Le RGPD, pourquoi ?

Le RGPD, Pourquoi ?

Par Jessica FARGEON, Avocat au Barreau de Paris et Margaux MEUNIER, Juriste

Comprendre au mieux le nouveau cadre réglementaire européen applicable au traitement de vos données personnelles

Le 27 avril 2016, l’Union européenne adoptait le Règlement Général sur la Protection des Données (RGPD), règlement (UE) n°2016/6791 abrogeant la directive 95/46/CE2 du 24 octobre 1995. Applicable à compter du 25 mai 2018, les entreprises disposent d’un délai de deux mois pour se mettre en conformité avec le nouveau cadre juridique européen.

Confronté aux mutation d’une économie numérique, plus ouverte et intégrée, le RGPD tend à instaurer un climat de confiance en s’adaptant aux nouvelles réalités du numérique en Europe. Modernisant le cadre juridique relatif à la protection des données personnelles, le règlement restitue aux citoyens européens la maîtrise de leurs données tout en simplifiant le cadre réglementaire imposé aux entreprises.
S’inscrivant dans la lignée de la directive 95/46/CE3, le RGPD consacre la troisième évolution du cadre législatif relatif aux données personnelles et redonne « un coup d’accélérateur à l’économie numérique européen »4.

Quels sont les traitements de données concernés ?

L’article 2, paragraphe 1, du règlement précise que celui-ci s’applique à « tout traitement de données personnelles, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel qui sont contenues ou pourraient être contenues dans un fichier ». En ne retenant que pour seul critère d’applicabilité, la notion de « donnée structurée selon des critères déterminés »5, le champ d’application matériel du règlement semble sans surprise être identique, dans son principe, à celui antérieurement prévu par la directive.

1 Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119.
2 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, 23 novembre 1995.
3 Idem.

4 Communiqué de presse de la Commission européenne du 28 janvier 2013, « Journée européenne 2013 de la protection des données : en avant toute vers une réglementation de l’UE fiable et moderne pour la protection des données ». 5 Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc., considérant 15.

Précis, le règlement ajoute qu’il ne concerne que les données personnelles « se rapportant à une personne physique identifiée ou identifiable »6, sans distinguer que le traitement soit réalisé par une personne physique ou une personne morale de droit public ou de droit privé.

En prévoyant à son article 2, paragraphe 2, quatre exceptions quant à son applicabilité, le RGPD exclut de son champ d’application tout « traitement effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;
c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »

Qui sont les responsables de traitement concernés ?

D’une portée très générale, le RGPD viserait environ 99% des entreprises en Europe. En consacrant le critère du ciblage du public par le traitement, le règlement admet son applicabilité extraterritoriale et étend considérablement le champ d’application initialement proposé par la directive 95/46/CE.

Aussi, le RGPD s’applique selon deux critères de rattachement :

- Un critère territorial ou critère dit de l’établissement7 : le règlement s’applique, que le traitement ait lieu ou non dans l’Union, si le responsable de traitement ou le sous-traitant est établi dans l’Union européenne8.

- Un critère extraterritorial ou critère dit du ciblage9 : le règlement s’applique, aux responsables de traitement établis en dehors de l’Union européenne, si les activités de traitement du responsable concernent :
6 Article 4, point 1, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
7 Article 3, paragraphe 1, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
8 CJUE, 1er octobre 2015, aff. C-230/14, Weltimmo c. NAIH, « la Cour de justice retient une conception souple de la notion d’établissement », point 28 et ss.
9 Article 3, paragraphe 2, du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
o l’offre de biens ou de services à des personnes concernées qui se trouvent sur le territoire de l’Union
o la surveillance des comportements de ces personnes concernées pour autant que ce comportement ait lieu au sein de l’Union européenne.

En consacrant le critère des activités dirigées vers l’Union Européenne, le RGPD codifie la philosophie déjà adoptée par la CJUE du temps de la directive qui avait pu retenir une solution similaire concernant l’affaire Google Spain10. Néanmoins, à l’époque des faits, elle n’avait pu outrepasser l’obligation de rattacher les activités de l’entreprise à la présence d’«une succursale ou filiale »11 dans un état membre de l’Union européenne.

Quels sont les objectifs avancés par le Règlement ?

Accueilli favorablement en pratique par les institutions européennes et les autorités nationales, le RGPD propose des avancées substantielles pour répondre aux nouveaux défis de l’économie numérique en Europe tout en protégeant les droits fondamentaux des personnes concernées.

