GDPR

Déclaration de conformité aux données de l’UE

1. Aperçu de la législation européenne sur la protection des données personnelles

L’UE a promulgué le Règlement général sur la protection des données (RGPD) en 2016, qui est entré en vigueur en 2018. Le RGPD vise à protéger le droit à la vie privée et à la protection des données de toutes les personnes se trouvant sur le territoire de l’UE. Le RGPD s’applique à toutes les entreprises et organisations qui traitent des données personnelles, quel que soit leur emplacement géographique, tant que leurs activités de traitement de données impliquent les données personnelles de citoyens de l’UE.

（一）Définitions pertinentes

1. Le responsable du traitement des données est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; toutefois, les critères spécifiques doivent être définis par le droit de l’Union européenne ou de ses États membres.

2. Le sous-traitant désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Toutefois, il est parfois difficile de déterminer si une entité est un responsable du traitement ou un sous-traitant.

3. Les données personnelles désignent toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée »). Le RGPD a élargi la portée des données personnelles. Selon la définition du RGPD, les données personnelles comprennent également les empreintes digitales numériques (telles que les adresses IP et les cookies). En outre, les données génétiques ou biométriques sont incluses dans la catégorie des « données sensibles ».

4. Le RGPD mentionne explicitement que les données personnelles sensibles doivent être hautement protégées. Ces données comprennent : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé, les informations sur la vie sexuelle ou l’orientation sexuelle et les informations relatives aux casiers judiciaires. Les établissements médicaux doivent généralement satisfaire à des exigences plus strictes en matière de protection des données.

5. Contenu principal

（一）Les entreprises doivent suivre les étapes suivantes pour se conformer au RGPD :

（1）Audit des données : auditer les activités de traitement des données existantes pour s’assurer de connaître la source, la finalité et la durée de conservation des données personnelles.

（2）Mise à jour de la politique de confidentialité : mettre à jour la politique de confidentialité pour s’assurer que son contenu est conforme aux exigences du RGPD et informer clairement les utilisateurs de la manière dont leurs données sont traitées.

（3）Mise en place d’un mécanisme de conformité : mettre en place un système de gestion de la protection des données pour s’assurer que toutes les activités de traitement des données respectent les principes du RGPD.

（4）Formation du personnel : former le personnel au RGPD et aux connaissances connexes en matière de protection des données afin de sensibiliser à la conformité.

Surveillance et examen : surveiller régulièrement les activités de traitement des données pour s’assurer qu’elles restent conformes aux exigences du RGPD.

2. Quand le traitement des données personnelles est-il légal ?

Conformément à l’article 6 du RGPD, le traitement des données personnelles doit respecter les six bases juridiques suivantes :

（1）La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

（2） Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

（3）Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

（4）Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

（5）Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

（6）Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (Remarque : ceci ne s’applique pas au traitement effectué par les autorités publiques dans l’exercice de leurs fonctions)

L’obtention préalable du consentement est la condition préalable la plus importante pour qu’une entreprise puisse traiter légalement les données personnelles des citoyens de l’UE. Par exemple, face à la conformité au RGPD, Facebook devrait s’efforcer d’obtenir le consentement plutôt que de se conformer au principe de minimisation des données.

L’obtention du consentement doit être vérifiable, clairement distincte des autres éléments et révocable. Il est important de noter que le traitement des données sensibles nécessite un consentement explicite. Les consentements vagues ou « globaux » sont considérés comme invalides. Les entreprises doivent présenter aux personnes concernées des formulations faciles à comprendre, leur permettant de choisir si elles acceptent ou non que l’autre partie traite leurs données personnelles. Par conséquent, au moins en théorie, les demandes de consentement vagues, remplies de termes techniques et à long terme n’existeront plus.

De plus, le silence, les cases pré-cochées ou le manque d’activité ne constituent pas un consentement valide. Lorsqu’un utilisateur doit cocher une case ou donner son accord par téléphone, il s’agit d’un choix explicite.

Les mineurs de moins de 16 ans n’ont pas le droit de donner un consentement légal, mais les États membres de l’UE peuvent abaisser cette limite d’âge à 13 ans.

（二）Transfert transfrontalier de données personnelles

1、Transfert interne à l’UE

Dans le cas d’un transfert de données personnelles au sein de l’UE, le RGPD n’impose aucune autre exigence à l’applicabilité directe du RGPD. Toutefois, lorsqu’un responsable du traitement fait appel à un sous-traitant, la relation entre le responsable du traitement et le sous-traitant doit être régie par un accord et respecter les normes minimales prévues par le RGPD dans ces cas. L’accord entre le sous-traitant et le sous-traitant (article 28 du RGPD) précise l’objet et la durée du traitement, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement.

