Le règlement général sur la protection des données (RGPD)

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen du 27 avril 2016.

Il s’applique depuis le 25 mai 2018 à tous les pays de l’Union Européenne, et vise à poser un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens.

Présentation et objectifs du RGPD :

Le RGPD, qui remplace une directive du 24 octobre 1995, qui était jusqu’alors le socle européen en matière de protection des données personnelles, a pour objectif premier de renforcer le droit des individus sur leurs données personnelles.

1. La notion de donnée personnelle

   S’entend par donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité. Il peut s'agir notamment d'un nom, d'un prénom, d'une adresse électronique, d'une localisation, d'un numéro de carte d'identité, d'une adresse IP, d'une photo, d'un profil social ou culturel.

2. Le renforcement du droit des personnes

   Le RGPD reprend de nombreux principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL.

Il est notamment stipulé que les données personnelles doivent être « traitées de manière licite, loyale et transparente » et « collectées pour des finalités déterminées, explicites et légitimes ». Elles doivent être « adéquates, pertinentes et limitées aux finalités du traitement », être « exactes et, si nécessaire, tenues à jour ».

Comme dans la loi CNIL, le RGPD prévoit que les personnes disposent du droit d’accéder à leurs données ou de demander à les rectifier ou de s’y opposer. Elles ont aussi un droit à l’oubli c’est-à-dire un droit à l’effacement de leurs données et au déréférencement. Ces droits sont complétés et consacrés par le RGPD, qui vise à renforcer le droit des personnes.

Ce nouveau règlement élargit les informations qui doivent être fournies par les responsables de traitement, que sont les entreprises, les administrations, les associations et autres organismes, et leur impose de mettre à disposition des personnes concernées une information claire, simple et facilement accessible. Les personnes doivent, sauf exceptions, donner leur consentement au traitement de leurs données, de façon claire et non-équivoque, ou pouvoir le retirer à tout moment.

De plus, la liste de catégories spéciales de données personnelles dites sensibles et qui bénéficient d’une protection particulière, est complétée.

Il s’agit désormais des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques ou biométriques, à la santé, à la vie sexuelle ou à l’orientation sexuelle des personnes. Le traitement de ces données est interdit, sauf dans des cas limitatifs et sous conditions.

Le RGPD a ainsi créé de nouveaux droits, complétant ceux qui existaient avec la loi CNIL :

• le droit à la portabilité de ses données. Toute personne doit pouvoir récupérer les données qu’elle a fournies à une plateforme et les transférer gratuitement à une autre ;
• le droit à notification en cas de piratage de ses données personnelles. La personne concernée doit être rapidement avertie par le responsable du traitement ;
• le doit à l’action de groupe. Toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour introduire une réclamation ou un recours et obtenir réparation en cas de violation de ses données ;
• le droit à réparation du dommage matériel ou moral. Toute personne qui a subi un tel dommage du fait de la violation du RGPD peut obtenir du responsable du traitement ou du sous-traitant la réparation de son préjudice.

Le champ d’application du RGPD

Le RGPD s’applique à tous les traitements de données à caractère personnel, hormis quelques exceptions.

Il concerne les responsables de traitement et leurs sous-traitants établis dans l’UE, et quel que soit le lieu de traitement des données.

Il concerne également les responsables de traitement et leurs sous-traitants établis hors UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou services à des résidents européens ou à les cibler.

Le RGPD s’applique à chaque fois qu’un citoyen européen, quelle que soit sa nationalité, est directement visé par un traitement de données.

La mise en conformité au RGPD

Les responsables de traitement et leurs sous-traitants doivent mettre en œuvre différentes actions pour se mettre en conformité avec le RGPD.

Le RGPD modifie les obligations qui s’imposent aux acteurs traitant des données personnelles. Les formalités préalables auprès des autorités de protection des données auxquelles étaient soumis ces acteurs sont remplacées par des mécanismes de conformité et de responsabilité.