TROIS OBJECTIFS :

1) Harmoniser le cadre juridique

Pour répondre à un objectif d’harmonisation du cadre juridique européen, l’Union européenne s’efforce de crédibiliser la régulation entre les états membres (b) tout en uniformisant la règlementation en vigueur (a).
a) Uniformiser la règlementation européenne
Pour assurer une meilleure visibilité pour les acteurs traitant des données personnelles et les personnes concernées par ces données, la Commission européenne fait le choix d’abroger la directive 95/46/CE et d’adopter un texte réglementaire ne nécessitant aucune transposition par les états membres. Mettant fin à la fragmentation juridique initiée par la directive12, le Règlement apporte une plus grande sécurité juridique, en veillant « à l’adoption de règles de droit cohérentes et uniformes pour garantir le droit fondamental de la protection des données à caractère personnel »13 en Europe.
Unifié, le cadre juridique désormais commun permettra aux entreprises d’être plus compétitifs, sur un marché européen plus attractif. Répondant au souhait premier
10 CJUE, 13 mai 2014, aff. C_131/12, Google Spain c. AEPD.
11 Idem., point 2 des motifs de la Cour.
12 La directive 95/46/CE avait en effet été interprétée différemment dans chaque Etats membres de l’Union européenne.
13 Rapport sur la sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 22 novembre 2013, amendement 205, Article 89, paragraphe 2 bis (nouveau). de la Commission, « un territoire, une loi », il est pourtant regrettable que les institutions européennes ne soient pas allées jusqu’au bout du raisonnement en laissant la possibilité aux législations nationales d’adapter le règlement.

b) Crédibiliser la régulation européenne

▪ Renforcement de la coopération entre les pays européens
Afin d’assurer une application uniforme du droit à la protection des données personnelles et rendre ainsi plus effective le nouveau cadre réglementaire, la réforme met en place le principe dit du « guichet unique »14. Celui-ci repose sur la participation de l’ensemble des autorités de contrôle concernée présente dans chaque Etats membres quant à l’adoption de décisions que ce soit, a priori et ce dans le cadre des formalités et échanges préalables des entreprises avec leur autorité de contrôle, ou a posteriori lors du traitement des plaintes émises.

Dans la pratique, les entreprises européennes souhaitant mettre en œuvre des traitements transnationaux se trouveront en contact avec un seul interlocuteur à savoir l’autorité de protection des données de l’Etat membre où se trouve leur établissement principal désignée par le règlement « autorité chef de file ». A ce titre, le règlement rappelle que l’établissement principal sera soit le lieu de leur siège central dans l’UE, soit l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement.

L’autorité chef de file coopérera alors avec les autres autorités de contrôle concernées par le traitement en proposant des mesures ou décisions constatant ou non la conformité du traitement. Les autres autorités européennes disposeront alors d’un délai de quatre semaines pour approuver conjointement les décisions. En cas d’objection de la part des autorités de contrôles et si l’objection n’est pas suivie par l’autorité chef de file, la question est alors portée devant le contrôleur européen de la protection des données (CEPD) chargée de rendre un avis. Celui-ci étant contraignant, l’autorité chef de file devra s’y conformer. Toute décision est susceptible de recours devant le juge des décisions de l’autorité chef de file.

Efficace, le mécanisme adopté par le règlement permettra d’apporter une réponse rapide aux entreprises tout en leur garantissant une sécurité juridique élevé.

En France, la CNIL s’impose en tant qu’autorité chef de file pour toutes les entreprises ayant leur établissement principal en France et devra à ce titre notifier à l’entreprise l’ensemble des décisions adoptées dans le cadre du mécanisme dit du « guichet unique ». Les décisions seront susceptibles de recours devant le Conseil d’Etat.

▪ Renforcement des sanctions

Pour permettre un effet véritablement dissuasif, le RGPD retient des sanctions pécuniaires et des plafonds élevés en cas de méconnaissance par les responsables
14 Considérant 127 et 128 du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016, préc.
de traitement et les sous-traitants des obligations auxquelles ils doivent se conformer. A ce titre, les opérateurs économiques pourront se voir exposer à des sanctions administratives15 de 10 à 20 millions d’euros, ou dans le cas d’une entreprise de 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Aux sanctions pécuniaires s’ajoutent d’autres types de sanctions, notamment le prononcé par les autorités de protection d’un avertissement, une mise en demeure, une demande de limitation ou d’effacement des données ou encore un retrait de la certification délivrée.

Si certains soulèvent le caractère disproportionné des sanctions, il n’en est pas moins qu’elles constituent un contrepoids nécessaire quant à la nouvelle méthode adoptée par le règlement consistant en l’allégement des formalités administratives à la charge des entreprises.

