RGPD : vigilance sur la marge d’appréciation laissée aux États-membres de l’Union Européenne !
06.2018
Notre précédente publication* sur le Règlement (UE) 2016/79 sur la protection des données personnelles (RGPD), entré en vigueur le 25/05/2018, avait pour objectif d’alerter les entreprises monégasques sur les apports majeurs et les conséquences de cette législation européenne à portée extraterritoriale, alors que le thème était encore peu abordé en Principauté.
La présente publication tend à mettre en lumière un aspect singulier du RGPD : alors qu’un Règlement de l’Union Européenne est en principe d’application directe, une marge de manœuvre est laissée aux États-membres s’agissant d’un certain nombre de dispositions du RGPD.
Autrement dit, bien qu’ayant vocation à harmoniser le droit européen de la protection des données personnelles des personnes physiques, le RGPD ne sera pas appliqué par les États-membres de manière complètement uniforme.
Un état des lieux des législations nationales d’intégration du RGPD vous est proposé sous forme de tableau.
* « Le Règlement (UE) 2016/79 sur la protection des données personnelles (GDPR) : pourquoi les entreprises à Monaco doivent s’y préparer », Newsletter #18 – 09/2017.
• Les clauses d’ouverture du RGPD
• Les législations d’intégration du RGPD
• Tableau “Aperçu des législations des États-membres de l’Union Européenne intégrant le RGPD” (état : 06/06/2018)
Bien que le RGPD tende à « assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union »[1], les États-membres peuvent préciser ou restreindre la portée de certaines de ses règles[2] (clauses d’ouverture).
Le RGPD n’harmonise donc pas complètement le droit européen de la protection des données personnelles.
• Les clauses d’ouverture du RGPD
Les États-membres de l’Union Européenne ont la faculté :
— de maintenir ou introduire des dispositions nationales précisant l’application des règles du RGPD relatives au traitement de données personnelles nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (art. 23, § 1 RGPD)[3] ;
— de préciser les règles du RGPD s’agissant de secteurs spécifiques et de situations particulières de traitement (art. 85 à 91 RGPD)[4] ;
— de déterminer plus précisément les conditions de licéité du traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (art. 6, § 2 RGPD) ;
— en ce qui concerne l’offre directe de services de la société de l’information[5] aux enfants, d’abaisser l’âge de 16 ans jusqu’à 13 ans pour que le traitement soit licite (art. 8, § 1 RGPD) ;
— de maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, biométriques ou concernant la santé (art. 9, § 4 RGPD) ;
— d’exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique (art. 36, § 5 RGPD) ;
— de fixer expressément des limites au transfert de catégories spécifiques de données personnelles vers un pays tiers, pour des motifs importants d’intérêt public (art. 49 RGPD) ;
— de prévoir que son autorité de contrôle dispose de pouvoirs additionnels à son pouvoir d’enquête, son pouvoir d’adopter des mesures correctrices, son pouvoir d’autorisation et ses pouvoirs consultatifs listés par le RGPD (art. 58, § 6 RGPD) ;
— de prévoir, si le système juridique national ne prévoit pas d’amendes administratives, que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes (art. 83, § 9 RGPD) ;
— de déterminer le régime des sanctions applicables pour les violations du RGPD qui ne font pas l’objet d’amendes administratives (art. 84, § 1 RGPD).
• Les législations d’intégration du RGPD
Au moment de l’entrée en vigueur du RGPD le 25/05/2018, seuls 12 États-membres avaient pu mener à terme leur processus législatif et adopter les dispositions nationales d’intégration (voir le tableau ci-après).
Ces États peuvent être répartis en trois groupes, au regard de l’utilisation faite des clauses d’ouverture du RGPD :
— Approche minimale avec une utilisation limitée des clauses d’ouverture (Autriche, Croatie, Pologne, Pays-Bas, Slovaquie) : modification des dispositions nationales en ce que cela est nécessaire à la mise en œuvre du RGPD ; rares cas de limitation de l’exercice des droits des personnes concernées ;
— Approche libérale favorable aux personnes concernées avec une utilisation modérée des clauses d’ouverture (Danemark, Espagne, France, Irlande, Royaume-Uni, Suède) : élargissement du champ des traitements licites dans des secteurs spécifiques et situations particulières ; rares cas de limitation de l’exercice des droits des personnes concernées ;
— Approche libérale favorable aux entreprises avec une utilisation large des clauses d’ouverture (Allemagne) : élargissement du champ des traitements licites dans des secteurs spécifiques et situations particulières ; nombreux cas de limitation de l’exercice des droits des personnes concernées.