Cela entraine le respect de plusieurs obligations :

1. L’obligation générale de sécurité et de confidentialité

   Le responsable du traitement des données ou son sous-traitant doit mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. Le responsable du traitement est tenu de limiter la quantité de données traitées dès le départ et doit pouvoir démontrer la conformité au règlement européen à tout moment. L'accès aux données personnelles est limité uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, par exemple). La conservation des données personnelles est par ailleurs limitée dans le temps. Le responsable des données doit déterminer une durée de conservation raisonnable. Les obligations déclaratives sont toutes supprimées sauf exceptions prévues par le droit national.

2. L’obligation d'information

   Le responsable de traitement de données personnelles doit informer la personne concernée de l'identité du responsable du fichier, de la finalité du traitement des données, du caractère obligatoire ou facultatif des réponses et de ses droits d'accès, de rectification, d'interrogation et d'opposition. Il lui est également imposé d’informer la personne en cas de transmission de données. En ce qui concerne l’exploitant des données personnelles, tel un commerçant en ligne, par exemple, il doit respecter un certain nombre d’obligations, notamment recueillir l'accord des clients, les informer de leur droit d'accès, de modification et de suppression des informations collectées, assurer la confidentialité des données, indiquer une durée de conservation des données et veiller à la sécurité des systèmes d'information.

3. L’analyse d'impact en cas de risque élevé pour les droits et libertés des personnes

   Les responsables de traitements présentant un risque élevé pour les droits et libertés des personnes sont tenus de mener une étude d’impact sur la vie privée (EIVP ou PIA).
   Concrètement, sont visés les traitements de données sensibles (ceux touchant aux opinions politiques, religieuses, aux données génétiques ou biométriques, etc.) et les traitements reposant sur l’évaluation des personnes, notamment sur le profilage.

4. La désignation d’un délégué à la protection des données

   Le responsable de traitement et le sous-traitant sont tenus de désigner un délégué à la protection des données dans le cas où leur activité fait partie du secteur public, si leur activité principale amène un suivi régulier et systématique de personnes à grande échelle ou si leur activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.
   L’identité du délégué à la protection des données doit être transmise à la CNIL.
   Le délégué est chargé d'informer et de conseiller le responsable de traitement ou le sous-traitant et ses employés, de veiller au respect du règlement européen et du droit français en matière de protection des données, de conseiller l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution et de coopérer avec l'autorité de contrôle. Le délégué doit avoir une solide connaissance en matière de législations et de pratiques. 

5. Autres obligations

   Toutes les organisations de plus de 250 salariés doivent tenir un registre des activités des traitements, sauf si ces traitements sont occasionnels.
   Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :

   • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
   • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
   • les traitements qui portent sur des données sensibles.

Les sanctions en cas de non-respect du RGPD

Dans le cas où le responsable du traitement des données personnelles ou son sous-traitant ne respecte pas le RGPD, la CNIL peut prononcer des amendes administratives qui peuvent atteindre 2 % à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, selon la gravité du manquement, et, d’une manière générale, après avoir mis le responsable traitement en demeure de se conformer au règlement.

CE QUI CHANGE MAINTENANT POUR VOUS

En tant que responsables de traitement, le RGPD a augmenté votre responsabilité. Ainsi, vous êtes soumis à de nouvelles obligations, et vous vous devez de mettre en œuvre diverses actions afin d’être en conformité avec ce règlement :

• Informer vos clients sur la finalité du traitement de leur données personnelles, sur la durée de conservation de ces données, sur l’identité de la personne qui va traiter directement les données, et ne collecter que les données vraiment nécessaires ;
• Respecter le droit des personnes en matière de consultation, de rectification ou de suppression des données ;
• Garder la maîtrise des informations que vous collectez ; 
• Identifier les risques liés à votre traitement de données ; 
• Déployer des dispositifs de sécurisation des données collectées (physiques et numérique).