Nouvelle-Calédonie: L’applicabilité indirecte du règlement dit « RGPD » à la Nouvelle-Calédonie : une multiplicité normative pour répondre à une uniformité sur le territoire de la République Française.

Le 25 Mai 2018 représente un tournant dans la protection des données personnelles. C’est en effet depuis cette date qu’est entré en vigueur le nouveau Règlement Européen sur la Protection des Données (RGPD).

Procédures de déclaration auprès de la CNIL réduites, obligations des responsables de traitement renforcées, nouvelles contraintes juridiques sur les sous-traitants, information auprès des personnes étendue, introduction des Délégués à la Protection des Données (en anglais Data Protection Officer – DPO-) ; telles sont, parmi de nombreuses autres évolutions et innovations, les avancées du RGPD. Mettant un terme à la mosaïque normative Européenne, le RGPD uniforme depuis le 25 mai 2018 le cadre normatif européen. Pour autant, la question de son applicabilité reste aujourd’hui nébuleuse pour la Nouvelle-Calédonie, qui dispose d’un statut particulier pour l’Union  Européenne, mais également pour la France du fait du partage de compétences de notre loi organique. Dualité normative ou régime unifié, telle est la question que pose aujourd’hui le RGPD pour la France et la Nouvelle-Calédonie.

Etat des lieux des implications du RGPD pour demain

Dans son ouvrage « Chroniques déjantées d’internet et cyberdélires0», Dave BARRY énonçait que « les ordinateurs ont le pouvoir de transformer notre monde en un monde qui nous soit tout à fait étranger ».

Cette citation n’a que plus de sens aujourd’hui dans une société devenue réticulaire comme l’internet. Véritable autoroute de l’information numérique, Internet peut en effet aujourd’hui être considéré comme indispensable, que ce soit dans un cadre professionnel ou personnel. Pour autant, son univers emporte son lot de risques. C’est donc en réponse à ces derniers, par une nécessité de protéger le patrimoine informationnel numérique des personnes, que le Parlement européen adoptait le 24 octobre 1995 sa directive 65/46/CE (relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).

Pour autant, cette directive n’a pu relever le défi de créer un ensemble harmonisé ce qui a conduit à une pluralité normative qui a encore cours aujourd’hui.

C’est à la suite de quatre années de travail législatif que le Parlement européen a adopté le 14 avril 2016 le règlement sur la protection des données à caractère personnel N° 2016/679. Au terme de l’article 99, le règlement rappelle que ses dispositions sont applicables directement dans l’ensemble des 28 Etats membres de l’Union Européenne depuis le 25 mai 2018, privant ainsi ces derniers de leur faculté de réserve1. L’objectif du règlement, s’articulant entre modernisation et précision des principes de la directive de 1995 et la caractérisation de nouveaux principes, est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises2 ».

 

Pour y parvenir, plusieurs chantiers sont entrepris :

 

  • En premier lieu, une précision du régime de responsabilité attaché au traitement de données à caractère personnel, se traduisant globalement par :

– La mise en relief de l’obligation de conserver une trace documentaire de toute opération de traitement et d’en prouver sa conformité (article 5.e.) ;

– La création d’une obligation d’établir, pour les responsables de traitement une analyse d’impact sur la protection des données lorsque les traitements sont de nature à constituer un risque fort (article 35) ;

– L’obligation pour le sous-traitant d’assister et conseiller son client dans la conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, règles de sécurité, destruction des données confiées in fine, contribution aux audits…).

– Le renforcement du recueil du consentement avec une attention désormais mise sur l’accord exprès de la personne chargée de l’autorité parentale pour les mineurs de moins de 13 ans (article 8) ;

– Des précisions sur les conditions de transferts de données hors de l’Union européenne (article 47) ;

– Une caractérisation d’une responsabilité « conjointe » d’un sous-traitant au même titre que le responsable de traitement initial (article 26) ;

– Une obligation stricte de sécurisation des données par le sous-traitant (articles 24 et 25) à l’égard des données de ses clients…

 

  • En second lieu, une protection étendue du patrimoine informationnel par de nouveaux droits et principes reconnus aux personnes concernées, englobant :

– Un principe de transparence s’appliquant aux traitements et à l’information qui y est attachée (article 12) ;

– La précision de la définition du principe de minimalisation des données via les termes : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5) ;

– L’obligation pour les sous-traitants (prestataires) de tenir un registre des catégories d’activités de traitement de données effectuées pour le compte de ses clients. (article 30) ;

– Un principe d’information de la personne concernée qu’elle ait été ou non à l’origine de la collecte des données (articles 13 et 14) ;

– Un droit à l’effacement des données (« droit à l’oubli ») (article 17) ;

