Application du RGPD aux entités soumises à la CPDT-JUNE (2018.2320)

L'entrée en vigueur le 25 mai 2018 du nouveau Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) a suscité quelques craintes parmi les entités soumises à la CPDT-JUNE.  Ces dernières ne sont  pas soumises à ces nouvelles dispositions de l'Union européenne, excepté si l'une des trois conditions ci-dessous est remplie.

Les seules entités susceptibles d'être concernées et identifiées à ce jour pour les Cantons du Jura et Neuchâtel, sont celles qui utiliseraient des outils de pistage et de profilage sur le web, ainsi que les entités chargées de la promotion économique, la promotion touristique, recherches/travaux transfrontaliers, ainsi que l'Université et les HES.

La Suisse ne faisant pas partie de l'Union européenne, se pose dès lors la question de l'applicabilité de règles adoptées par le Parlement européen et le Conseil de l'UE.

Pour qu'un traitement de données à caractère personnel effectué par une entité soumise à la CPDT-JUNE soit soumis au RGPD et à ses exigences, il faut que l'une de ces trois conditions soit remplie. Tel est le cas si elle :

A) Dispose d'un établissement dans l'UE. Le PPDT n'a pas connaissance d'entité répondant à cette condition pour l'accomplissement de ses tâches légales.

B) Suit le comportement de personnes se trouvant physiquement sur le territoire de l'UE par le biais d'internet. Cela comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit. Tel est le cas, notamment s’il existe une volonté claire de suivre le comportement d’individus dans l’espace européen, par exemple en utilisant des outils de profilage.

À partir de quel moment une entité soumise à la CPDT-JUNE peut-elle être considérée comme ayant cette réelle volonté de pister des ressortissants européens et être soumise au RGPD ?

Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur Internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses disposition d'esprit.

Par exemple une entité publique collecte des données relatives au comportement d'utilisateurs se trouvant sur le territoire de l'UE visitant son site Internet (par ex. adresses IP, fréquence de connexion, pages consultées, etc.). Le traitement de ces données devrait être soumis au RGPD. Est aussi soumise au RGPD une université ou une haute école offrant des cours ouverts en ligne (MOOC) qui collecte et/ou analyse des données personnelles, par exemple concernant les cours suivis ou les résultats de tests en ligne, lorsque la personne considérée se trouve sur le territoire de l'UE (Guide pratique RGPD à l'attention des institutions publiques genevoises).

Seule la future jurisprudence permettra de déterminer plus précisément le degré de volonté exigé pour être soumis pleinement au RGPD.

L'administration de pages Facebook ("Fan page"), l'utilisation des "J'aime" de Facebook ou de Google Analytics manifestent-elles automatiquement une volonté claire de suivre le comportement des internautes ?

Dans l'arrêt de la Cour de justice de l'Union européenne (CJUE) du 5 juin 2018, les juges ont décidé que "l'administrateur d'une page Facebook est conjointement responsable avec Facebook du traitement des données personnelles des visiteurs de ladite page" (François Charlet, in: francoischarlet.ch), même si l'administrateur ne traite lui-même aucune donnée personnelle (CJUE C-210/16, consid. 38). Par conséquent, les entités soumises à la CPDT-JUNE responsables de pages web (en principe accessibles par des internautes résidant sur le territoire de l'UE) et utilisant l'un des outils précités, semblent désormais concernées par le RGPD, au vu de cette co-responsabilité.

Cependant, cette dernière ne semble pas impliquer d'office une pleine soumission au RGPD, mais le devoir de respecter au moins quelques obligations. Les entités concernées doivent notamment définir, de manière transparente, avec l'autre responsable : 

• leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD, notamment en ce qui concerne l'exercice des droits de la personne concernée;

• leurs obligations respectives quant à la communication des informations;

• un éventuel point de contact pour les internautes concernées.

Les grandes lignes de l'accord doivent leur être mises à disposition (art. 26 RGPD).

En d'autres termes, les entités soumises à la CPDT-JUNE utilisant des services, tels que les pages Facebook ("Fan page"),  les "J'aime" de Facebook ou Google Analytics sont soumises pleinement au RGPD, à moins qu'un accord avec ces prestataires convienne d'autre chose. Il appartient aux entités de s'intéresser à l'évolution des conditions contractuelles de ces services, ou des options possibles, pour vérifier si l'utilisation de ces derniers conduit à la soumission ou non du RGPD.

Indépendamment de l'étendue de la soumission au RGPD, les entités semblent s'exposer surtout au risque d'être poursuivies devant un tribunal de l'UE en cas de violation du RGPD par la société conjointement responsable (Facebook, Google,...).

Par exemple, si un internaute résidant de l'UE, utilisateur de Facebook, recevait la notification que ses données ont été volées (comme le prévoit le RGPD) suite au piratage d'un certain nombre de comptes, dont celui d'une entité soumise à la CPDT-JUNE sur lequel il s'était déjà connecté, il semblerait pouvoir ouvrir une action en responsabilité contre l'entité, devant le tribunal compétent de sa résidence dans l'UE, pour obtenir la réparation du préjudice.

À relever que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (CJUE C-210/16, consid. 43).

C) Offre des biens et services à des personnes qui se trouvent sur le territoire de l'UE. A priori, les entités soumises à la CPDT-JUNE ne font généralement pas de telles offres pour l'accomplissement de leurs tâches légales. De manière non exhaustive, les seules paraissant être susceptibles de répondre à cette condition dans les cantons de Neuchâtel et Jura sont l'Université, les HES et les entités chargées de la promotion économique ou touristique qui, par l'intermédiaire de leur communication, se font connaître au sein de l'UE.

À relever qu'un service de ressources humaines publiant une offre d'emploi destinée, entre autre, à des personnes se trouvant sur le territoire de l'UE ne remplit pas cette condition. Il est admis que ce sont les employés qui offrent leurs services à l'employeur et non l'inverse.

Si une entité remplit l'une de ces conditions, il lui appartiendra de déterminer si elle préfère continuer le traitement de données en cause et remplir les obligations imposées par le RGPD, si elle peut techniquement éviter de traiter des données personnelles de personnes qui se trouvent sur le territoire de l'UE ou si elle l'abandonne purement et simplement pour éviter cette démarche pouvant être coûteuse.