Articles

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite