GDPR et traitements de données par les autorités publiques : un fameux défi à relever

Publié le par - 4170 vues

Le nouveau Règlement européen sur la protection des données (GDPR) introduit un grand nombre d’obligations directes à charge de toute entité publique qui envisage de traiter des données personnelles. Le secteur public va donc devoir relever le défi que constitue la mise en conformité des traitements en cours et futurs au Règlement général sur la protection des données. Nous avons retenu ci-après quelques une des plus significatives.

 

Fondement juridique du traitement

Tout traitement de données doit disposer d’un fondement juridique pour garantir sa licéité. La directive 95/46 prévoyait six hypothèses pouvant justifier le traitement : le consentement de la personne concernée, la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde d’intérêts vitaux, l’exécution d’une mission d’intérêt public ou les intérêts légitimes du responsable du traitement.

Ces différentes hypothèses ont été reprises et parfois précisées par le GDPR (pour plus d’informations sur la licéité du traitement), avec une première précision à l’attention des autorités publiques dans l’exercice de leur mission en interdisant aux autorités publiques d’invoquer l’intérêt légitime comme fondement juridique de leur traitement (art. 6, §1er, f). Le considérant 47 justifie l’interdiction par un retour strict au principe de légalité qui s’impose à toute action de telles autorités : dès lors qu’il appartient au législateur de prévoir par la loi la base juridique pour de tels traitements, les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier ceux-ci.

Mais le Règlement va plus loin en réaffirmant ce même principe de légalité concernant les traitements de données. Dès lors que le traitement poursuivi dans le secteur public aura pour base juridique la nécessité de respecter une obligation légale (art. 6, § 1er, c) ou la nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6, § 1er, e), ces causes de légitimation devront trouver une base spécifique dans le droit de l’Union ou dans le droit de l’État membre (art. 6,§3). Les finalités du traitement devront alors être définies par la loi s’il s’agit pour le traitement de respecter une base légale et, à tout le moins, être nécessaires à l’exécution de la mission en cause.

Le législateur compétent peut également adapter l’application des règles du Règlement à des tels traitements, par exemple, celles relatives aux conditions générales régissant la licéité du traitement, aux types de données qui font l’objet du traitement, aux destinataires et finalités de communication des données, aux durées de conservation, etc. Il peut même aller plus loin en prenant d’autres mesures que celles prévues dans le Règlement en vue de garantir un traitement licite et loyal (art. 6, §2).

Cette nouvelle exigence du GDPR impliquera certes pour les pouvoirs publics un travail de recensement afin de vérifier que tous leurs traitements disposent bien d’une base juridique en droit interne ou européen. Elle confirme et encourage l’adoption de législations spécifiques aux traitements poursuivis dans le secteur public, en vue de renforcer encore la protection des citoyens au regard de traitements qui leur sont imposés d’autorité.

Obligation de désigner un délégué à la protection des données

La directive 95/46 autorisait les États membres à mettre en place un système prévoyant pour les responsables du traitement la désignation d’un détaché à la protection. Ce délégué – employé ou non du responsable – devait s’assurer que les traitements effectués ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

Toutefois, l’idée d’instituer un préposé à la protection des données n’a jamais rencontré beaucoup d’écho en Belgique, contrairement à ce qui s’est passé en France.

Avec l’entrée en vigueur du GDPR, la désignation d’un délégué à la protection des données sera obligatoire dans trois hypothèses :

·         lorsque les activités de traitement exigent un suivi régulier et systématique des personnes concernées,

·         lorsque des données sensibles sont traitées à grande échelle

·         et enfin … lorsque le traitement est effectué par une autorité ou un organisme public -à titre de responsable ou de sous-traitant- à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (Art. 37).

