Le Règlement Général sur la Protection des Données

Pour s’adapter aux enjeux du numérique et garantir une meilleure protection des données personnelles, une nouvelle régulation européenne, le Règlement Général sur la Protection des Données (RGPD), est entré en vigueur le 25 mai 2018. Ce texte, d’application directe dans chacun des 28 Etats membres, instaure un cadre réglementaire harmonisé consacré à la protection des données personnelles des résidents européens.

Le RGPD s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données personnelles. Il renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données et responsabilise davantage les organismes qui procèdent au traitement de ces données.

Sommaire

1. Définition des notions clefs
2. Qui est concerné par le RGPD ?
3. Quels sont les droits des personnes concernées ?
4. Quelles sont les obligations des entreprises ?
5. Quelles sont les sanctions ?

Définition des notions clefs

•       Qu’est-ce qu’une donnée personnelle ?

Une donnée à caractère personnel se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée »). »

Cette personne peut être identifiée par référence à un identifiant (tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

•         Qu’est ce que le traitement des données ?

Le « traitement des données », au sens du RGPD, fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la destruction et à la consultation à distance des données.

•       Les acteurs principaux

Le responsable du traitement (data Controller) est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine   les finalités et les moyens du traitement »

Le sous-traitant (data processor) est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

La personne concernée (data subject) est toute personne physique identifiée ou identifiable dont on traite les données à caractère personnel.

Qui est concerné ?

Le RGPD s’adresse à tout organisme, public ou privé, qui traite des données personnelles dès lors qu’il est établie sur le territoire de l’Union Européenne ou que son activité cible directement des résidents européens.

Ainsi, le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne mais aussi à ceux implantés hors UE dont l’activité cible directement des résidents européens.

Le RGPD concerne les entreprises qui traitent des données personnelles pour leur compte mais aussi les sous-traitants qui le font pour le compte d’autres organismes.

Quels sont les droits des personnes concernées ?

Le RGPD renforce les droits des personnes concernées par un traitement de leurs données personnelles, posés par le cadre légal antérieur, et en ajoute de nouveaux.

• Le droit à l’information : la personne concernée a le droit d’être informée sur le traitement de ses données personnelles de façon concise, transparente, compréhensible et accessible.
• Le droit d’accès : la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, le droit d’obtenir l’accès à ces données et d’en demander une copie.
• Le droit de rectification : la personne concernée a le droit de demander que ses données soient rectifiées, modifiées ou complétées.
• Le droit à l’oubli : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
• Le droit à la limitation du traitement : la personne concernée a le droit de demander l’arrêt du traitement de ses données dans certains cas définis par la loi. Le responsable du traitement pourra conserver les données.
• Le droit à la portabilité des données : la personne concernée a le droit de demander au responsable du traitement de lui fournir « dans un format structuré, couramment utilisé et lisible par machine » l’ensemble de ses données à caractère personnel afin de pouvoir le transmettre à un autre responsable du traitement.
• Le droit d’opposition : la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel

Quels sont les obligations pour les entreprises ?

Le RGPD impose de nouvelles contraintes aux entreprises concernant le traitement des données à caractère personnel. Le RGPD s’appuie sur une responsabilisation des acteurs traitant des données par le mécanisme d’accountability qui incite les entreprises à pratiquer l’auto-contrôle.

•         Garantir les droits des personnes concernées

Le responsable de traitement a tout d’abord une obligation d’information : les personnes concernées par le traitement des données doivent être informées de la finalité, des données collectées, de leurs destinataires, de leur durée de conservation, et des droits qu’elles détiennent sur ces informations.

Les organismes doivent également garantir l’ensemble des droits des personnes concernées (droit de rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité des données).

Le responsable du traitement devra répondre dans un délai d’un mois aux personnes concernées qui souhaitent faire valoir leurs droits sur leurs données.

•         Respecter les principes directeurs du traitement des données

Le responsable de traitement est également garant du respect des principes énoncés dans le RGPD et doit être en mesure de démontrer que ceux-ci sont respectés.

Ces principes sont nombreux :

• Principe de licéité : les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
• Principe de minimisation des données : les entreprises ne peuvent conserver que les données strictement nécessaires à l’exercice de leurs activités.
• Principe de finalité : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
• Exactitude : les données personnelles doivent être exactes et, si nécessaire, tenues à jour.
• Principe de limitation de la conservation : le responsable du traitement doit fixer une durée raisonnable de conservation des informations personnelles.

Par ailleurs, le responsable du traitement doit solliciter le consentement clair et explicite des personnes lors de toute collecte de données. Il doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

•         Assurer la sécurité et la confidentialité du traitement

Le responsable du traitement doit garantir la sécurité des données à caractère personnel « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction  ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ». Ainsi il doit mettre en place des mesures de sécurité des locaux et des systèmes d’information pour empêcher que des fichiers soient déformés, endommagés ou que des tiers   non autorisés y aient accès.

Le RGPD a mis en place les principes de privacy by design et de privacy by default afin de renforcer la protection des utilisateurs. Cela signifie que la sécurité et la gouvernance des données doivent être prises en compte en amont de la conception du produit ou service amené à collecter, traiter ou utiliser des données personnelles. En outre, la sécurité n’est plus optionnelle, mais activée par défaut, c’est-à-dire que l’ensemble des mesures disponibles afin de protéger les données personnelles et d’en limiter la collecte doit être activé sans aucune intervention de la part de l’utilisateur.

L’organisme collectant les données devra en limiter l’accès aux personnes autorisées et encadrer les transmissions de ces données. En effet, les transmissions de données aux sous-traitants devront être encadrées par un contrat prévoyant les garanties de sécurité et de confidentialité imposées à ce dernier.

Le responsable du traitement devra notifier les failles de sécurité dans les 72h à l’autorité de contrôle (CNIL) ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne.

•         Autres obligations à la charge des organismes

Tous les organismes qui traitent des données personnelles ont l’obligation de tenir un registre de l’ensemble des traitements. Ces registres feront foi qu’ils répondent aux exigences en matière de sécurité des données personnelles.

L’organisme doit désigner un délégué à la protection des données (Data Protection Officer) dès qu’il exploite des données à caractère personnel à grande échelle. Cette désignation est obligatoire pour le secteur public.

Enfin, pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit mener une analyse d’impact sur la vie privée pour évaluer l’origine, la nature, la particularité et la gravité de ce risque.

Quelles sont les sanctions ?

Le régime des sanctions évolue également, la Commission Européenne a durci fortement les pénalités auxquelles s’exposent les entreprises qui ne sont pas en conformité avec le RGPD. Celles-ci risquent une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires ou 10 M€ pour une organisation non conforme et 4% du CA ou 20 M€ pour le non-respect des droits des internautes.