2) Renforcer les droits des personnes

Pour assurer une protection efficace des droits fondamentaux des personnes concernées par le traitement, le règlement s’efforce de renforcer leurs droits tout en les définissant précisément. Cette clarification permettra aux utilisateurs partageant leurs données de connaitre précisément les droits qui leurs sont offerts et de les exercer ainsi plus facilement.

C’est au titre d’un chapitre16 entier comprenant 12 articles que le règlement expose les « droits de la personne concernée ». En reprenant pour la majorité les droits déjà édictés dans la directive 95/46/CE, le règlement apporte des éclaircissements quant à leur contenu exact et leur portée17.

Les mesures phares avancées par le Règlement : a) Le droit à la transparence
Inscrit en tant que principe à l’article 5 du RGPD, le droit à la transparence des informations et des communications est plus précisément défini à l’article 12. Celui-ci offre à toute personne physique la possibilité de savoir si, d’une part, des données à caractère personnel la concernant sont collectées et d’autre part, par qui et pour quelle finalité ? Les utilisateurs doivent donc en principe donner leur accord quant au traitement de leurs données ou pouvoir s’y opposer.

Aussi, le règlement impose au responsable du traitement la mise à disposition d’une information intelligible en ayant recours à une communication « concise, transparente, compréhensible et aisément accessible, en des termes clairs et 15 Article 83, paragraphe 4 et paragraphe 5 du Règlement (UE) 2016/679 du 27 avril 2016, préc. 16 Chapitre III du Règlement (UE) 2016/679 du 27 avril 2016, préc.
17 En ce sens, l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016, préc., qui présente 8 notions à l’aide de 26 définitions.
simples, en particulier pour toute information destinée spécifiquement à un enfant »18.

b) Le droit à la portabilité des données

Prévu à l’article 20 du Règlement, le droit à la portabilité des données permet aux personnes concernées de récupérer les données qu’elles ont fournies à un responsable du traitement « dans un format structuré, couramment utilisé et lisible par machine » pour les transmettre ensuite à un tiers. Le règlement ajoute que la personne concernée pourra obtenir du responsable du traitement qu’il transmette directement à un autre responsable les données à caractères personnelles la concernant, si cela est techniquement possible.
Pour bénéficier de ce droit, deux conditions sont nécessaires :
- le traitement doit être fondé sur le consentement ou sur un contrat

- le traitement doit être effectué à l’aide de procédés automatisés
Constitutif d’une véritable mobilité numérique pour les personnes physiques, le droit à la portabilité permettra désormais aux personnes concernées de changer aisément d’opérateur sans avoir la crainte de perdre ses données ou de devoir les récupérer manuellement.
La Chambre de Commerce et d’Industrie Paris Ile-de-France soulève néanmoins une problématique importante dans la mise en application de ce droit. En effet, elle indique que « cet article pose des problèmes majeurs en matière commerciale, puisque ce droit peut se traduire par la transmission des données à d'éventuels concurrents »19. A ce titre, il ne devrait se cantonner qu’« aux données d'identification de la personne et ne pas s'étendre aux actions commerciales exercées à son égard »20.

c) Le droit à l’effacement ou « droit à l’oubli »

Prévu à l’article 17 du Règlement, le droit à l’effacement est le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
Conditionné par un certain nombre de motifs, ce droit à l’oubli ne s’imposera que lorsque :
18 Article 12, paragraphe 1 du Règlement (UE) 2016/679 du 27 avril 2016, préc.
19 Rapport de Monsieur Gérald BARBIER, Proposition de règlement européen sur la protection des données personnelles et leur libre circulation, Position de la CCI de région Paris Ile-de-France, 14 février 2013, p. 15. 20 Idem.

- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière

- la personne concernée retire le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement

- la personne concernée s'oppose au traitement

- les données à caractère personnel ont fait l'objet d'un traitement illicite

- les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis

- les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information.

Dans l’hypothèse où le responsable du traitement rend publiques les données à caractère personnel, celui-ci doit prendre « des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci »21.