Les écarts suscitant les plus vives inquiétudes concernent :
— l’âge conditionnant la licéité du traitement des données des enfants dans le cadre de l’offre directe de services de la société de l’information, variant selon les États-membres entre 13 et 16 ans (art. 8 RGPD) ;
— le droit de toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi, dont les modalités et les facilités d’exercice pourront varier selon l’État membre devant lequel ce droit serait exercé (art. 80 et 82 RGPD).
Au vu des disparités nationales, la vigilance est de rigueur, à tout le moins lorsque l’activité de l’entreprise touche les résidents de plusieurs États-membres de l’Union Européenne.
• Aperçu des législations des États-membres de l’Union Européenne intégrant le RGPD
État-membre de l’Union Européenne | Législation nationale d’intégration (état au 06/06/2018) | Âge minimum conditionnant la licéité du traitement des données des enfants dans le cadre de l’offre directe de services de la société de l’information
|
Dispositions additionnelles relatives aux traitements et aux droits de la personne concernée |
Allemagne | Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), 30/06/2017 | 16 ans | Utilisation large des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : sensibles, y compris les données de santé ; dans le cadre de la relation de travail (consentement) ; à des fins de recherche scientifique ou historique et à des fins statistiques ; dans le cadre de la vidéosurveillance des lieux accessibles au public ; par les agences de crédit (scoring). Restrictions relatives aux droits de la personne concernée : droit d’information ; droit d’accès ; exigence de notification d’une violation des données personnelles ; droit de suppression ; droit d’opposition. |
Autriche | Datenschutz-Anpassungsgesetz 2018, 31/07/2017 | 14 ans | Utilisation limitée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : en matière pénale ; à des fins de recherche scientifique ; en cas de catastrophe ; dans les relations de travail (confidentialité). Restrictions relatives aux droits de la personne concernée : droit de rectification ; droit à l’effacement. |
Belgique | |||
Chypre | |||
Croatie | Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018), 27/04/2018 | 16 ans | Utilisation limitée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : génétiques ; biométriques ; dans le cadre de la vidéosurveillance ; à des fins statistiques. |
Danemark | Lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven), 23/05/2018 | 13 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : des personnes décédées ; sensibles, y compris les données génétiques et les données de santé ; en matière pénale ; numéros d’identification personnels ; relatives aux relations de travail ; d’un consommateur (vente de répertoire) ; par les agences de crédit (scoring). Restrictions relatives aux droits de la personne concernée : exigence de notification d’une violation des données personnelles. |
Espagne | Ley Orgánica de Protección de Datos de Carácter Personal, (LOPD), 10/11/2017 | 13 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : des personnes décédées ; obligation de confidentialité ; directement collectées auprès de la personne concernée ; protégées par la loi ; sensibles ; de contact et des entrepreneurs individuels ; aux fins de vidéosurveillance ; des systèmes d’information de crédit ; dans le cadre de la publicité et de la prospection commerciale ; en matière pénale ; dans le cadre des hotlines pour les lanceurs d’alerte. Restrictions relatives aux droits de la personne concernée : droit de suppression et blocage des données. |
Estonie | |||
Finlande | |||
France | Loi relative à la protection des données personnelles, 14/05/2018 | 15 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ; à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques ; numéro d’identification national ; génétiques ; biométriques ; prise de décision automatisée. Restrictions relatives aux droits de la personne concernée : dans des cas particuliers. |
Grèce | |||
Hongrie | |||
Irlande | Data Protection Act 2018, 24/05/2018 | 16 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : des enfants ; à des fins de travail et de protection sociale ; à des fins de conseil juridique et de procédure judiciaire ; en matière pénale ; à des fins de journalisme ou d’expression académique, littéraire ou artistique ; à des fins de recherche scientifique ou historique, ou à des fins statistiques. Restrictions relatives aux droits de la personne concernée : droit d’opposition. |
Italie | |||
Lettonie | |||
Lituanie | |||
Luxembourg | |||
Malte | |||
