Le R.G.P.D.

Qu’est-ce que le RGPD ?

 

Rgpd2

 

Le règlement général sur la protection des données (RGPD) aussi connu sous le nom anglais de «General data protection regulation» ou GDPR, est un règlement européen qui a redéfini le périmètre de la protection des données à caractère personnel. Ce règlement est entré en vigueur dans l’Union européenne le 25 mai 2018, il s’est traduit, pour la France, par une modification de la loi «informatique et libertés». Cette loi était déjà applicable en NC, sa nouvelle version a donc été étendue à la NC, par l’Etat, avec une entrée en vigueur au 1er juin 2019.

Une Donnée à caractère personnel  est une donnée, quel que soit le support utilisé, qui permet d’identifier directement ou indirectement une personne physique (nom, matricule, photo, badge, téléphone, etc....) de connaitre d’une personne :-Ses origines raciales ou ethniques-Ses opinions politiques, philosophiques, religieuses- L’appartenance syndicale-Ses données de santé, génétiques, biométriques

POURQUOI UNE REFORME DE LA PROTECTION DES DONNEES ?

Quatre objectifs sont officiellement avancés :

-Renforcer les droits des personnes (notamment droit à la portabilité et droits des mineurs)-

-Responsabiliser les acteurs traitant des données (responsables de traitement et sous traitants)--Crédibiliser la régulation (coopération entre autorités de contrôle et renforcement des sanctions)-

-Disposer d’un cadre juridique unifié pour tous les citoyens européens face au développement très important du numérique dans tous les secteurs de la vie professionnelle et privée-Apparition d’acteurs très puissants (GAFAM) non européens-Prise de conscience de la valeur patrimoniale et stratégique de la donnée personnelle-Abus et scandales médiatisés, révélant des failles dans la protection des données personnelles (Panama papers, wikileaks, Cambridge analytica,

La portée du nouveau cadre juridique

Une responsabilisation accrue du responsable de traitement et du sous traitant.

•Des droits conservés et maintenus et des droits renforcés et étendus.

•Des acteurs et outils rénovés, de nouvelles obligations

Un contrôle de la collecte et le traitement des données à caractère personnel dans l’objectif :

  • d’adapter le cadre juridique aux évolutions technologiques ;
  • de renforcer le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant, et
  • de développer les activités numériques des professionnels en se fondant sur la confiance des utilisateurs.

L’Application du RGPD en Nouvelle Calédonie a été effective le 1er juin 2019,

Si le 25 mai 2018, le RGPD est entré en application dans tous les Etats membres de l’Union européenne. Il est venu en France renforcer les dispositions de la loi dite « informatique et libertés » de 1978 (applicable en Nouvelle-Calédonie depuis 2004) dont l’objectif est de protéger les données personnelles.

Les règles en vigueur en Métropole en vertu du RGPD ont été étendues à la Nouvelle-Calédonie par l’ordonnance n°2018-1125 du 12 décembre 2018.

De nombreuses formalités auprès de la Cnil disparaissent et la responsabilité des entités (publiques, privées, associations, etc.) est renforcée. Par conséquent, ces dernières doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

L’  Appropriation progressive du sujet par les institutions, le monde économique et la société civile est en cours

- Dans le secteur public : nomination des DPO ( data protection officer)  en cours, actions de formation lancées, début du travail de mise en conformité.

-Dans le secteur privé : actions de sensibilisation à l’initiative des chambres consulaires, des fédérations professionnelles. Apparitions de prestataires spécialisés dans la mise en conformité, une vigilance toutefois sur la réalité de certaines compétences mises en avant

Le RGDP est une évolution par une révolution.

 Plus d’informations, sur le site du conseil économique social et environnemental  de la Nouvelle-Calédonie https://cese.nc/sites/default/files/documents/presentation_rgpd_au_cese_2_1.pdf

Synuhése réalisée par Michel Hanocque le 6 Juin 2020

 

Rgpd

 

Comment s’applique le RGPD en outre-mer ?

