#5 Le saviez-vous ? – RGPD : quelles spécifications nationales faut-il respecter pour être conforme ?

6 Mar. 2020

# Le saviez vous ? I Vie de la profession

De nombreuses sociétés ont engagé un lourd travail de mise en conformité au nouveau règlement européen de protection des données depuis son entrée en vigueur en mai 2018. Mais les Etats membres ont publié en 2019 des spécifications nationales qui peuvent préciser, adapter, voire contredire le RGPD…
Les records d’amendes RGPD ont été battus l’an dernier jusqu’à atteindre 200 millions d’euros pour British Airways. Comment s’y retrouver et quelles sont les principales sources d’information pour être conforme au RGPD et ses marges de manœuvre locale ? C’est le sujet de ce cinquième « Le saviez-vous ? » proposé par Philippe Guilbert, expert Etudes auprès des organisations professionnelles (SYNTEC Conseil, ESOMAR).

L’explication de Philippe Guilbert

Depuis le 1^erjuin 2019, la loi Informatique et Libertés de 1978 s’applique en France dans une version adaptée au RGPD et aux marges de manœuvre nationales qu’il prévoit. Fin 2019, 27 Etats membres sur 28 ont adopté leurs lois d’implémentation locale. Un tiers des 99 articles du RGPD mentionne la possibilité d’une ou plusieurs spécifications nationales : les divergences dans les dérogations, exemptions, exceptions et restrictions peuvent donc être fréquentes ! Quelques questions clé permettent de mieux s’y retrouver et de préserver sa conformité au RGPD.

Le RGPD a-t-il besoin d’une loi de spécification nationale pour s’appliquer ?

Non, le RGPD est entré en vigueur le 25 mai 2018 dans tous les Etats membres. Un règlement adopté par l’Union Européenne s’applique directement dans tous les Etats membres, contrairement à une directive qui nécessite une transposition dans la législation nationale au préalable.

2. Pourquoi le RGPD prévoit-il des spécifications nationales ?

Le RGPD impose aux Etats membres de prendre plusieurs mesures juridiques au niveau national, notamment pour l’autorité chargée de la protection des données (CNIL en France) et ses pouvoirs, les réglementations sectorielles et la liberté d’expression et d’information. A noter que le Code de conduite RGPD en cours de préparation par ESOMAR et EFAMRO sera utile pour éviter une fragmentation du cadre légal pour les études de marché et sondages d’opinion.

3. Quels sont les domaines concernés ?

Le nombre de marges de manœuvre possibles dans le RGPD est sujet à débat, en variant entre 20 et 70 selon les experts et pays… Les principaux points sont :

L’âge de consentement des enfants (art. 8) : une société fournissant des services numériques doit obtenir le consentement parental si l’enfant a moins de 16 ans, mais les Etats membres peuvent abaisser ce seuil jusqu’à 13 ans (cf #2 Le saviez-vous ? Comment interroger les enfants). 18 pays ont choisi un âge inférieur (dont la France où la majorité numérique a été fixée à 15 ans en France).
Les catégories particulières de données à caractère personnel(art. 9) : elles reprennent les données sensibles de la loi Informatique et Libertés (origine raciale ou ethnique, opinions politiques, appartenance syndicale, religion, santé, données génétiques et biométriques, sexualité). Le RGPD prévoit des dérogations ou restrictions nationales, notamment pour la santé et les données génétiques et biométriques (reconnaissance faciale incluse).
Les décisions individuelles automatisées, y compris le profilage (art. 22) : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. ». Les Etats membres peuvent définir des restrictions sous réserve des « mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ».
Les limitations (art. 23) : les Etats membres peuvent restreindre les droits prévus dans le RGPD pour des raisons de sécurité publique et nationale, défense, traitement des infractions pénales, intérêt économique ou financier, indépendance de la justice et des procédures judiciaires, demande de droit civil, intérêt public général… Cette limitation doit « respecter l’essence des libertés et droits fondamentaux » et constituer « une mesure nécessaire et proportionnée dans une société démocratique ». La plupart des Etats membres ont défini des limitations, notamment pour le droit d’accès (art. 15), droit d’information (art. 13/14), droit de rectification (art 16) et effacement (art. 17).
Les notifications de violation de données (art. 33/34) : le responsable de traitement notifie la fuite à l’autorité de contrôle compétente (la CNIL en France) dans les 72 heures et informe les personnes concernées dans les meilleurs délais en cas de risque élevé pour leurs droits et libertés. La plupart des Etats membres ont choisi de ne pas y déroger, quelques-uns ont ajouté des exceptions ou changé les obligations de notification.
Le DPO (Data Protection Officer/Délégué à la protection des données, art. 37) : le DPO est obligatoire dans trois cas (autorité ou organisme public, suivi régulier et systématique à grande échelle des personnes concernées, traitement à grande échelle de catégories particulières de données) mais les Etats membres peuvent spécifier d’autres cas où le DPO est obligatoire. Ainsi, l’Allemagne a rendu le DPO obligatoire pour les entreprises employant régulièrement au moins 20 personnes dans le traitement automatisé de données personnelles (le seuil est passé de 10 à 20 en juin 2019).
Les pouvoirs de l’autorité de contrôle (art. 58) : les Etats membres peuvent ajouter de nouveaux pouvoirs dans les trois catégories prévues (enquête, correction, autorisation/conseil). La plupart des Etats membres n’ont pas modifié ces pouvoirs, quelques-uns ont ajouté des précisions sur ces pouvoirs ou leur exercice..
La représentation des personnes concernées (art. 80.2) : les Etats membres peuvent autoriser les organisations à but non lucratif et les associations de consommateurs à faire des réclamations sans mandat direct des personnes concernées. La plupart des Etats membres ont choisi de les restreindre aux organisations ayant un mandat direct.
La fin de recherche scientifique ou statistique (art. 89) : les Etats membres peuvent compléter les garanties pour les droits et libertés des personnes concernées à propos des dérogations pour fins de recherche scientifique ou historique ou à des fins statistiques. Une petite majorité a choisi de ne pas changer ces garanties, tandis que certains ont ajouté des conditions et précisions de traitement (anonymisation, pseudonymisation). Puisque les spécifications locales et restrictions sur l’article 89 peuvent fortement impacter le secteur des études, ce point mérite attention !

4. Quelles lois locales faut-il connaître ?

Malgré l’objectif d’harmonisation juridique, une société utilisant des données personnelles issues de plusieurs pays de l’Union européenne doit prendre en compte chacune des spécifications nationales. Les droits sont basés sur le pays de résidence des personnes concernées, et non l’implantation géographique de l’entreprise. Ainsi, le seuil d’âge du consentement des enfants doit être vérifié pour une enquête auprès de mineurs (cf #2 Le saviez-vous – Comment interroger les enfants ?).

Le Royaume-Uni exige également une attention particulière. Même si le RGPD continue à s’appliquer pendant la période de transition du Brexit (jusqu’au 31/12/2020), des incertitudes subsistent pour 2021 et les années suivantes concernant :

les transferts de données (les modalités seront plus complexes si le niveau de protection britannique n’est pas considéré comme adéquat) ;
le Data Protection Act britannique qui pourra rester aligner avec le RGPD, ou diverger selon la volonté de restaurer une pleine souveraineté en matière de protection de données annoncée par Boris Johnson le 3 février 2020.

5. Comment en savoir plus ?

Plusieurs sources permettent d’aller plus loin sur ces spécificités nationales.

ESOMAR :