2. Transferts de données hors UE : étapes à suivre pour se conformer au RGPD

En ce qui concerne les transferts de données hors UE, le RGPD prévoit des situations spécifiques dans lesquelles ces transferts peuvent avoir lieu. En particulier, les organisations qui effectuent des transferts de données personnelles hors UE devront vérifier :

si la Commission européenne a pris une décision d’adéquation et, dans le cas contraire, fournir des garanties supplémentaires par le biais d’accords contractuels.

1. La Commission européenne peut publier des décisions concernant le niveau de protection des données dans les pays tiers (par exemple, le bouclier de protection de la vie privée UE-États-Unis). Ces décisions sont fondées sur une évaluation complète visant à déterminer si un pays tiers dispose de garanties juridiques de protection des données adéquates équivalentes à celles de l’UE. Une décision d’adéquation a pour effet de supprimer tout obstacle au transfert de données de l’UE (ainsi que de la Norvège, du Liechtenstein et de l’Islande) vers ce pays tiers, sans aucune autre exigence en matière de protection des données.

2. Le transfert doit être soumis à des garanties appropriées

Si un pays tiers n’est pas couvert par une décision d’adéquation, les organisations de l’UE doivent envisager l’une des alternatives suivantes :

1) Clauses contractuelles types. La Commission européenne peut également adopter des clauses contractuelles types afin de permettre aux responsables du traitement de l’UE de fournir des garanties de protection des données suffisantes lors du transfert de données personnelles à des responsables du traitement ou à des sous-traitants hors UE. Jusqu’à présent, la Commission européenne a publié deux ensembles de clauses contractuelles types : les données sont transférées d’un responsable du traitement de l’UE à un responsable du traitement hors UE ou EEE, et d’un responsable du traitement de l’UE à un sous-traitant hors UE ou EEE. Les autorités de protection des données peuvent également adopter des clauses modèles. Toutefois, ces clauses doivent être approuvées par la Commission. Enfin, les transferts transfrontaliers peuvent également être effectués sur la base de clauses contractuelles ad hoc convenues entre l’exportateur et l’importateur de données, qui doivent être approuvées par l’APD compétente.

2) Règles d’entreprise contraignantes (REC). Si des données personnelles sont transférées d’une entité d’entreprise à une autre (sans tenir compte de la région), le transfert de données sera régi par des règles d’entreprise contraignantes (REC). Les règles d’entreprise contraignantes sont des règles juridiquement contraignantes approuvées par une autorité de contrôle compétente qui régissent les transferts et le traitement des données personnelles au sein d’un groupe d’entreprises ou d’un groupe d’entreprises engagées dans une activité économique conjointe, à ses membres et à ses employés, y compris ceux situés en dehors du territoire de l’UE. L’avantage des REC par rapport aux clauses contractuelles types est qu’une fois qu’elles ont été approuvées par une autorité de protection des données, tous les futurs transferts intragroupe peuvent être effectués sans tenir compte de la région, sans aucune exigence supplémentaire.

Outre les options susmentionnées, le RGPD introduit deux instruments d’adéquation alternatifs pour les transferts de données : les mécanismes de certification approuvés et les codes de conduite approuvés. Les deux mécanismes permettent les transferts de données à condition que l’importateur de données prenne des engagements contraignants et exécutoires d’appliquer des garanties appropriées pour la protection des données.

3) Dérogations aux transferts de données

Dans un certain nombre de situations, les transferts de données personnelles peuvent être effectués en l’absence des mécanismes de transfert susmentionnés. Ces situations sont limitées et comprennent les cas où :

1. la personne concernée a donné son consentement explicite ;

2. le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat ;

3. il existe des motifs importants d’intérêt public ;

4. il est nécessaire pour la constatation, l’exercice ou la défense de droits en justice ;

5. Nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ;

6. Il s’agit de données d’enregistrement public ;

En outre, le RGPD introduit une nouvelle restriction, à savoir la dérogation, pour les transferts non répétitifs impliquant un nombre limité de personnes concernées. En l’absence d’autre base juridique, le transfert est autorisé lorsqu’il est effectué aux fins des intérêts légitimes de l’exportateur de données impératif et qu’il n’est pas supplanté par les intérêts légitimes de la personne concernée et que l’exportateur fournit des garanties suffisantes pour les données transférées. Dans ce cas, l’exportateur doit informer l’autorité de protection des données et la personne concernée des circonstances du transfert.