Partant tout traitement poursuivi par les autorités publiques donnera lieu à la désignation d’un préposé à la protection des données qui devra disposer de connaissances spécialisées de la législation et des pratiques en matière de protection des données afin d’accomplir les tâches qui lui sont confiées : informer et conseiller les personnes qui effectuent le traitement, contrôler de la conformité du traitement aux règles de la protection des données, coopérer avec l’autorité de contrôle, etc.

On notera encore qu’un seul délégué à la protection des données peut être désigné pour plusieurs organismes publics, compte tenu de leur structure organisationnelle et de leur taille (Art. 37, §3).

Rappelons enfin que le délégué peut être un membre du personnel du responsable -statutaire ou contractuel- mais aussi exercer ses missions sur la base d’un contrat de service (avocat, consultant, etc.) (Art. 37, §6).

Analyse d’impact relative à la protection des données

L’analyse d’impact constitue l’un des mécanismes mis en place par le GDPR pour identifier les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées.

L’analyse a pour objet d’évaluer la probabilité et la gravité du risque afin de déterminer les mesures appropriées à la mise en conformité du traitement aux règles de protection des données à caractère personnel.

Celle-ci peut prendre forme à travers différentes mesures telles qu’une analyse de la nécessité et de la proportionnalité des activités de traitement, une évaluation du risque pour les personnes concernées, etc.

Le GDPR énumère une liste non exhaustive de cas où l’analyse préalable est obligatoire. Même si les autorités publiques ne sont pas spécifiquement visées, ces hypothèses sont d’évidence susceptibles de concerner des traitements mis en œuvre par celles-ci :

·         D’abord, l’analyse est obligatoire en cas de profilage des personnes concernées afin de prendre des décisions produisant des effets juridiques les concernant ou les affectant gravement. Une analyse préalable serait par exemple indispensable si les autorités publiques décidaient de procéder à l’analyse des données de consommation des résidents de manière à identifier les assurés sociaux dont le profil s’écarte du profil moyen afin de lutter contre les domiciliations fictives dans un but de fraude sociale.

·         Une analyse d’impact sera également exigée en cas traitement à large échelle de données sensibles ou de données se rapportant condamnations ou des infractions pénales. On songe notamment aux nombreux échanges de données à caractère personnel relatives à la santé via une plateforme dédiée, comme eHealth en Belgique ou ameli en France.

·         Enfin, tout traitement ayant pour finalité la surveillance systématique à grande échelle de zones accessibles au public devra donner lieu à une analyse d’impact préalable.

Le GDPR dispense toutefois les autorités publiques d’effectuer une nouvelle analyse d’impact à condition que la base juridique de leur traitement règlemente les opérations du traitement en cause et qu’une analyse d’impact générale a déjà été réalisée lors de l’adoption de la base juridique en question, à moins que l’État membre estime nécessaire une telle analyse avant les activités de traitement (art. 35, §10).

Rappelons que le GDPR n’est pas applicable aux traitements mis en œuvre par les autorités publiques à des fins de prévention et de détection des infractions pénales (cfr. le considérant 19).

Ces traitements sont encadrés par la directive 2016/680 du 27 avril 2016 dite « justice et police » qui harmonise les règles de protection des données personnelles en cas de traitement par les autorités à des fins de prévention et de détection des infractions pénales. Les États membres disposent d’un délai de transposition jusqu’au 6 mai 2018 au plus tard.

Quid des amendes administratives ? (art. 83)

Le GDPR investit les autorités de contrôle nationales du pouvoir de prononcer des amendes administratives en cas de violation des règles de protection des données, selon un système graduel de sanction en fonction de la gravité de l’infraction.

Toutefois, il appartient à chaque État membre de déterminer si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et les organismes publics établis sur son territoire (art. art. 83, §7).

Il conviendra donc d’être particulièrement attentif aux options prises dans chaque État membre, le GDPR n’étant pas arrivé à une harmonisation sur ce point.

Plus d’infos ?

En consultant l’outil d’analyse du GDPR, mis gratuitement à disposition par le cabinet d’avocats Ulys.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK