Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (ci-après RGPD) l’Union européenne renforce sa politique de protection des données à caractère personnel des citoyens européens. Applicable depuis le 25 mai 2018, le RGPD accorde une série de droits aux Européens en vue d’accroître la protection de leurs données personnelles, tout en imposant des nouvelles obligations aux organismes publics et privés qui traitent les données personnelles.
Le RGPD s’inscrit dans la continuité de la directive européenne de 1995 et renforce le contrôle par les citoyens de l’utilisation de leurs données personnelles. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels et en leur permettant de développer leurs activités numériques au sein de l’UE.
Afin d’éviter tout handicap concurrentiel des entreprises européennes liés aux restrictions règlementaires, les mêmes obligations sont imposées aux entreprises établies hors de l’UE, dès lors qu’elles proposent des produits ou services aux résidents européens. De sorte que le RGPD s’applique à tout organisme public ou privé qui traite des données personnelles pour son compte ou non, dès lors que les données concernent des résidents européens.
Les études d’huissier collectent une masse importante de données à caractère personnel, par conséquent chaque étude devra se conformer au RGPD, sous peine de lourde sanction pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel total de l’exercice précédent.
Ce nouveau cadre juridique maintient les anciens droits concernant les données personnelles comme le droit d’être informé, le droit d’opposition, le droit d’accès ou encore le droit de rectification et de suppression, tout en en ajoutant de nouveaux comme le droit de restreindre les traitements, le droit de s’opposer au profilage, le droit à la portabilité ou encore le droit à l’oubli.
Quel type de donnée est concerné par le RGPD ?
Ce nouveau règlement a un large champ d’application car est considérée comme donnée personnelle, toute information se rapportant à une personne physique identifiée ou identifiable. Ainsi, une donnée peut permettre une identification directe avec le nom et prénom de la personne, ou indirecte avec un identifiant, numéro de téléphone, des éléments propres à son identité physique, génétique, psychique etc. De plus l’identification peut se faire à partir d’une seule donnée comme, par exemple, un numéro de sécurité sociale ou un ADN, ou bien à partir du croisement d’un ensemble de données. Ainsi, les organismes qui collectent ce type de données sont bel et bien concernés par le RGPD.
Quel type de traitement est concerné par le RGPD ?
Le règlement considère qu’un traitement de données personnelles est une opération portant sur ces données personnelles. Cette opération peut consister en une collecte, un enregistrement, une conservation, une extraction, une communication, une modification etc. En résumé, quel que soit le type de procédé utilisé, il est pratiquement toujours concerné par le RGPD. En outre, le traitement de données n’est pas nécessairement informatisé, ainsi les fichiers papier sont également concernés par le règlement.
A contrario, posséder un fichier ne contenant que les coordonnées d’une entreprise comme son adresse postale, son numéro de téléphone ou un email n’est pas un traitement de données personnelles.
Le RGPD pose le principe de minimisation des données et l’obligation de tenir à jour la liste des fichiers. Cela signifie que les données collectées doivent être pertinentes par rapport à l’objectif pour lequel elles sont collectées. Par conséquent, à chaque traitement de données doit être assigné un but spécifique qui doit être légal et légitime au regard de l’activité professionnelle.
Pour les études d’huissier, seront pertinentes les informations telles que le nom et prénom, l’adresse, les coordonnées bancaires etc.
Lorsque le débiteur n’a pas donné son accord au traitement, le traitement est néanmoins licite notamment s’il repose sur les fondements suivants : (1)
Article 6.1.b) RGPD : Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande celle-ci (ex : recouvrement de créances suite à une inexécution d’une obligation de payer du débiteur dans le cadre d’un contrat conclu avec le donneur d’ordre) ;
Article 6.1.e) RGPD : Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
L’Huissier de Justice, en tant que dépositaire d’une parcelle d’autorité publique, a en effet la capacité d’imposer aux justiciables contre leurs volontés ses actes et diligences, tant dans l’exécution forcée que dans la transmission de l’information judiciaire.
(1)Extrait du Guide de conformité au RGPD des Etudes d’Huissier de Justice
Les mesures à prendre pour être en conformité
En principe, les manquements aux obligations imposées par le RGPD peuvent être sanctionnés dès le 25 mai 2018. En pratique, les sanctions ne devraient pas être pour tout de suite, le RGPD nécessitant des éclaircissements sur certains points ainsi qu’une révision des lois nationales.
Néanmoins, il est important pour chaque organisme collectant des données de démontrer la bonne foi et les procédés mis en œuvre pour se conformer au RGPD.
Ainsi, il est recommandé par la CNIL d’effectuer un recensement des fichiers comportant des données personnelles. Pour cela, il convient d’identifier les activités principales qui nécessitent la collecte et le traitement de données. Une fois identifiées, il est nécessaire de les inscrire dans un registre qui permet de connaître rapidement les différents traitements, les catégories de données, les objectifs poursuivis, les acteurs qui traitent les données ainsi que les flux des données en indiquant leur origine et leur destination.
Par la suite, il sera nécessaire d’effectuer un contrôle de la gestion des données. Pour cela il conviendra de vérifier que les données stockées sont nécessaires à l’activité, de vérifier si les personnes qui ont accès à ces données sont biens habilitées ou encore si les données ne sont pas conservées au-delà du délai autorisé.
Obligation d’information accrue lors de la collecte
Le RGPD accroît l’obligation d’information et de transparence à l’égard des personnes dont sont traitées les données. Ainsi, lors de la collecte, un client ou un justiciable doit être informé sur la finalité de cette collecte de données, sur le fondement juridique qui l'autorise, sur les personnes qui auront accès aux données pendant le temps de conservation ou encore sur les modalités d’exercice des droits.
Le RGPD impose également une obligation d’informer la CNIL en cas de violation de données dans les 72 heures. Cette notification à la CNIL peut être effectuée via le site web de la CNIL. Dorénavant chaque responsable de traitement devra respecter le principe d’''accountability'': pour cela chaque étude d’huissier devra prendre des mesures techniques et organisationnelles appropriées afin de s’assurer que le traitement des données est conforme au RGPD.
Pour être conforme à la réglementation, il est donc conseillé de mettre en place des règles internes visant à promouvoir la bonne gestion des données et de conserver une trace documentaire de tout traitement effectué.
En cas de manquement aux obligations du RGPD les sanctions sont très lourdes, allant jusqu’à 20 millions d’euros ou 4% du chiffre annuel mondial.
Consécration de nouveaux droits des personnes
Le RGPD consacre une série de nouveaux droits aux personnes dont les données sont collectées.
Avec l’entrée en vigueur du RGPD, chaque personne pourra, sous certaines conditions, invoquer le droit à l’oubli, ce qui obligera le responsable du traitement d’effacer les données dans les meilleurs délais. Il existe des cas où ce droit à l’effacement sera refusé, notamment si la conservation des données se fait à des fins archivistiques dans l’intérêt public ou encore lorsque la conservation sera nécessaire à l’exercice des droits en justice.
Chaque personne peut également invoquer le droit à la limitation du traitement ou encore le droit à la portabilité des données. Ce dernier droit donne la possibilité à son demandeur de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine.
Le RGPD implique un renforcement des obligations pour tous les organismes, qui s’accompagne d’un rehaussement des sanctions applicables en la matière ainsi que d’une meilleure compréhension pour les personnes des droits dont elles disposent concernant leurs données personnelles.