Le Règlement Général sur la Protection des Données (RGPD) et le droit administratif sont deux sources distinctes de règles et obligations pour protéger les données personnelles. Elles s’appliquent à différents types d’acteurs, différents domaines et différents secteurs d’activité. Dans un contexte de plus en plus digital, le respect de ces obligations est essentiel, car la protection des données personnelles des citoyens est une condition préalable à l’utilisation de l’intelligence artificielle, de l’open data ou encore des collectivités territoriales.
Cet écrit entend explorer en détail les enjeux juridiques du RGPD et du droit administratif liés à la protection des données personnelles, en analysant de façon approfondie les différents aspects du Livre Blanc sur le sujet, ainsi que le rôle du contrôle CNIL, du profilage et des associations, et en abordant le contentieux et le droit de la concurrence ainsi que la nécessité d’un délégué à la protection des données. Nous vous invitons à découvrir à travers cet article les principaux enjeux de la protection des données personnelles et de la sécurité des données personnelles.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est un cadre juridique européen qui s’applique pour tout traitement de données à caractère personnel effectué par une entité opérant sur le territoire de l’Union européenne. Il vise à garantir aux citoyens européens une meilleure protection de leurs données personnelles.
Le RGPD est entré en vigueur le 25 mai 2018 et s’applique à toutes les organisations qui traitent des données personnelles, y compris les entreprises privées, les organismes publics et les associations. Il s’inspire en partie des principes énoncés par la Convention 108 du 28 janvier 1981 relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
Le RGPD fixe un certain nombre d’obligations qui doivent être respectées par tous ceux qui traitent des données à caractère personnel. Ces obligations portent notamment sur :
- La transparence et l’information du traitement des données personnelles ;
- La sécurité et la confidentialité des données personnelles ;
- L’accès aux données personnelles ;
- La rectification et la suppression des données personnelles ;
- L’utilisation des données personnelles à des fins précises ;
- La responsabilité des acteurs qui traitent des données personnelles ;
- Les transferts transfrontaliers de données personnelles.
Le RGPD est appliqué par le Contrôleur national de l’informatique et des libertés (CNIL), qui est chargée de veiller au respect des dispositions du règlement. Les manquements au RGPD peuvent entraîner des sanctions financières importantes.
Le droit administratif
Le droit administratif est l’ensemble des règles qui régissent l’activité des administrations publiques. Il définit notamment les conditions selon lesquelles ces administrations peuvent exercer leurs pouvoirs et exercer leur mission. Il encadre par ailleurs le traitement par les administrations publiques des données à caractère personnel.
Le droit administratif s’applique à tout organisme public, comme une administration centrale ou une collectivité territoriale. Il permet de réglementer l’utilisation par ces organismes publics de données personnelles, que ce soit pour leurs propres activités ou pour celles d’une autre organisation.
Le droit administratif peut par ailleurs s’appliquer à des entreprises privées qui traitent des données personnelles pour le compte d’une administration publique. Dans ce cas, il sera nécessaire que cette entreprise privée se conforme aux principes définis par le droit administratif ainsi qu’aux dispositions du RGPD.
Le droit administratif est notamment applicable dans les domaines tels que la santé, les finances publiques, l’enseignement, la recherche et l’urbanisme. Il s’applique par ailleurs à l’utilisation par les administrations publiques de techniques d’intelligence artificielle ou d’open data.
Dans certains domaines, comme la santé ou la sûreté, il existe des règles spécifiques qui imposent aux organismes publics un niveau élevé de protection des informations confidentielles et sensibles.
Le Livre Blanc sur la protection des données personnelles
Le Livre Blanc sur la protection des données personnelles est un document gouvernemental qui définit les principes fondamentaux de protection des données personnelles en France. Il a été écrit par un groupe d’experts indépendants sous l’autorité du Premier ministre et a été mis en œuvre par une loi votée par le Parlement français en octobre 2018.
Ce livre blanc définit 15 principes fondamentaux pour assurer une haute protection des données à caractère personnel :
- La loyauté ;
- La finalité ;
- La proportionnalité ;
- L’intelligibilité ;
- La transparence ;
- L’informativité ;
- L’accessibilité ;
- L’opposition ;
- L’individualisation ;
- L’authenticité ;
- L’intérêt public ;
- La responsabilité ;
- L’exception ;
- L’autorisation.
Ces principes visent à garantir que les informations collectées par les organismes publics restent confidentielles et ne sont pas utilisés à des fins non autorisés ou illicites. Ils instaurent par ailleurs un cadre pour une meilleure transparence quant à la collecte et au traitement des données personnelles.
Par ailleurs, le livre blanc recommande l’utilisation de technologies innovantes pour assurer un haut niveau de protection des données personnelles. Il encourage notamment le développement d’outils permettant aux citoyens d’accéder plus facilement aux informations dont ils ont besoin, d’exercer plus facilement leurs droits et de contrôler plus facilement comment leurs données sont traités.
Le contrôle CNIL
Le contrôle CNIL a pour objet de veiller au respect du RGPD et du droit administratif relatif à la protection des données personnelles. Cela inclut notamment :
- Le contrôle des traitements effectués par les organismes publics ;
- Le contrôle des traitements mis en œuvre par les entreprises privés pour le compte de ces organismes publics ;
- Le contrôle de l’utilisation par ces organismes publics de technologies innovantes telles que l’intelligence artificielle ou l’open data.
Le contrôle CNIL consiste notamment en :
- Des enquêtes sur place pour vérifier que les organismes publics respectent bien les règles applicables à la protection des données personnelles ;
- La mise en place de procédures pour faire respecter ces règles ;
- L’audit annuel des organismes publics pour vérifier qu’ils continuent à se conformer aux dispositions de protection des données personnelles.
En cas de manquement au RGPD ou au droit administratif relatif à la protection des données personnelles, le contrôleur peut imposer aux organismes publics concernés une sanction pouvant aller jusqu’à un million d’euros.
Le profilage et les associations
Le profilage est une technique utilisée par les organismes publics pour traiter automatiquement une grande quantité de données afin d’identifier certaines catégories de personnes ou certains comportements. Ce type de techniques peut être utilisée à des fins positives telles que l’analyse et la prise en compte rapides des situations particulières ou pour identifier les risques liés à certaines activités. Néanmoins, cela peut de même être utilisée à des fins nocives telles que la discrimination ou l’espionnage.
Les associations ont un rôle important à jouer dans la protection des données personnelles. Elles ont notamment pour mission d’informer les citoyens sur leurs droits et obligations et de surveiller comment leurs donnéees personnellles sont traités par les organismse publics. Ellles peuvent par ailleurs engager des actions judiciaires afin d’obtenir réparation en cas de manquement aux règles applicables à la protection des donnée