Autorité chef de file, data protection officer et portabilité : les lignes directrices du G29
Le 13 décembre 2016, le G29 a adopté un jeu de trois documents contenant les lignes directrices précisant l’interprétation de certaines notions créées par le règlement 2016/679 du 27 avril 2016. En voici une présentation synthétique.
Data protection officers
Le G29 explicite successivement la question de la désignation d’un data protection officer (DPO), celle de son positionnement et enfin de ses tâches. On s’intéressera en l’occurrence au premier point.
S’agissant de la désignation du DPO, l’article 37(1) du règlement l’impose :
- aux personnes publiques ;
- aux entités dont les activités principales impliquent des opérations de surveillance régulière et systématique des personnes à grande échelle ; et
- aux entités dont les activités principales impliquent le traitement de données sensibles ou criminelles à grande échelle.
Cette obligation pèse sur les responsables de traitement ainsi que sur les sous-traitants. Pour le G29, sauf à ce qu’il soit évident que cette obligation ne s’applique pas, chaque entité devra procéder à une analyse en vue de déterminer si elle doit ou non désigner un DPO et être en mesure de démontrer que les facteurs pertinents ont bien été pris en compte.
Par ailleurs, le G29 indique que la notion de « grande échelle » doit s’apprécier au regard du nombre de personnes concernées mais également du volume de données, de la durée du traitement et du territoire géographique couvert. Le G29 cite clairement les exemples du traitement : par un hôpital des données de ses patients ; par les transports publics des données de déplacement ; par un prestataire fournissant des statistiques des données de géolocalisation des clients d’une chaîne de restauration rapide ; par les banques et assurances des données de leurs clients ; par un moteur de recherche des données d’utilisateurs aux fins de publicité ciblée ; par les fournisseurs de services de téléphonie ou d’accès à Internet des données de trafic et de localisation.
Les acteurs mentionnés ci-dessus, s’ils traitent des données sensibles (on pense en particulier aux hôpitaux et aux assurances) ou s’ils procèdent à une surveillance régulière et systématique y compris dans le cadre du profilage à des fins de publicité ciblée (on pense en particulier aux moteurs de recherche et aux prestataires de services de marketing), devront donc nommer un DPO.
Selon une étude de l’International Association of Privacy Professionals (IAPP), 11 790 entreprises privées seraient concernées par cette obligation dans le seul cadre de l’Union européenne. Mais le règlement s’imposant également aux entités situées hors de l’Union européenne – dès lors qu’elles offrent des biens ou des services à des personnes dans l’Union ou suivent le comportement dans l’Union de ces personnes, 9 000 entreprises seraient concernées aux États-Unis, 7 568 en Chine ou encore 3 682 en Suisse.
Le G29 précise que, dans le cadre d’un traitement impliquant responsable et sous-traitant, cette obligation s’impose à l’entité répondant au critère de désignation ; il ajoute toutefois que le sous-traitant d’un responsable concerné par cette obligation pourrait également procéder à une telle désignation à titre de good practice.
Droit à la portabilité
Ce nouveau droit consacré par l’article 20 du règlement permet aux personnes concernées de recevoir leurs données de la part d’un responsable de traitement et de les transférer à un tiers lorsque le traitement est fondé sur le consentement ou sur l’exécution d’un contrat et qu’il est effectué à l’aide de procédés automatisés, sans toutefois pouvoir porter atteinte aux droits et libertés d’autrui. L’objectif affiché est de permettre aux personnes de changer librement de prestataire et par conséquent d’encourager la concurrence entre responsables de traitement.
Parmi les points notoires, le G29 précise que les données concernées :
- peuvent inclure des données de tiers si elles sont liées à celles de la personne exerçant son droit (par exemple numéros d’appels entrants sur le compte d’un abonné) ;
- ne sont pas uniquement celles fournies par la personne mais également celles produites par le service à son égard (par exemple données brutes d’un compteur intelligent) ;
- n’incluent pas les données « déduites » ou « dérivées » créées par le responsable de traitement sur cette base (par exemple profilage ou score).
Par ailleurs, le G29 indique que si la protection de la propriété intellectuelle et des secrets peut faire partie des droits et libertés auxquels la portabilité ne doit pas porter atteinte, elle ne peut permettre de refuser la fourniture de toute l’information à la personne : les responsables peuvent uniquement fournir l’information sous une forme ne portant pas atteinte à cette protection.
On rappellera que la loi n°2016-1321 du 7 Octobre 2016 pour une République numérique introduit dans le Code de la consommation, à compter du 25 mai 2018 date d’entrée en vigueur du règlement, un article L.224-42-1 prévoyant que « le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données »<:em>.
Lorsque le règlement ne s’applique pas, l’article L.224-42-3 dispose que : « le fournisseur d’un service de communication au public en ligne propose au consommateur une fonctionnalité gratuite permettant la récupération :
1° De tous les fichiers mis en ligne par le consommateur ;
2° De toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause […] ;
3° D’autres données associées au compte utilisateur du consommateur […]. »
Ce droit complémentaire est donc à la fois plus large quant aux éléments concernés par la portabilité et plus restreint quant aux entités sur lesquelles pèse l’obligation afférente.
L’identification de l’ « autorité chef de file »
Dans un premier temps, le G29 rappelle dans quelles situations l’identification d’une autorité chef de file est nécessaire. Il s’agit des traitements transfrontières, c’est-à-dire ayant lieu dans le cadre des activités :
(i) de plusieurs établissements d’une même personne morale dans plusieurs Etats membres ; ou
(ii) d’un établissement unique mais affectant ou étant susceptibles d’affecter sensiblement des personnes concernées dans plusieurs États membres.
En vertu de l’article 56 § 1 du règlement, dans une telle situation, « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ». Elle y associe les autres autorités de contrôle concernées dans le cadre d’enquêtes, contrôles et décisions.
Le G29 précise que la notion du point (ii) (en anglais substantially affects) implique non seulement que le traitement concerne des personnes dans plusieurs États membres mais encore ait un impact sur ces dernières : elle cite un certain nombre d’exemples impliquant pour la plupart un impact négatif (détresse, refus d’une opportunité, impact sur la tranquillité, discrimination, données sensibles ou intrusives, etc.).
Elle ajoute enfin que l’objectif est de ne mettre en place une coopération que dans l’hypothèse où une autorité saisie adopterait « une mesure ayant vocation à produire des effets juridiques sur des opérations affectant significativement un nombre important de personnes dans plusieurs États membres » : on comprend de cette précision que l’obligation d’identification d’une autorité chef de file devrait s’interpréter strictement.
Cette obligation d’identification en cas d’établissements multiples dans l’Union implique de déterminer le lieu de l’établissement principal du responsable de traitement ou du sous-traitant concerné. Ce dernier est en principe le lieu de l’administration centrale, sauf, s’agissant d’un responsable de traitement, à ce que les décisions sur les finalités et moyens soient prises par un autre établissement ou, s’agissant d’un sous-traitant, à ce que les activités principales du traitement soient menées par un autre établissement.
Il incombe à tout responsable de traitement de déterminer le lieu de prise de décision sur la base de certains facteurs incluant notamment le territoire d’enregistrement de la société, la localisation de la direction en charge du traitement et le lieu de validation finale des décisions. Bien entendu les conclusions du responsable peuvent être remises en cause par les autorités concernées dans les cas complexes si l‘intéressé n’est pas en mesure de les étayer.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Julie Tamba, avocat en droit de la propriété intellectuelle et droit commercial