UTILISATION DES COOKIES : en poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer une navigation personnalisée, des publicités adaptées à vos centres d’intérêts et la réalisation de statistiques. Pour en savoir plus et paramétrer vos cookies, cliquez ici 

Introduction à la réglementation française en matière de données personnelles

Décryptages
Outils
TAILLE DU TEXTE

Danhoé Reddy-GirardTribune de Danhoé Reddy-Girard, avocat associé au cabinet Gowling, sur la réglementation française en matière de données personnelles.

 1. Sources et champ d'application

Les règles françaises en matière de protection des données personnelles relèvent principalement de la loi n° 78-17 du 6 janvier 1978, telle que modifiée en 2004 afin de transposer la directive européenne 94/46/EC du 24 octobre 1995 (la "loi Informatique et Libertés"), ainsi que du décret n° 2005-1309 du 20 octobre 2005, et leur respect est supervisé par la Commission nationale de l'informatique et des libertés (la "Cnil").

La loi Informatique et Libertés s'applique au "traitement" des "données personnelles" (toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres) par un "responsable de traitement" établi sur le territoire français ou, s'il est établi en dehors de l'Union européenne, qui utilise des moyens de traitement situés sur le territoire français (à l'exception des moyens utilisés uniquement à des fins de transit et, dans les limites permises par une délibération Cnil de 2011, à l'exception du traitement des données de clients ou d'employés couverts par des normes simplifiées 46 et 48 effectué par un sous-traitant français pour le compte d'un responsable de traitement étranger dès lors que le résultat du traitement est renvoyé à l'étranger au responsable de traitement étranger).

Les principales règles de la loi Informatique et Libertés seront remplacées par celles du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 lorsque celui-ci entrera en vigueur le 25 mai 2018. Les nouvelles règles seront globalement similaires aux anciennes mais plus rigoureuses. Le nouveau règlement européen s'appliquera à tout traitement de données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l'Union européenne, ainsi qu'à tout traitement par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union européenne de données à caractère personnel relatives aux personnes se trouvant sur le territoire de l'Union européenne, lorsque les activités de traitement sont liées (a) à l'offre de biens ou de services aux concernées dans l'Union européenne qu'un paiement soit exigé ou non desdites personnes, ou (b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union européenne.

2. Principales règles de la loi Informatique et Libertés

Lorsqu'elle est applicable, la loi Informatique et Libertés exige que :

- tout traitement suive les principes énoncés à l'article 6 de la loi Informatique et Libertés, à savoir que les données personnelles soient (a) collectées et traitées de manière loyale et licite (b) collectées pour des finalités déterminées, explicites et légitimes, sans être traitées ultérieurement de manière incompatible avec ces finalités (c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (d), exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées (e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ;

- tout traitement soit licite au regard de l'article 7 de la loi Informatique et Libertés, ce qui est le cas si : (a) la personne concernée a donné son consentement au traitement de ses données, (b) le traitement est nécessaire au respect d’une obligation légale incombant au responsable du traitement, (c) le traitement est nécessaire pour l'exécution d’un contrat auquel la personne concernée est partie ou dans le cadre de mesures précontractuelles prises à la demande de la personne concernée, (d) le traitement est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ;

- les données à caractère personnel collectées ou traitées ne fassent pas apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ne soient pas relatives à la santé ou à la vie sexuelle de celles-ci et ne concernent pas des infractions, des condamnations pénales ou des mesures de sécurité, sous réserve des exceptions figurant aux articles 8, 9 et 25 de la loi Informatique et Libertés ;

- le responsable dépose auprès de la Cnil une déclaration (ou une demande d'autorisation dans certains cas) contenant toutes les informations énoncées à l'article 30 de la loi Informatique et Libertés ou, dans le cas d'un traitement régi par une norme simplifiée tel que la norme n° 48 concernant le traitement des données des clients et des prospects ou de la norme simplifiée n°46 sur le traitement des données des employés, des informations plus limitées, sauf si un correspondant à la protection des données à caractère personnelles est nommé, que cette nomination a été notifiée à la Cnil et que le traitement ne comporte aucun transfert de données personnelles en dehors de l'UE, conformément aux articles 22 et suivants de la loi Informatique et Libertés ;

- le responsable fournisse aux personnes concernées certaines informations conformément à l'article 32 de la loi Informatique et Libertés (et la norme simplifiée applicable le cas échéant), que (a) les données soient recueillies par le responsable du traitement ou (b) qu'elles soient collectées par une autre personne, à moins dans ce dernier cas que la personne concernée est déjà été informée ou que son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche ;

- le responsable du traitement prenne, conformément à l'article 34 de la loi Informatique et Libertés, toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, étant précisé que la Cnil a émis des recommandations spécifiques à cet égard ;