– Un droit à la limitation du traitement (articles 18, 21, et 22) ;

– Un droit à la portabilité des données (article 20) ;

– Une applicabilité extraterritoriale du RGPD (cas des responsables de traitement ou sous-traitants non établis dans l’Union mais collectant la donnée de personnes situées sur le territoire de l’Union) (article 3) ;

– Une notification auprès de l’autorité nationale de protection renforcée, en cas de violation de données à caractère personnel (article 33) ;

– Un alourdissement des sanctions notamment pécuniaires (article 83.6) pouvant aller jusqu’à 4 % du CA ;

 

  • En troisième lieu, l’obligation pour un responsable de traitement de désigner un délégué à la protection des données (D.P.O.) lorsque :

– Le traitement est effectué par une autorité publique ou un organisme gérant une mission de service public ;

– Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;

– Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (données sensibles et à risques des articles 9 et 10 du règlement) ;

– Le traitement est effectué dans une entreprise employant 250 personnes ou plus.

Cette désignation n’est pas libre pour autant. Le règlement précise en effet que ces D.P.O sont désignés sur la base de qualités professionnelles et, en particulier :

– De connaissances spécialisées du droit et des pratiques en matière de protection des données ;

De contrôle du respect et de la bonne application des principes du règlement, y compris par un accompagnement lors des études d’impact.

On notera donc, du fait de cette pluralité de missions et des qualités attendues, que les DPO ne pourront être apparentés à de simples conseillers juridiques, mais devront aussi se constituer comme de véritables techniciens de la protection du patrimoine informationnel. Il appartiendra donc aux responsables de traitements de choisir, dans une logique sécuritaire, avec soin ce nouveau gestionnaire d’un risque certes juridique, mais également d’essence technique.

Et si on parlait du RGPD en Nouvelle-Calédonie ?

Avant toute chose, il convient de rappeler que la Nouvelle-Calédonie dispose d’un statut particulier (statut « sui generis »), se traduisant par des compétences autonomes au sein de l’État français (principe de « spécialité législative »). Rattachée dans un titre propre de la Constitution3, la Nouvelle- Calédonie dispose d’une loi organique4 qui distingue clairement les compétences propres au territoire, ses dépendances, et celles de l’État. Par ce statut particulier, et malgré son rattachement à la France, la Nouvelle-Calédonie est au sens du droit de l’Union un membre associé dont l’appellation est « Pays et Territoire d’Outre-Mer » (Partie IV du Traité sur le fonctionnement de l’Union Européenne, article 198 à 204).

L’applicabilité du droit européen y est donc conditionnée si on se réfère à la Décision du Conseil de l’Union Européenne du 25 novembre 20135 (dite « Décision d’Association d’Outre-mer »). Celle-ci indique en effet qu’il « […] il convient de rappeler, à titre liminaire, la nature de l’association prévue par le traité CEE pour les pays et territoires d’outre-mer (ci-après “PTOM “). Cette association fait l’objet d’un régime défini dans la quatrième partie du traité (articles 131 à 136), de sorte que les dispositions générales du traité ne sont pas applicables aux PTOM sans référence expresse. » La position du Conseil est donc claire : sauf mention d’applicabilité expresse dans le traité, les PTOM ne sont pas soumis aux traités Européens.

Or, aucune mention d’applicabilité expresse ne figure dans le règlement RGPD, ce qui ne lui confère pas d’applicabilité directe en Nouvelle-Calédonie6.

Néanmoins, cette situation ne compose en rien une voie sans issue.

En effet, une première piste est fournie par la loi organique n°99-209, au titre de son article 21, qui attribue à l’État la garantie des libertés publiques et droits civiques, domaines clés du RGPD.

Si ce premier élément est important pour assurer l’applicabilité du RGPD qui vise le respect des droits et libertés fondamentaux de l’individu, en particulier son droit à la protection des données à caractère personnel, il n’est pour autant pas suffisant.

Le second élément qui assure la bascule de l’application du RGPD en Nouvelle-Calédonie trouve sa source dans la loi informatique et libertés actuelle (loi N°78-17 du 6 janvier 19787). En effet, du fait des modifications et innovations apportées par le RGPD, il est nécessaire à l’État, pour se conformer au règlement, de modifier et compléter la réglementation actuelle. Or, celle-ci est applicable dans son ensemble à la Nouvelle-Calédonie.

