Le présent billet a pour objet d’introduire une série d’articles portant sur l’impact de la réforme de fond opérée par le Règlement général sur la protection des données personnelles. Ce Règlement, négocié depuis janvier 2012, entrera en vigueur le 25 mai prochain. Cette norme européenne opérera un changement substantiel du droit en vigueur en modifiant les définitions et en étendant les obligations et droits des diverses parties prenantes en matière de la collecte de données personnelles.
En négociation depuis janvier 2012, le RGDP va bientôt entrer en vigueur après avoir été voté le 14 avril dernier !
Son application dans le droit en vigueur est importante sur moultes points qui seront mis en avant dans de futurs billets. Un bref retour historique doit être, toutefois, fait auparavant.
Rappelons, tout en le précisant, que le RGDP remplacera la directive sur la protection des données personnelles du 24 octobre 1995[1]. La forme juridique de la norme européenne importe puisque celle-ci détermine et démontre une volonté politique sous-jacente. En effet, l’article 288 du Traité sur le fonctionnement de l’Union Européenne — dernière version de la constitution de l’organisation supra-étatique — distingue ces deux types de normes selon leur effectivité directe en droit interne. En d’autres termes, là où une directive contraint les Etats Membres à une transposition en droit interne, c’est-à-dire à une obligation de promulgation d’une loi reprenant les principes imposés par ladite directive, un règlement s’applique, par principe,directement et entièrement en droit interne.
Nous disons, par principe seulement car le RGDP laisse, et c’est exceptionnel pour un tel texte, une marge de manœuvre importante aux Etats Membres pour la transposition de ses dispositions en droit interne. En effet, comme le déclare le Conseil d’Etat (français) dans son avis sur le projet de loi dit de “protection des données”[2], le Règlement ouvre 56 options aux Etats Membres. Ces options doivent être comprises comme un moyen pour lesdits Etats de durcir dans leur droit interne les dispositions prévues par le RGDP. Ainsi, contrairement à la Directive 95/46/CE qui laissait un choix quasi-absolu aux Etats Membres quant aux moyens de mise en œuvre dès lors que ces moyens étaient compatibles avec les objectifs fixés par la Directive, le RGDP impose un seuil élevé de règles pour garantir une harmonisation complète de la protection des données personnelles des résidents européens.
En effet, la Directive souffrait de par sa nature d’une disparité dans sa transposition par les Etats Membres, facilitant de ce fait un phénomène de law shopping[3]. Celui-ci a eu pour effet de creuser les différences entre les Etats Membres, et ce malgré les tentatives du Groupe de travail de l’article 29[4], contraignant alors la Cour de Justice de l’Union Européenne à condamner de plus en plus sévèrement les violations des données personnelles jusqu’au point de rattacher celles-ci aux droits fondamentaux[5].
Sous l’empire de la Directive, ce rattachement ne se fit pas aisément mais fut pleinement assumé par le Règlement. Avant de revenir sur cette intégration, force est de rappeler le contexte d’une telle révolution dans la conception institutionnelle de la valeur de la donnée personnelle. Initialement, la Directive était élaborée aux prémices de l’Internet. La directive avait surtout pour finalité de construire le marché électronique intracommunautaire, sans pour autant affirmer que la protection des données personnelles était alors primordiale au sens de la protection des droits fondamentaux, en l’occurrence, le droit à la vie privée. En d’autres termes, la législation des données personnelles était davantage un moyen de cadrer le marché unioniste en l’harmonisant a minima plutôt qu’un moyen de protéger réellement le droit à la vie des personnes concernées.
Dès son premier considérant (ndlr : explication qui se trouve tout en haut des textes européens), le RGDP rappelle à la fois que les données personnelles sont des droits fondamentaux et relèvent de la compétence que l’Union Européenne partage avec ses membres[6]. Ainsi passant d’une politique de création d’un cadre reposant sur un volontariat des entreprises, certes forcées par une politique de sanction, à une vraie logique répressive qui offrira des droits positifs et invocables par les individus, le RGDP changera la donne en rééquilibrant le rapport entre les personnes concernées (personnes dont les données sont collectées) et les responsables de traitement (collecteurs de données). Il importe néanmoins de souligner que, là où la Directive s’appliquait à tout responsable de traitement, le RGDP exclut toutes les formes d’institutions policières, de justice ou de renseignement[7]. Cette sous-division affaiblit alors la protection des personnes concernées, en soumettant le droit à la vie privée à un régime spécial et non plus à un régime général.
Néanmoins, la nouvelle norme octroie un vrai droit effectif à la personne concernée qui peut en conjuguer l’exercice avec l’action davantage coordonnée des différentes CNILs nationales supervisées par un comité[8]. Ce vrai droit effectif de la personne concernée s’allie avec la possibilité pour cette dernière de revendiquer ses données personnelles au travers d’un droit à la portabilité[9].
Toutefois, le propos du programme Epidemium portant sur les données ouvertes relatives à la santé cantonne notre recherche aux différentes problématiques soulevées par celles-ci. Ainsi dans cette série d’articles, nous vous proposerons une étude de la notion même de donnée personnelle, puis de la donnée de santé, avant de voir, enfin, l’actualisation du partage des données personnelles au travers des techniques permettant leur anonymisation pour les échanger entre les différentes parties de l’écosystème.
[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24/10/1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ci-après “la Directive”.
[2] CE, avis 11/12/2017, projet de loi d’adaptation au droit de l’Union Européenne de la loi n°78–17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, disponible en ligne.
[3] C’est-à-dire de permettre à un opérateur économique de s’installer dans un Etat Membre ayant une législation plus souple que celle d’un autre Etat Membre.
[4] Le groupe de travail de l’article 29, dit le G29, est un think tank comprenant les CNILs de tous les Etats Membres dont le but est d’interpréter la Directive de 95 de façon uniforme. Néanmoins, l’interprétation du G29 ne lie guère les CNILs nationales.
[5] Voir dans ce sens, l’arrêt Rijkeboer du 07/05/2009 (C 553/07), les arrêts Digital Rights Ireland du 08/04/2014 ( C‑293/12 et C‑594/12), ou encore l’arrêt Google Spain (C 131/12) du 13/05/2014, jusqu’au célèbre arrêt Schrems (362/14) rendu par la Grande Chambre de la CJUE le 06/10/2015, disponible en ligne.
[6] “La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne […] et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.”
[7] Renvoyant ces questions à la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
[8] Comité “européen de la protection des données établi par le […] règlement” mentionné au considérant 72 et explicité aux articles 68 et suivants.
[9] Droit qui a déjà été instauré par la Loi pour une République numérique (loi 2016–1321 du 07/10/2010).
Découvrez puis participez à Epidemium : site et plateforme.