Enfin, il semble important de rappeler que l’article 17 paragraphe 3 mentionne toute une série d’exceptions quant à l’application du droit à l’effacement et ce notamment au regard du droit à la liberté d’expression et d’information. A ce titre, la CJUE estime qu’il est nécessaire de rechercher un juste équilibre entre ces deux intérêts qui dépendra « de la nature de l'information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l'intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique »22.

d) Le droit spécifique pour les mineurs de moins de 16 ans

L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

3) Responsabiliser les acteurs économiques

21 Article 17, paragraphe 2 du Règlement (UE) 2016/679 du 27 avril 2016, préc. 22 CJUE, 13 mai 2014, aff. C_131/12, Google Spain c. AEPD, paragraphe 81.
Bouleversant la méthodologie adoptée par la directive 95/46/CE, le nouveau cadre règlementaire renforce les outils de conformité (b) mis à la disposition de nouveaux acteurs de la régulation (a) afin de responsabiliser au mieux les opérateurs.
a) Renforcement des missions des acteurs de régulation
Désormais en charge d’une véritable compliance, les opérateurs économiques se voient dans l’obligation d’assurer la régulation parfaite des traitements des données personnelles tout en garantissant une protection efficace des droits des individus concernés. En imposant une véritable administration de la conformité dans l’organisation interne des entreprises, le règlement souhaite responsabiliser les acteurs économiques face aux risques engendrés par le traitement des données.

A ce titre, toutes les entreprises dans lesquelles existent un responsable du traitement doivent obligatoirement désigner un délégué à la protection des données23 (DPO) chargé d’informer et de conseiller les responsables des obligations qui leurs incombent en vertu du règlement. Aussi, le délégué veille au respect du cadre règlementaire dans l’entreprise et devient le point de contact essentiel entre le responsable du traitement et l’autorité de contrôle.

Néanmoins, il convient de rappeler que cette obligation n’est pas de portée générale mais qu’elle trouve une application pratique très large24. C’est du moins l’intention avancée par les rédacteurs dans le choix de ne pas conditionner cette obligation à la taille de l’entreprise. C’est ainsi que les petites et moyennes entreprises, entrant dans le champ d’application du règlement, se verront confronter aux coûts liés à la désignation d’un tel organe. Concernant la responsabilité du délégué, celui-ci n’ayant qu’une fonction de conseil, il ne pourra être sanctionné par l’entreprise pour les prises de positions qu’il a adoptées dans le cadre de ses missions25.

Concernant le cas du sous-traitant, il se voit lui aussi dans l’obligation de désigner un DPO dans les mêmes conditions qu’un responsable de traitement. Aussi, il est tenu de respecter des obligations spécifiques notamment en matière d’accountability et se voit soumis à une obligation de conseil auprès du responsables de traitement en ce qui concerne la conformité de certaines obligations liées au traitement des données.

b) Renforcement des outils de conformité
23 Article 37 du Règlement (UE) 2016/679 du 27 avril 2016, préc.
24 Le responsable du traitement désigne un délégué à la protection des données lorsqu’il appartient au secteur public ou lorsque ses activités de bases consistent en des opérations de traitement des données régulières et systématiques à grande échelle. Entre aussi dans le champ d’application de l’article, les opérations de traitement de données dites « sensibles » et réalisées à grande échelle.
25 Article 38, paragraphe 3 du Règlement (UE) 2016/679 du 27 avril 2016, préc.
Dans le cadre de leur mission de régulation et afin d’assurer un devoir de compliance, les opérateurs économiques doivent se soumettre à de nouvelles procédures de conformité.

➢ La tenue d’un registre des activités de traitement

Pour les entreprises de 250 salariés ou plus :
L’article 30 du Règlement encadre l’obligation qui est faite pour les responsables du traitement et les sous-traitants de tenir un registre des activités de traitement effectuées sous leur responsabilité. Clairement défini par celui-ci, ce registre devra comporter différents types d’information telles que l’identité du responsable du traitement, les finalités du traitement ou encore les destinataires auxquels les données à caractère personnel seront communiquées.

Pour les entreprises de moins de 250 salariés :
L’obligation de tenir le registre n’est pas applicable « sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des catégories particulières de données telles que celles visées à l’article 9, paragraphe 1 du Règlement ou celles relatives à des condamnations pénales et à des infractions visées à l’article 10 »26.

➢ La certification de traitement
Le mécanisme de certification est une procédure permettant aux responsables de traitement de démontrer que les opérations de traitement qu’ils ont effectuées respectent les dispositions du Règlement. La certification est délivrée par l’autorité de contrôle de l’Etat membre ou par un organisme national d’accréditation27 pour une durée de trois ans. Celle-ci pourra être renouvelée ou retirée si les conditions de certification ne sont plus remplies.

➢ L’adhésion à des codes de conduites
Le Règlement prévoit l’approbation de codes de conduites pour les responsables de traitement ou les sous-traitant qui permettront de démontrer la conformité de l’entreprise avec les nouvelles obligations relatives à la protection des données.

Les codes de conduites devront au préalable être soumis à l’approbation de l’autorité de contrôle compétente qui les enregistrera et les publiera. Aussi, toute entreprise adhérant à un code de conduite sera surveillée par des organismes accrédités qui, en cas d’infraction du responsable du traitement, pourront suspendre ce statut.