En lisant la loi du 20 juin 2018 relative à la « protection des données personnelles », deux raisons permettent de valider l’applicabilité pour demain du RGPD à la Nouvelle-Calédonie :

– Son article 5-1, tout d’abord, qui dispose : « Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [… ]renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. »

– Ensuite, son article 32 indique enfin que « dans les conditions prévues à l’article 38 de la Constitution et dans le respect des dispositions prévues aux titres Ier de la présente loi et au présent titre, le Gouvernement est autorisé à prendre par voie d’ordonnance les mesures relevant du domaine de la loi nécessaires […] 3° à l’adaptation et aux extensions à l’outre-mer des dispositions prévues aux 1° et 2° ainsi qu’à l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et- Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi n°78-17 du 6 janvier 1978 précitée relevant de la compétence de l’Etat. »

Ainsi, le législateur français investit le Gouvernement français du rôle d’adapter et d’étendre la loi du 20 juin 2018 aux collectivités susmentionnées. Il convient d’avoir à l’esprit que, compte tenu du II de l’article 32, l’ordonnance est prise après avis de la Commission nationale de l’informatique et des libertés dans un délai de six mois à compter de la promulgation de la présente loi. Cela signifie que le Gouvernement est tenu de prendre une ordonnance d’applicabilité doit être pris au plus tard au 20 Décembre 2018.

Par ailleurs, le législateur a prévu au titre du III de l’article 32 le dépôt d’un « projet de ratification devant le Parlement dans un délai de six mois à compter de la publication de l’ordonnance ».

En synthèse, le RGPD ne vient pas à s’appliquer directement et en l’état en Nouvelle Calédonie.

Toutefois, l’incorporation des dispositifs du RGPD dans la loi du 20 juin 2018 emporte une application indirecte du RGPD en Nouvelle-Calédonie.

 

 

0 “Chroniques déjantées d’internet et cyberdélires” de Dave BARRY, éditions Eyrolles, 1998
1 Le RGPD laisse toutefois une certaine marge de manoeuvre aux Etats membres en prévoyant une cinquantaine de renvois aux droits nationaux.
2 Voir l’article, actualisé au 29/07/2016, « The general data protection regulation », du Conseil de l’Union Européenne. (http://www.consilium.europa.eu/fr/policies/data-protection-reform/data-protection-regulation/)
3 Titre XIII : Dispositions transitoires relatives à la Nouvelle-Calédonie
4 Loi organique 99-209 du 19 mars 1999 relative à la Nouvelle-Calédonie
5 Décision 2013/755/UE relative à l’association des pays et territoires d’outre-mer à la Communauté européenne (« décision d’association outre-mer») N° 2001/822/CE
6 Au même titre qu’en Polynésie Française et à Wallis et Futuna.
7 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

L’ensemble des éléments figurant sur le site d’ACTECIL (notamment les marques, logos, dessins, graphismes, chartes graphiques, icônes, textes, …) est la propriété exclusive d’ACTECIL, il fait l’objet de protection au titre des droits de propriété intellectuelle et industrielle applicables. ACTECIL confère à l’utilisateur un droit d’usage personnel portant sur l’ensemble des éléments du site qui n’entraîne aucune cession des droits visés ci-dessus. A ce titre, l’utilisateur s’interdit tout usage contraire à leur destination, à savoir l’utilisation normale du site, notamment de copier, reproduire, modifier, distribuer, afficher ou vendre, par quelque procédé ou forme que ce soit, en tout ou partie, tout élément du site ou se rapportant à celui-ci, par quelque procédé que ce soit, et pour toute autre finalité y compris à titre commercial, sans l’autorisation préalable d’ACTECIL. A défaut d’une telle autorisation, de tels usages pourront faire l’objet de toute action en justice appropriée et seront poursuivis pénalement.


Actualité du Groupe


12 octobre 2018 : ÉVOLUTION D’APM VERSION 21.2.9
11 octobre 2018 : VENTE À DISTANCE : RECOMMANDATION PORTANT SUR LE TRAITEMENT DES DONNÉES RELATIVES À LA CARTE DE PAIEMENT
11 octobre 2018 : LA MINUTE RGPD : LE RECUEIL DU CONSENTEMENT
11 octobre 2018 : ACTECIL NOUVELLE-CALÉDONIE PARTICIPE AU DIGITAL FESTIVAL à TAHITI
11 octobre 2018 : RETROUVEZ ACTECIL NOUVELLE-CALEDONIE AU DIGINOVA
13 septembre 2018 : Apéro RGPD gratuit au Pathé Brumath le 11 octobre 2018
12 septembre 2018 : ActeCil anime une conférence RGPD gratuite en Martinique
12 septembre 2018 : L’édition 2018 du code de la protection des données vient de paraître !
12 septembre 2018 : La Minute RGDP : violation de données personnelles
12 septembre 2018 : Prélèvement de l’impôt à la source et RGPD : bénéficiez de l’expertise d’ActeCil !
accueil Blog Actu-CIL