Ecran total, réforme du droit Européen des données personnelles : Mise aux normes impératives au 25 mai (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles



Eu flag.png

Emmanuel Pierrat, Avocat au Barreau de Paris,Spécialiste en droit de la propriété intellectuelle,
Ancien Membre du Conseil National des Barreaux, Ancien Membre du Conseil de l’Ordre, Cabinet Pierrat & de Seze [1] .
Mai 2018




L’industrie du divertissement et de la culture est directement concernée par l’entrée en vigueur, le 25 mai 2018, du Règlement européen relatif au traitement des données à caractère personnel et à la libre circulation de ces données, connu aussi désormais comme le « RGPD ».


Ce texte réforme en profondeur le droit des données personnelles, prenant la mesure aussi bien du développement du numérique que de l’implication toujours plus grande de l’Union européenne dans la vie des entreprises.


Or, les secteurs de l’audiovisuel et de la musique collectent déjà largement des données personnelles, notamment en observant les habitudes des consommateurs afin d’adapter au mieux les produits et services proposés, en fonction de leur profil, de leur géolocalisation, de l’heure et de leurs schémas comportementaux.


Le numérique et le recours au traitement de données permettent en effet de remplacer le fastidieux questionnaire à l’issue d’une projection test d’un film par un traitement automatisé des informations de tous les utilisateurs d’une plateforme de vidéo à la demande, de jeu-vidéo en ligne ou d’écoute de musique.


Et, au-delà de ces pratiques affinées de marketing et de vente, il n’existe plus de sociétés de productions qui n’ont pas constitué une fichier clients, voire de prospects, sous une forme digitale.


Une meilleure information des personnes concernées par la collecte de leurs données

La collecte de données personnelles est subordonnée, en principe, à l’obtention du consentement libre, éclairé et univoque de la personne concernée.


Le Règlement précise que ce consentement résulte d’un « acte positif clair ».


En pratique, pour obtenir le consentement d’un internaute, ce dernier devra, par exemple, cocher une case lors de sa visite sur un site Internet ou encore déclarer explicitement l'acceptation du traitement proposé des données personnelles.


Le Règlement sonne ainsi le glas des conditions générales d’utilisation obscures, qui sont à présent insuffisantes pour recueillir le consentement d’un usager.


De plus, l’accord donné doit être propre à chaque utilisation et peut être retiré par l’utilisateur à tout moment, obligeant ainsi l’entreprise à supprimer purement et simplement les données dont elle dispose.


En outre, le consentement ne porte que sur la finalité mentionnée.


Tout autre usage est exclu et donc prohibé, sauf à faire l’objet d’un nouveau consentement.


Concrètement, les conditions générales d’utilisation et les contrats relatifs à l’activité de l’entreprise devront détailler quelles données seront collectées, dans quel but et pendant combien de temps.


Par ailleurs, les textes imposent le « droit d'être informé dans un langage simple et clair ».


Les députés européens ont insisté pour que les nouvelles dispositions mettent un terme aux politiques de vie privée « en petits caractères ».


Une collecte de données mesurée : le principe de minimisation et du droit à l’effacement

En application du principe de minimisation de la collecte des données, toutes les informations traitées doivent se révéler pertinentes et nécessaires pour l’entreprise, ce qui prohibe toute collecte abusive et superflue.


En pratique, le RGPD instaure un « droit à l'oubli » notion qui existe déjà, sous d’autres formes, en droit français – facilitant l'effacement de données personnelles lorsque les citoyens ne souhaitent plus que celles-ci soient traitées.


Toutefois, ce droit à l’effacement n’est pas absolu, puisqu’il ne peut pas s’appliquer si le traitement est indispensable à l’exercice du droit à la liberté d’expression et d’information ou encore lorsque les données collectées sont nécessaires à des fins de recherche scientifique, historique ou à des fins statistiques, et notamment pour des raisons de santé publique.


Le droit à l'oubli ne s'appliquerait pas non plus lorsque la détention des données à caractère personnel est essentielle à la conclusion d'un contrat ou lorsque la loi l'exige.


En vertu des nouvelles règles issues du RGPD, toute personne jouit du droit à la « portabilité des données », lui permettant de les réutiliser au sein de l’Union européenne. Ce qui, en réalité, simplifiera le transfert de données entre fournisseurs de services audiovisuels.


Attention aux mineurs

Les nouvelles règles prévoient des garanties spéciales pour les mineurs, moins conscients des risques et conséquences liés au partage de leurs données personnelles.


En dessous d'un certain âge - le RGPD mentionnant la barrière de 16 ans, qu’il vaut mieux adopter par prudence -, la licéité du traitement de données personnelles d’un enfant est subordonnée au consentement donné ou autorisé par les titulaires de l’autorité parentale.


A la majorité du spectateur-internaute, le consentement initialement donné doit pouvoir être retiré et les données supprimées.


Désigner un délégué à la protection des données

Dans le cadre du RGPD, il est obligatoire de désigner un délégué à la protection des données (DPD) - appelé aussi data protection officer (DPO).


Le DPD remplace l’éventuel « Correspondant Informatique et Libertés ») qui préexistait au nouveau Règlement et devient le garant de la conformité du dispositif.


Même lorsque le RGPD n'exige pas expressément la nomination d'un DPD, il est plus qu’important, pour une entreprise, de désigner un DPD sur une base volontaire.


Les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. C'est le responsable du traitement ou le sous-traitant qui est tenu de garantir et de démontrer que le traitement est effectué conformément aux dispositions.


La relation avec les sous-traitants doit impérativement être encadrée par un contrat.


Les sanctions administratives sont dissuasives, car elles peuvent aller jusqu’à des pénalités 20 millions d’euros ou équivalant à 4% du chiffre d’affaire mondial annuel de l’entreprise.


Toutefois, si les entreprises étaient déjà en conformité sous l’ancien régime juridique, ou si elles démontrent, en cas de contrôle de la CNIL, avoir fait le nécessaire pour essayer de se mettre en conformité avec le RGPD, l’autorité administrative ne devraient pas être aussi sévère que les textes ne laissent entendre.


Ces dernières semaines, les réseaux sociaux ont été les premiers à notifier à leurs utilisateurs la mise à jour de leurs conditions générales d’utilisation. Restent aux autres à, pour une fois, suivre l’exemple.

Note

  1. 1Cet article a été écrit avec le concours de Clara Benyamin, avocate au cabinet Pierrat & de Seze.