26 Article 30, paragraphe 5 du Règlement (UE) 2016/679 du 27 avril 2016, préc.
27 L’organisme national d’accréditation est désigné conformément au Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93.

En cas de traitements transfrontaliers, l’adhésion à un code de conduite de la part du responsable du traitement ou du sous-traitant situé en dehors de l’Union européenne peut constituer un élément de preuve permettant de démontrer que l’opérateur a mis en œuvre des mesures de protection adéquates pour permettre le transfert de données. Dans ce cas, le code de conduite devra être soumis à l’avis du Comité européen de la protection des données.

➢ Les études d’impact sur la vie privée (EIVP)

L’article 35 du Règlement prévoit la nécessité de mettre en œuvre une analyse d’impact relative à la protection des données « lorsqu’un type de traitement [...] est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’étude d’impact reposera sur une évaluation juridique et technique pour comprendre au mieux les risques que fait peser le traitement sur la sécurité des données28 et les conséquences de ces risques pour les droits fondamentaux des personnes concernées. A ce titre, le responsable du traitement devra notamment prendre en compte la nature, la portée, le contexte ainsi que la finalité du traitement.

Cette analyse d’impact doit être effectuée avant la mise en œuvre des opérations de traitement et peut porter sur un ou plusieurs traitements constituant un ensemble similaire. Il est en effet souhaitable de mettre en place l’analyse d’impact le plus en amont possible et de la réactualiser régulièrement pour s’assurer que le niveau de risque reste acceptable.

Le Règlement précise qu’il revient à l’autorité de contrôle d’établir et de publier
« une liste des types d’opération de traitement pour lesquelles une analyse d’impact [...] est requise »29, qui sera ensuite communiquée au comité européen.

Aussi, le Règlement rappelle qu’une telle analyse sera nécessaire en cas :

c) « d'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire
d) de traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10
28Constitue notamment des risques : les accès non autorisés, les modifications et disparitions de données ainsi que leurs impacts potentiels sur la vie privée.

29 Article 35, paragraphe 5 du Règlement (UE) 2016/679 du 27 avril 2016, préc.

e) de surveillance systématique à grande échelle d'une zone accessible au public »30
Nous vous informons que la méthode relative à l’analyse d’impact et le cas des traitements déjà mis en œuvre au 25 mai 2018 seront décrits plus précisément dans le cadre de la prochaine publication.

➢ La notification des violations de données à caractère personnel
Inspiré de l’article 4, paragraphe 3 de la directive « vie privée et communication électronique », le règlement impose à ses articles 33 et 34 aux responsables du traitement, la notification à l’autorité de contrôle des failles de sécurité « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », et « dans les meilleurs délais après en avoir pris connaissance », en ce qui concerne le sous-traitant.

Le règlement indique précisément au responsable du traitement les éléments qui doivent impérativement se trouver dans la notification (nature de la violation, conséquences probables de la violation, mesures d’atténuation des conséquences négatives ...). Quant à la personne concernée, elle doit être informée « en des termes clairs et simples ».

Le règlement prévoit néanmoins trois exceptions à cette obligation. Il indique notamment que la communication à la personne concernée ne sera pas nécessaire si :
f) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et que ces mesures ont été appliquées aux données à caractère personnel affectées par la violation

g) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser

h) elle exigerait des efforts disproportionnés. Dans ce cas, le règlement précise que le responsable du traitement ou le sous-traitant sera tenu de procéder à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace

D’ici l’entrée en vigueur au 25 mai 2018, le cabinet JF avocats vous adressera des fiches pratiques afin de vous conformer dans les meilleures conditions au règlement.
Jessica FARGEON Margaux MEUNIER Avocat au Barreau de Paris Juriste

30 Article 35, paragraphe 3 du Règlement (UE) 2016/679 du 27 avril 2016, préc.

Bibliographie

Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119.

Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93.
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, 23 novembre 1995.
Communiqué de presse de la Commission européenne du 28 janvier 2013, « Journée européenne 2013 de la protection des données : en avant toute vers une réglementation de l’UE fiable et moderne pour la protection des données ».

Rapport de Monsieur Gérald BARBIER, Proposition de règlement européen sur la protection des données personnelles et leur libre circulation, Position de la CCI de région Paris Ile-de-France, 14 février 2013, p. 15.
Rapport sur la sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 22 novembre 2013, amendement 205, Article 89, paragraphe 2 bis (nouveau).
CJUE, 13 mai 2014, aff. C_131/12, Google Spain c. AEPD.