser des nouvelles règles favorisant l’approfondissement de l’open data au niveau européen. Sur certains points, la France est déjà en avance de phase, grâce à la loi Valter précitée.

      La directive en cours de refonte pose de nouveaux principes.

      Tout contenu du secteur public est en principe librement disponible pour être réutilisé. Les organismes du secteur public ne seront pas en mesure de facturer plus que le coût marginal de réutilisation de leurs données, sauf dans des cas très limités. Le but est de permettre à un plus grand nombre de PME et de startups d’accéder à de nouveaux marchés pour proposer des produits et des services fondés sur les données.​  

​

  Une attention particulière est accordée aux ensembles de données de forte valeur (dites High Value Datasets), listées dans l’annexe I du projet de directive, tels que les statistiques, les données des entreprises et des propriétés d’entreprise, ou les données géospatiales. Ces ensembles de données présentent un fort potentiel commercial et peuvent accélérer l’émergence d’une grande variété de produits et de services d’information à valeur ajoutée. L’acte d’exécution établissant la liste des données à haute valeur sera adopté courant 2021.

      Les entreprises publiques des secteurs des transports et des services d’utilité publique génèrent des données précieuses. Lorsque leurs données sont disponibles à des fins de réutilisation, elles relèveront désormais de la directive sur l’ouverture des données et les informations du service public. Davantage de données en temps réel, disponibles au moyen d’API, permettront aux entreprises de mettre au point des produits et des services innovants. Les données issues de la recherche financée par des fonds publics entrent également dans le champ d’application de la directive : les États membres seront tenus de mettre en place des politiques d’accès ouvert aux données issues de la recherche financée par des fonds publics.

      La directive a été adoptée en juin 2023 et devra être transposée par les États membres de l’Union européenne dans les deux ans.