1

Assurer le respect de la vie privée et la maîtrise des données

< Rapport d'information de la commission des affaires européennes >

En premier lieu, le règlement consacre son troisième chapitre aux droits des personnes concernées par le traitement des données personnelles, soit toute personne physique identifiée ou identifiable par le biais de ce traitement. Sont ainsi renforcés des droits préexistants, tels que le droit à la transparence des informations et des communications relatives au traitement des données à caractère personnel, l’accès à ces mêmes données auprès du responsable de traitement, mais aussi le droit à la limitation du traitement en cas d’inexactitude des données ou de traitement illicite, entre autres.

Toutefois, votre rapporteure souhaite souligner deux types de droit représentatifs de l’esprit dans lequel le RGPD a été négocié. Le premier, inscrit à l’article 17, relève du droit à l’effacement ou du « droit à l’oubli ». Ce droit se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée. Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire de 2014 (18), l’article 17 du règlement met en place une double obligation pour les responsables du traitement et les sous-traitants : il doit effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen lui demande de supprimer (19) mais aussi, compte tenu de ses capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le droit à la portabilité des données, quant à lui, garantit aux personnes concernées la possibilité de recevoir des données à caractère personnelles les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. Ces personnes ont le droit de transmettre ces données à un autre responsable du traitement sans que celui auquel les données à caractère personnel ont été communiquées y fasse obstacle, dès lors que ce traitement est automatisé et fondé sur le consentement, tel que défini par le RGPD (20).

Ces deux droits spécifiques au traitement automatisé des données en ligne assurent un meilleur contrôle aux citoyens de leurs données, de leur fourniture auprès d’un responsable de traitement, à leur suppression. Cela est d’autant plus vrai qu’ils ne font pas l’objet de marges de manœuvre nationales et tous les citoyens de l’Union en bénéficient de la même manière.

Ces nouveaux droits, fondamentaux pour la mise en pratique d’un cadre de vie privée mais aussi pour l’ouverture possible d’une concurrence entre les offres de services, ne pourront être mis efficacement en œuvre que si des techniques de traçabilité des données et des standards de formats de données voient rapidement le jour. Par ailleurs, ces droits connaissent des limitations. Il s’agit d’une part du droit à l’information, pour le « droit à l’oubli » et d’autre part du droit de la propriété intellectuelle pour la portabilité des données. À noter que dans sa mise en œuvre actuelle, le « droit à l’oubli » repose essentiellement sur l’interprétation qu’en font les plateformes elles-mêmes et qu’il serait souhaitable que les autorités de contrôle exercent davantage leur droit de régulation.

Le règlement instaure également une protection spécifique pour les enfants, déterminée à l’article 8 et examinée ci-après.

< Rapport d'information de la commission des affaires européennes >