La société connaît une transformation numérique et digitale qui impacte considérablement la protection des données personnelles. Face aux risques que comporte une telle réalité, la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 a été la première étape vers une réglementation protégeant ces données. Aujourd’hui, cette loi n’est plus suffisante, une coopération supranationale est indispensable pour garantir une protection effective. C’est en ce sens que le règlement général relatif à la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018 a été adopté. L’objectif était d’aller plus loin : étendre les obligations des responsables de traitements, renforcer les droits des utilisateurs et uniformiser le droit des États membres de l’Union européenne.
Ce règlement réaffirme les principes essentiels de la protection de la vie privée (l’expression du consentement, le droit à l’oubli, le droit d’opposition etc.) et vise à responsabiliser tous les acteurs impliqués dans le traitement des données personnelles. Les sous-traitants sont eux aussi fortement concernés, ils doivent veiller au respect des dispositions du règlement. Le responsable du traitement et le sous-traitant peuvent faire l’objet de sanctions financières en cas de méconnaissance de leurs obligations. Le texte impose des mécanismes contraignants : la tenue d’un registre des traitements, la mise en place d’un délégué à la protection des données, la notification des violations de données personnelles à la CNIL et à la personne concernée, l’analyse d’impact et l’accountability. La finalité du règlement est de parvenir à des traitements de données sécurisés et transparents.
Malgré ces obligations, un manquement est toujours possible.
Que peut faire la victime ? Contre qui peut-elle agir ?
Rappelons que l’article 82 du RGPD prévoit une réparation effective[1] pour « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement [et qui aura] le droit d’obtenir du responsable du traitement ou du sous-traitant la réparation du préjudice subi »[2]. Sur ce point, le règlement apporte quelques précisions et ajoute que toute personne peut se prévaloir d’un dommage « lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation (…) lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle …»[3]. Ainsi, les données de santé sont des données dites sensibles solidement protégées par le texte.
Cependant, l’article 43 ter de la loi informatique et liberté ne prévoyait pas de réparation financière du dommage mais « exclusivement la cessation du manquement »[4]. Or, cette réparation n’était pas satisfaisante pour les victimes. Le 23 janvier 2018, un amendement[5] modifiant cet article a été présenté en Assemblée nationale (un examen des amendements est prévu le 6 février prochain) et permet désormais à toute personne ayant subi un dommage d’exercer une action pour faire cesser le manquement ou pour obtenir des dommages et intérêts[6]. Cette première révision s’inscrit dans la lignée de la loi allemande qui a transposé le règlement le 27 Avril 2017 et permet à toute personne d’obtenir une compensation financière en cas de violation du règlement[7]. Par ailleurs, cet amendement à la loi Informatique et Libertés introduit la possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fins de réparation du dommage subi.
Pour rappel, l’action de groupe est une procédure de poursuite collective qui permet à des consommateurs victimes d’un même préjudice de la part d’un professionnel de se regrouper et d’agir en justice[8]. La loi de modernisation de notre système de santé du 26 janvier 2016 avait ouvert cette action au domaine de la santé. Toutefois, seules deux causes de préjudices pouvaient autoriser une action de groupe[9]. Cet amendement élargit la procédure d’action de groupe au domaine de la protection des données de santé.
Cette révision n’est pas sans conséquence pour les responsables du traitement. Cette action va ouvrir la voie d’un important contentieux qui aura des répercussions tant financières que médiatiques. Rappelons que le 28 septembre 2016, jour même de l’entrée en vigueur de l’action de groupe en santé, l’action contre le laboratoire Sanofi par l’association des victimes de la Dépakine était lancée. Il conviendra d’appréhender et d’anticiper ce nouveau risque. Dans 4 mois tous les acteurs devront être en conformité. La mission est conséquente mais nécessaire. Il est urgent que tout le monde réagisse en mettant en place des procédures internes spécifiques. Cette mise en conformité aura deux finalités : se prémunir contre un manquement susceptible d’engager la responsabilité de son auteur et garantir l’accountability auprès de la CNIL.
Dossier législatif : Protection des données personnelles
[1] Article 82 du RGPD al 4
[2] Article 82 du RGPD al 1
[3] Considérant 75 du Règlement général relatif à la protection des données
[4] Article 43 ter III. créé par la loi n°2016-1547 du 18 novembre 2016 et inséré dans la loi Informatique et Libertés du 6 janvier 1978
[5] amendement sur la protection des données personnelles
6 Amendement N°CL262 du 23 janvier 2018
[7]Article 83 du Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG) du 27 Avril 2017
[8] Loi n°2014-344 du 17 mars 2014
[9]Article L. 1143-2 du Code de la santé publique « un manquement d’un producteur ou d’un fournisseur de l’un des produits mentionnés au II de l’article L. 5311-1 ou d’un prestataire utilisant l’un de ces produits à leurs obligations légales ou contractuelles »