Par Claudia Weber et Arthur Poirier, Avocats. au village de la justice (https://www.village-justice.com/articles/comment-applique-rgpd-outre-mer,31849.html)

 

Le texte doit "permettre l’application de règles homogènes sur le territoire métropolitain et dans l’ensemble des collectivités d’outre-mer en matière de protection des données personnelles".

L’article 1 de l’ordonnance n° 2018-1125 du 12 décembre 2018 soumet par extension  les COM ainsi que la Nouvelle-Calédonie à la loi Informatique & Libertés 4 :

"La présente loi est applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises" (article 125 de la loi Informatique & Libertés 4 ) qui rejoignent ainsi le régime déjà applicable à Saint-Barthélemy et Saint-Pierre-et-Miquelon, consacrant ainsi une certaine homogénéité dans ces territoires.

Il est à noter toutefois que l’ordonnance prévoit que la référence au RGPD sera remplacée par la référence "aux règles en vigueur en métropole en vertu" du RGPD (article 126 de la loi Informatique & Libertés 4). Or, bon nombre de "règles en vigueur en métropole en vertu" du RGPD n’ont aucune substance sans le renvoi exprès qu’elles opèrent aux articles du RGPD.

Il en est ainsi, à titre d’exemple, de la contractualisation du responsable de traitement avec le sous-traitant :

"Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l’article 28 du règlement" [17].

Aussi, convient-il d’interpréter ce changement de "référence" à la lumière du Rapport au Président de la République précité, relatif à l’ordonnance n°2018-1125 dont un des objectifs est d’articuler les dispositions de la loi française et celles du RGPD, notamment outre-mer :

"La présente ordonnance contient un chapitre Ier qui réécrit la loi du 6 janvier 1978 précitée afin de simplifier la mise en œuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel. Elle assure en outre l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’Etat."

Ce remplacement doit donc être interprété comme un moyen pour le législateur français d’appliquer indirectement les règles nouvelles du RGPD, par le biais de la loi nationale, dans les COM et en Nouvelle-Calédonie.

III) Transferts de données vers les COM et la Nouvelle-Calédonie : transferts en dehors de l’UE ?

Les DROM, directement tenus d’appliquer le droit dérivé de l’Union européenne en tant que "région ultrapériphérique" de l’UE, peuvent recevoir les données personnelles d’un responsable de traitement soumis au RGPD sans que ce dernier n’ait à mettre en place les conditions imposées par l’article 46 du règlement en cas de flux transfrontières hors UE (BCR – Binding corporate rules, clauses contractuelles types, certifications, etc.).

A l’inverse, le statut de "pays et territoires d’outre-mer" (PTOM) des COM et de la Nouvelle-Calédonie les exclut de l’application des directives et des règlements européens et donc du champ d’application territorial du RGPD. Ils sont, de ce fait, considérés comme des territoires "tiers" à l’UE.

Par application des articles 45 à 47 du RGPD qui encadrent les transferts de données hors de l’UE, la question de la mise en place des conditions de l’article 46 (BCR, clauses contractuelles types, certifications) du RGPD peut donc être légitimement posée.

Il convient toutefois de signaler que, selon une infographie de la CNIL, la Polynésie française et les Terres australes et antarctique françaises sont – en dépit de leur statut de PTOM – identifiées comme "pays membre de l’UE ou de l’EEE" appliquant la loi Informatique & Libertés. Un raisonnement par analogie avec le reste des COM et la Nouvelle-Calédonie laisserait à penser que ces territoires pourraient perdre leur qualité de "tiers" une fois la loi Informatique & Libertés 4 entrée en vigueur, permettant ainsi des transferts de données sans nécessaire mise en place des conditions prévues par l’article 46 du RGPD.

Néanmoins une telle analogie ne saurait être permise en l’absence, pour l’heure, de décision d’adéquation par la Commission européenne au profit de ces collectivités, telle que prévue par l’article 45 du RGPD.

Si le caractère adéquat du niveau de protection des données personnelles dans tous ces territoires ne devrait pas faire de doute du fait de leur application de la loi Informatique & libertés française, l’absence à ce jour de décision d’adéquation de la Commission européenne crée une incertitude juridique.

Claudia Weber et Arthur Poirier (Juin 2019)