Règlement Européen sur la Protection des Données (RGPD)

Article mis en ligne par · 1 juin 2018 ·

Le 25 mai 2018, toutes les entreprises y compris les administrations devront être en conformité avec le RGPD. L’objectif du RGPD est d’offrir un cadre législatif harmonisé à l’ensemble des acteurs économiques dans le cadre du marché unique numérique et d’assurer un niveau élevé de protection à tous les citoyens de l’Union.

Pour l’ensemble des sociétés et entreprises, c’est un véritable changement de paradigme :

  • Nouvelle approche des traitements fondés sur la notion de risques.
  • Nouvelles obligations relatives au traitement de données.
  • Nouveaux droits des individus sur leurs données.

Il représente une étape majeure en matière d’obligations juridiques vis-à-vis du traitement automatisé ou non de données à caractère personnel. Que recouvrent ces termes de “traitement” et de “données à caractère personnel” ?

Le traitement consiste en un procédé automatisé ou non tels que : la collecte, l’enregistrement, le stockage, la communication, la transmission, l’effacement… de données à caractère personnel.

Les données à caractère personnel sont toutes les informations permettant d’identifier directement ou indirectement une personne : nom, âge, téléphone, adresse, numéro de sécurité sociale, adresse IP…

Ce règlement s’inscrit dans la continuité de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et de sa refonte du 6 août 2004. Le contexte juridique s’adapte donc pour suivre les évolutions des technologies et de notre société.

Qui est concerné par le RGPD ?

Tout organisme quel que soit sa taille, son pays d’implantation et son activité dès lors qu’il traite des données personnelles et que son traitement de données vise directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données pour le compte d’autres organismes.

Que doivent faire les Responsables de Traitement (RT) pour se mettre en conformité avec le RGPD ?

 

  • Mettre à jour leurs politiques et clauses de confidentialité.
  • Revoir les normes de sécurité en place.
  • Revoir le cadre juridique des transferts de données hors UE.
  • Revoir les clauses contractuelles avec leurs Sous-Traitants (ST).
  • Mettre en place de nouvelles procédures techniques et organisationnelles :
  • Notification en cas de violation des sécurités.
  • Recueil du consentement.
  • Process concernant les droits des individus.

Le RGPD introduit la notion d’accountability (responsabilité) selon laquelle le RT doit être en mesure de démontrer à l’autorité de contrôle (la CNIL) qu’il est en conformité avec le RGPD. Cela se traduit par :

  • La prise en compte dans l’activité quotidienne de l’entreprise du principe de protection des données.
  • L’obligation de documenter l’ensemble des politiques, procédures et traitements mis en œuvre (tenue d’un registre).
  • La réalisation, dans certains cas, d’études préalables d’impact (PIA) lorsque le traitement est susceptible de représenter un risque élevé sur la vie privée des individus.
  • La désignation, le cas échéant, d’un Délégué à la Protection des Données (DPO)

Principes et conditions à prendre en considération

Principes consacrés par le RGPD

Le RGPD consacre les principes suivants :

  • Licéité, loyauté et transparence du traitement au regard de la personne concernée.
  • Les finalités du traitement doivent être déterminées, explicites et légitimes.
  • Principe de proportionnalité des données – minimisation des données (adéquates, pertinentes et limitées à ce qui est nécessaire.
  • Les données doivent être exactes.
  • La conservation des données doit être limitée dans le temps (droit à l’oubli).
  • Les données doivent être sécurisées.

Conditions nécessaires à un traitement de données

Ces conditions sont au nombre de 6, y figurent :

  • Le consentement de la personne au traitement de ses données pour une ou plusieurs finalités.
  • L’exécution d’un contrat entre la personne et le RT.
  • Le respect d’une obligation légale imposée par la législation de l’Union européenne ou d’un État membre.
  • La sauvegarde des intérêts vitaux de la personne concernée.
  • L’exercice d’une mission d’intérêt public ou relevant d’une autorité publique.
  • L’intérêt légitime du RT ou d’un tiers.

Informations à fournir aux personnes auprès desquelles les données sont collectées

Le RGPD a fortement renforcé l’obligation d’information de l’individu auprès duquel sont collectées dans un souci d’une transparence accrue. L’individu doit être informé au moment de la collecte des données ou lors de la première communication des données. Cette information doit être facilement accessible et aisément compréhensible.

Parmi les nouvelles informations à fournir, on trouve :

  • Outre l’identité et les coordonnées du RT, les coordonnées du DPO le cas échéant.
  • En plus des finalités, la base juridique du traitement.
  • Les intérêts légitimes poursuivis lorsque le traitement est fondé sur les intérêts légitimes du RT.
  • Le cas échéant, les destinataires ou catégories de destinataires des données.
  • La durée de conservation des données.
  • Les droits des personnes : à l’information sur le droit d’accès, de rectification, d’opposition, de retrait du consentement, s’ajoutent les droits à l’effacement, à la limitation du traitement et à la portabilité des données.
  • L’existence d’une prise de décision automatisée comprenant le profilage.
  • Des précisions sur le point de savoir si l’exigence de fourniture des données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
  • Les informations en cas de transferts internationaux de données.
  • Le droit à porter plainte auprès d’une autorité de contrôle (CNIL).

Tenue d’un registre des activités de traitement

Le RGPD impose de consigner par écrit le registre des traitements de données mis en œuvre. Chaque activité recensée doit faire l’objet d’une fiche qui précise :

  • L’objectif poursuivi : la finalité du traitement – la base juridique.
  • Les catégories de personnes concernées.
  • Les catégories de données traitées.
  • Les catégories de destinataires.
  • La durée de conservation des données.
  • Le cas échéant, les transferts internationaux de données.
  • Les mesures de sécurité techniques et organisationnelles.

Les sanctions

Le RT peut faire l’objet de sanctions administratives importantes en cas de non respect des dispositions du RGPD par l’autorité de contrôle :

  • Avertissement.
  • Mise en demeure.
  • Limiter temporairement ou définitivement un traitement.
  • Suspendre les flux de données.
  • Ordonner de satisfaire aux droits des individus.
  • Ordonner la rectification, la limitation ou l’effacement des données.

 

Les amendes administratives peuvent s’élever, selon l’infraction, à 10 ou 20 millions d’euros et jusqu’à 4 % du chiffre d’affaires annuel mondial.


Article préparé par StarData/ Antoine Pezé

    En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

    Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

    Fermer