Les grands principes de la protection des données à caractère personnel

Les grands principes de la protection des données à caractère personnel

  • l'obligation d'information donnée aux clients du traitement de leurs données à caractère personnel (c'est-à-dire de toute opération portant sur ces données, leur collecte, leur conservation, leur transmission…) ;
  • et le respect de l'obligation de sécurité et de confidentialité.
– L'évolution de la protection des données à caractère personnel. – Premier concerné par la collecte d'informations « sensibles » JCP N 26 oct. 2018, no 43-44, 1326. , le notariat s'est adapté à l'évolution de la législation relative à la protection des données à caractère personnel : d'abord avec la loi relative à l'informatique, aux fichiers et aux libertés L. no 78-17, 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés : JO 7 janv. 1978, no 1978-01-07 (version initiale : www.legifrance.gouv.fr/jorf/id/JORFTEXT000000886460">Lien ; version consolidée : www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2019-06-01/">Lien). modifiée notamment en 2004 par la loi pour la confiance dans l'économie numérique L. no 2004-575, 21 juin 2004, pour la confiance dans l'économie numérique : JO 22 juin 2004, no 143 (www.legifrance.gouv.fr/jorf/id/JORFTEXT000000801164">Lien). , puis en 2018 avec la loi relative à la protection des données personnelles L. no 2018-493, 20 juin 2018, relative à la protection des données personnelles : JO 21 juin 2018, no 0141 (www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952/">Lien). . Le règlement général sur la protection des données (RGPD) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (www.privacy-regulation.eu/fr/index.htm">Lien). a repris l'ensemble des principes de la loi appelée couramment « loi informatique et libertés » : finalité, exactitude, proportionnalité et pertinence, limitation des durées de conservation, sécurité et confidentialité, droits des personnes. La transposition du RGPD dans le corpus législatif français, le 25 mai 2018 JCP N 29 juin 2018, no 26, act. 579. , a permis une piqûre de rappel pour l'ensemble des notaires. Concrètement, les principales dispositions impactantes peuvent être synthétisées en deux points :
– L'apport du RGPD. – Outre la reprise des principales dispositions de la loi informatique et libertés, le RGPD a également reconnu à toute personne la possibilité de contrôler l'exploitation des informations personnelles la concernant. Cette possibilité, connue sous le nom d'empowerment, se traduit par une faculté d'agir au moyen d'actions précises :
  • le « droit à l'effacement » de l'article 17, encore appelé « droit à l'oubli » permettant le retrait des données personnelles ou l'empêchement d'accès à ces données, c'est-à-dire le « droit au déréférencement » ;
  • le « droit à la portabilité » de l'article 20, prévoyant le droit pour toute personne physique de demander les données à caractère personnel qu'elle a elle-même fournies, afin de les transmettre directement à un autre responsable de traitement, sans possibilité d'opposition du responsable du traitement initial.

Le droit à la portabilité et le notariat : les réflexes

Le droit à la portabilité ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. En effet, la mission d'intérêt public ou l'exercice d'une prérogative de puissance publique est l'une des six bases légales du traitement prévues par le RGPD. À chaque base légale répondent des conditions spécifiques et des conséquences propres.
En dehors de ces cas, quelques précautions doivent être prises lors d'une demande de portabilité :
Le doute sur l'auteur de la demande : en cas de doute sur l'auteur de la demande, le notaire responsable du traitement s'assurera de l'identité du demandeur. En s'appuyant sur les dispositions de l'article 12.6 du RGPD, il est possible de demander à la personne concernée de fournir des informations supplémentaires pour confirmer son identité.
L'impossibilité de refus de communication : si la certitude d'identité de la personne est établie, le notaire, comme tout responsable du traitement, ne peut refuser de les communiquer à la personne concernée. Cette transmission doit être faite dans un format structuré, couramment utilisé et lisible par machine, c'est-à-dire dans un format permettant leur réutilisation.
La gratuité de l'exécution de la demande : sauf demandes manifestement excessives ou infondées notamment en raison du caractère répétitif, aucune rémunération n'est due pour l'exécution de cette demande. Le règlement interdit formellement au responsable du traitement d'exiger un paiement pour fournir les données à caractère personnel.
Le délai à respecter : le délai à respecter est d'un mois, ou trois mois si la complexité l'exige, sous réserve d'en informer le client.
– Les conséquences du non-respect des obligations résultant du RGPD. – En cas de non-conformité avec les obligations prévues par le RGPD, les sanctions sont particulièrement lourdes. Il s'agit de sanctions pénales et administratives pouvant conduire au paiement d'une amende atteignant jusqu'à 4 % du chiffre d'affaires. À titre d'exemple, en 2020 la Cnil a prononcé une sanction de 50 millions d'euros contre Google Cnil, formation restreinte, délib. no SAN-2019-001, 21 janv. 2019 (www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552">Lien). – CE, 10e et 9e ch. réunies, 19 juin 2020, no 430810, Sté Google LLC (www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil">Lien). .
Au cours de la période 2018-2019, la Cnil a recensé 11 900 plaintes en France contre 144 376 au niveau européen www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedite">Lien , observant une augmentation d'environ 30 %.
En ce qui concerne le notariat, le délégué à la protection des données Cil.not Cil.not est une entreprise du groupe ADSN (« Activités et développement au service du notariat ») mandaté par le Conseil supérieur du notariat, correspondant informatique et libertés mutualisé de la profession notariale sur désignation volontaire de l'office notarial. (Adnov) Adnov (« Activités et développement au service de l'innovation »), société d'expertise technologique et numérique du notariat et des professions réglementées (rassemblant Real.not, Min.not, Cil.not, Media.not et Publi.not) est une filiale du groupe ADSN. a été saisi de quarante-trois événements sur l'année 2019 et trente-trois pour les six premiers mois de l'année 2020.