Pays-Bas | Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Uitvoeringswet Algemene verordening gegevensbescherming), 13/03/2018 | 16 ans | Utilisation limitée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : des enfants ; de santé, génétiques, biométriques ; à des fins de recherche scientifique ou historique ou à des fins statistiques ; montrant l’origine raciale ou ethnique ; montrant des opinions politiques pour l’accomplissement des fonctions publiques ; faisant état de convictions religieuses ou philosophiques; en matière pénale ; prise de décision individuelle automatisée ; à des fins journalistiques ou d’expression académique, artistique ou littéraire ; à des fins scientifiques et de statistiques ; numéro d’identification national. Restrictions relatives aux droits de la personne concernée : pour la protection des intérêts étatiques importants |
Pologne | Ustawa o ochronie danych osobowych, 10/05/2018 | 13 ans | Utilisation limitée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : dans le cadre de la relation de travail ; aux fins de vidéosurveillance ; à des fins journalistiques, littéraires ou académiques ; dans le cadre des services bancaires et des services de paiement. Restrictions relatives aux droits de la personne concernée : lorsque le responsable du traitement est une PME. |
Portugal | |||
République tchèque | |||
Roumanie | Lege pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, 22/05/2018
Loi sur la création, l’organisation et le fonctionnement de l’Autorité de contrôle roumaine, n’intégrant pas les autres dispositions du RGPD. |
||
Royaume-Uni (Sortie de l’UE le 29/03/2019) | Data Protection Act 2018 (DPA 2018), 23/05/2018 | 13 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : sensibles ; en matière pénale ; obligation de confidentialité ; à des fins d’archivage, de recherche scientifique, historique ou statistique ; par les agences d’évaluation de crédit ; prise de décision automatisée autorisée par la loi. Restrictions relatives aux droits de la personne concernée : dans des cas particuliers. |
Slovaquie | Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, (18/2018 Z. z.), 29/11/2017 | 16 ans | Utilisation limitée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : sensibles ; en matière pénale ; obligation de confidentialité. Restrictions relatives aux droits de la personne concernée : pour assurer la politique publique étatique et la mobilisation économique. |
Slovénie | |||
Suède | Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, 19/04/2018 | 13 ans | Utilisation modérée des clauses d’ouverture du RGPD.
Régimes spécifiques pour le traitement des données : à des fins journalistiques ou de création académique, artistique ou littéraire ; sensibles dans le cadre du travail, de la sécurité sociale et de la protection sociale; à des fins archivistiques d’intérêt public ; à des fins statistiques ; numéro d’identification national. Restrictions relatives aux droits de la personne concernée : droit d’information ; droit d’accès. |
[1] Considérant 10 RGPD.
[2] Considérant 8 RGPD.
[3] Sécurité nationale ; défense nationale ; sécurité publique, prévention et détection d’infractions pénales ; d’autres objectifs importants d’intérêt public général d’un État-Membre ; protection de l’indépendance de la justice et des procédures judiciaires ; prévention et détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ; mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique dans les cas visés ; protection de la personne concernée ou des droits et libertés d’autrui ; exécution des demandes de droit civil
[4] Liberté d’expression et d’information ; droit d’accès du public aux documents officiels ; traitement du numéro national d’identification ; cadre des relations de travail ; traitement à des fins de recherche scientifique ou historique, ou à des fins statistiques ; traitement à des fins archivistiques dans l’intérêt du public ; respect du secret professionnel ; églises, associations et communautés religieuses.
[5] L’art. 4, 25) du RGPD renvoie à la définition de l’art. 1er, § 1 b) de la Directive (UE) 2015/1535 du Parlement européen et du Conseil du 09/09/2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information :
« service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services.
Aux fins de la présente définition, on entend par :
- « à distance », un service fourni sans que les parties soient simultanément présentes ;
- « par voie électronique », un service envoyé à l’origine et reçu à destination au moyen d’équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qui est entièrement transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par d’autres moyens électromagnétiques ;
- « à la demande individuelle d’un destinataire de services », un service fourni par transmission de données sur demande individuelle..