RGPD (Règlement général sur la protection des données)

Le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) est entré en application en 2018. Il est destiné à protéger les données personnelles des personnes physiques et à renforcer leurs droits en matière de confidentialité. La protection des données à caractère personnel constitue un enjeu crucial et, dès les années 1970, plusieurs États européens, dont la France, ont adopté des législations destinées à protéger ce droit fondamental. Celui-ci entretient un lien étroit avec le respect de la vie privée et est aujourd’hui consacré au sein de l’ordre juridique de l’Union européenne (UE) dans l’article 16 du Traité sur le fonctionnement de l’Union européenne (TFUE, traité de Rome modifié par le traité de Maastricht et le traité de Lisbonne) et dans l’article 8 de la Charte des droits fondamentaux de l’Union européenne. Toutefois, à l’échelon supranational, l’UE n’a pas été pionnière en matière de protection des données personnelles. C’est le Conseil de l’Europe qui a élaboré le premier texte juridique contraignant en la matière, la Convention 108 du 28 janvier 1981, modernisée en 2018 par l’adoption d’un protocole d’amendement ayant donné naissance à la Convention 108+ – ratifiée par la France en 2023.

Le premier texte adopté par le législateur de l’UE en matière de protection des données personnelles est la directive 95/46/CE du 24 octobre 1995 « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Celle-ci a été abrogée par le règlement (UE) 2016/679 du 27 avril 2016 – ou Règlement général sur la protection des données (RGPD). L’adoption du RGPD se justifie par l’intensification « des flux transfrontaliers de données à caractère personnel […] entre acteurs publics et privés […] dans l'ensemble de l'Union » (considérant 5) et par la nécessité d’adapter le contenu des normes protégeant ces données aux nouveaux enjeux liés aux évolutions technologiques (considérant 6). Ce texte a été complété par l’adoption le même jour de la directive (UE) 2016/680 (directive « Police-Justice ») qui, pour sa part, régit la protection des données personnelles des individus traitées par les autorités compétentes en matière pénale.

Le RGPD, qui doit être appliqué dans tous les États membres depuis le 25 mai 2018, est un texte relativement détaillé – il contient 173 considérants introductifs, ainsi que 99 articles eux-mêmes répartis dans 11 chapitres. Sa vocation est d’établir des règles de protection des personnes physiques à l'égard du traitement des données à caractère personnel et de concilier la protection des droits fondamentaux des individus avec la libre circulation des données personnelles au sein de l’UE. Afin de garantir son effectivité, plusieurs entités, exerçant leurs missions en toute indépendance, ont été chargées de veiller à son application effective et cohérente : d’une part les autorités nationales de contrôle – à l’image de la Commission nationale de l’informatique et des libertés (CNIL) en France –, auprès desquelles les personnes concernées peuvent introduire des réclamations et, d’autre part, le Comité européen de la protection des données, organe de l’Union remplaçant le « Groupe article 29 » qui avait été institué par la directive 95/46/CE.

Champ d’application du RGPD

Tandis que le champ d’application matériel du RGPD est similaire à celui de la directive 95/46/CE, son champ d’application territorial est bien plus étendu que celui du texte qu’il a abrogé.

Le champ d’application matériel du RGPD est défini dans son article 2, qui prévoit que les normes qu’il contient s'appliquent « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». La protection offerte par le texte est limitée aux personnes physiques et couvre un large éventail de données, dans la mesure où le RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (art. 4, 1). Ainsi, dès lors que la donnée à caractère personnel d’une personne physique est traitée, c’est-à-dire collectée, enregistrée, conservée, utilisée, modifiée ou mise à disposition, les dispositions du RGPD s’appliquent, indépendamment de la nationalité ou du lieu de résidence de la personne concernée. Cependant, certains traitements de données à caractère personnel sont exclus du champ d’application du RGPD. Il s’agit de ceux régis par la directive « Police-Justice » (directive 2016/680 du 27 avril 2016 qui concerne les données personnelles traitées « à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales… ») ou effectués dans le cadre d’activités qui ne relèvent pas du champ d’application du droit de l’Union, mais de celui des États. Sont également exclus les traitements de données mis en œuvre par les États dans le cadre d’activités relevant du champ d'application (domaine de la politique étrangère et de la sécurité commune) du chapitre 2 du titre V du traité sur l'Union européenne (TUE, traité de Maastricht modifié par le traité de Lisbonne), ceux effectués par les personnes physiques dans le cadre d'une activité strictement personnelle ou domestique et, enfin, ceux concernant des personnes décédées.

Le champ d’application territorial du RGPD est défini de manière large par son article 3, qui définit trois critères de rattachement. Ainsi, le RGPD s’applique d’abord aux activités « d’un responsable du traitement ou d’un sous-traitant [établis] sur le territoire de l’Union », même si le traitement de données a lieu en dehors de l’UE. Il s’applique ensuite – et il s’agit là d’une innovation importante – aux traitements de données personnelles relatives à des personnes se trouvant sur le territoire de l’Union lorsque l’activité de traitement est liée « à l’offre de biens ou de services » ou « au suivi du comportement de ces personnes », et ce, même si ni le responsable du traitement ni le sous-traitant ne sont établis sur le territoire de l’Union. Enfin, le RGPD s’applique au traitement de données personnelles réalisé par un responsable du traitement établi dans un lieu extérieur à l’Union « si le droit d’un État membre [s’y] applique en vertu du droit international public ».