- le responsable de traitement veille, conformément à l'article 35 de la loi Informatique et Libertés, à ce que tout sous-traitant (toute personne traitant des données à caractère personnel pour le compte du responsable du traitement) fournisse des garanties suffisantes pour préserver la sécurité et la confidentialité des données et signe un contrat contenant des clauses adaptées. La question si cet article crée une obligation légale grevant le sous-traitant (de présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité et d'agir uniquement sur les instructions du responsable de traitement) fait débat mais les sanctions pénales ne visent que les responsables de traitement et non pas les sous-traitants ; le règlement européen imposera des obligations légales aux sous-traitants, y compris celle de documenter leurs traitements ;

- les données à caractère personnel ne soient pas conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément à l'article 36 de la loi Informatique et Libertés (sauf rares exceptions) ;

- les personnes concernées puissent demander au responsable de traitement l'accès et la rectification des données personnelles les concernant ainsi que (en l'absence de disposition contraire dans l'acte en question) s'opposer au traitement pour des motifs légitimes, selon les articles 38 et suivants de la loi Informatique et Libertés, étant précisé à cet égard que la norme simplifiée n° 48 concernant les clients et prospects prévoit que ceux-ci peuvent s'opposer à (et doivent être informés que) ils peuvent s'opposer à la prospection de leurs données personnelles ainsi qu'au transfert de ces données à des partenaires commerciaux à des fins de prospection ;

- le responsable du traitement ne transfère de données à caractère personnel vers un Etat n’appartenant pas à l'Union européenne que si cet Etat assure un niveau de protection suffisant ou que, à défaut, le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux, notamment en raison des clauses contractuelles (celles adoptées par la Commission Européenne) ou règles internes dont il fait l’objet, conformément les articles 68 et suivants de la loi Informatique et Libertés, étant précisé que l'accréditation "U.S. Safe Harbor" a été remplacée par celle de la "U.S. Privacy Shield".

Lorsqu'il entrera en vigueur, le règlement européen imposera aux responsables de traitement l'obligation d'établir des procédures écrites. L'obligation de déclarer tout traitement à la Cnil sera remplacée par une obligation d’effectuer une analyse d’impact seulement si le traitement envisagé présente un risque élevé pour les droits et libertés des personnes physiques et, si cette analyse d'impact indique que le traitement présente un risque élevé si le responsable du traitement ne prend pas de mesures pour atténuer le risque, l'obligation de consulter préalablement l’autorité de contrôle.

3. Règles spéciales relatives aux cookies

Les règles relatives aux cookies ont été introduites à l'article 32 II de la loi Informatique et Libertés dans le cadre de la transposition de la directive européenne 2009/136 / CE du 25 novembre 2009.

Bien que l'article 32 II attribue seulement au responsable du traitement ou à son représentant "l'obligation" d'informer (et d'obtenir le consentement) sur l'utilisation des cookies et des dispositifs similaires, il est dans l'intérêt des responsables établis en dehors de France (y compris ceux établis dans un autre pays de l'UE) de s'assurer que leur politique de cookies est conforme aux règles françaises, ne serait-ce pour pouvoir utiliser ces données auprès de régies publicitaires et de réseaux sociaux établis en France, qui doivent aussi se conformer à ces règles en qualité de responsables de traitement (Cnil, délib. n° 2013-378)).

Pour être conforme à la loi française, l'installation de cookies (autres que ceux strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur) doit avoir fait l'objet d'un consentement manifesté par une action positive. C'est le cas notamment des cookies liés aux opérations relatives à la publicité ciblée, des cookies de solutions de mesures d'audience (sauf exemption lorsque six critères sont satisfaits) et des cookies des réseaux sociaux.

Selon la Cnil, ce consentement peut être valablement obtenu en utilisant une bannière qui lit “En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]. Pour en savoir plus et paramétrer les traceurs.” (Cette dernière phrase contenant un lien hypertexte vers la politique du site).

La bannière doit rester sur la page jusqu'à ce que l'utilisateur clique sur un bouton sur la page (elle ne doit pas disparaître si l'utilisateur ne clique sur aucun bouton sur la page).

En France, la Cnil considère que le consentement reste valide pendant 13 mois à compter de l'installation du cookie (Cnil, délib. n° 2013-378, 5 déc. 2013) de sorte qu'une telle bannière doit être affichée de nouveau après 13 mois (ou avant afin de prolonger la durée des cookies avant leur expiration).

4. Règles spéciales relatives à la prospection directe

La prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant les coordonnées de personnes physiques est réglementée par l'article L.34-5 du code des postes et des communications, transposant la directive européenne 2002/58/CE (Vie privée et communications électroniques) du 12 juillet 2002.

Ces dispositions s'appliquent aux responsables de traitement qui doivent se conformer à la loi Informatique et Libertés. Il n'est pas certain cependant qu'elles ne s'appliquent pas aux responsables de traitement établis hors de France sortant du champ d'application territorial de la loi Informatique et Libertés mais ciblant le marché français ; ces derniers ont de toute manière intérêt à respecter ces règles afin de pouvoir traiter avec des régies publicitaires établies en France, qui ont l'obligation de s'assurer que les personnes figurant sur les listes qui leur sont remises ont bien donné leur consentement dans le respect de ces règles.

La prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant les coordonnées de personnes physiques est interdite sauf si :
- la personne physique ait donné son consentement exprès ("opt in") ;
- les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi Informatique et Libertés, à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir la possibilité de s'opposer à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies ou
- la communication concerne une cause sans but lucratif.

Bien que cela ne soit pas précisé à l'article L.34-5, la Cnil sous la pression de groupes de lobby a néanmoins émis des consignes à l'effet que ces règles (nécessité d'un "opt-in") ne s'applique pas aux mails adressés à des personnes physiques en leur qualité non pas de particuliers mais de professionnels, notamment les employés d'entités juridiques, dès lors que l'objet de la sollicitation est en rapport avec la profession de la personne démarchée. La Cnil illustre son propos par l'exemple du directeur informatique d'une société à qui un logiciel serait présenté. Dans ce cas, il n'est pas nécessaire que la personne physique est donné son consentement préalable ("opt in") ou qu'elle ait acheté des produits ou services analogues, mais la personne doit, au moment de la collecte de son adresse de messagerie, être informée que son adresse électronique sera utilisée à des fins de prospection et être en mesure de s’opposer à cette utilisation de manière simple et gratuite. Le démarchage auprès d'adresses professionnelles génériques qui ne contiennent pas le nom d'une personne physique (par exemple, celles commençant par "contact@...") n'est pas concerné.

En toute hypothèse, tout destinataire doit se voit offrir la possibilité de s'opposer à l'utilisation de ses coordonnées chaque fois qu'un courrier électronique de prospection lui est adressé.

Il est nécessaire de garder à l'esprit que les données personnelles sur les prospects ne peuvent normalement, conformément à la norme simplifiée n° 48 si celle-ci s'applique, être conservées que trois années.

5. Contrôle et sanctions

Conformément aux articles 45 et suivants de la loi Informatique et Libertés et de l'article L. 34-5 du code des postes et des communications, la Cnil peut enquêter sur toute violation de ces textes et enjoindre toute personne de cesser toute violation dans un délai donné qui peut être 5 jours en cas d'urgence ; si cette miss en demeure reste sans réponse alors :

- la personne en infraction peut se voir infliger une amende d'un montant pouvant aller jusqu'à 150.000 € pour une première infraction et, en cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, 300.000 € et /ou
- une injonction de cesser le traitement peut être ordonnée contre la personne (et le retrait de l'autorisation dans le cas d'un traitement soumis à autorisation)
Entraver l'action de la Cnil peut donner lieu à une condamnation d'un an de prison et à une amende de 15.000 € aux termes de l'article 51 de la loi Informatique et Libertés.

Nonobstant les pouvoirs de sanction de la Cnil, la plupart des violations de la loi Informatique et Libertés sont des infractions qui peuvent être jugées devant les tribunaux conformément aux articles 226-16 et suivants du code pénal, aux termes desquels la peine d'emprisonnement maximale est de 5 ans et l'amende maximale est de 300.000 € (ou cinq fois ce montant si il s'agit d' une personne morale en vertu des articles 131-38 et 226-24 du code pénal). La violation de l'article 32 de la loi Informatique et Libertés, qui requiert que certaines informations soient communiquées aux personnes concernées par les traitement, constitue toutefois seulement une infraction mineure de 5ème catégorie ( contravention) selon l'article R. 625-9 du code pénal, pour laquelle il n'y a pas de peine de prison mais une 'amende maximale de 1.500 € ou de 3.500 € en cas de récidive (ou cinq fois ce montant pour une personne morale en vertu de l'article 131-38 du code pénal). En pratique, il est cependant peu probable que la Cnil demande au procureur général d'engager une procédure pénale sans avoir d'abord tenté d'examiner le défaut de conformité, en l'absence de violation grave.

La violation de l'article L. 34-5 du code des postes et des communications est sanctionné par une amende de 750 € pour une personne physique, 3.750 € pour une personne morale, par communication. Elle peut également conduire à une contravention d'un montant maximal de 15.000 € imposée par l'autorité chargée de la protection de la concurrence et des consommateurs, à moins que l'article L. 36-11 du même code s'applique et que l'autorité en charge des communications électroniques se déclare compétente.

Danhoé Reddy-Girard, avocat associé au cabinet Gowling