castle-979597_1280Règlement général sur la protection des données personnelles (RGPD) : d’une logique de formalités préalables à une logique de conformité

1 – Introduction

Le Règlement général sur la protection des données (RGPD) (General Data Protection Regulation, GDPR, en anglais) constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel automatisées ou non.

2 –  Le contexte juridique

Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abroge la directive 95/46/CE (règlement général sur la protection des données) et la loi française du 6 janvier 1978 (loi informatique et liberté) modifiée en 2004 et 2016 sera adaptée à ce nouveau texte.

Le texte sera directement applicable sur l’ensemble de l’Union européenne. Il est entré en vigueur le 24 mai 2016 pour une mise en conformité à compter du 25 mai 2018.

3 – Les objectifs

Le règlement vise à :

  • S’adapter aux nouvelles réalités du numérique et faire face aux nouveaux défis technologiques (Big Data, réseaux sociaux, informatique dans le nuage, internet des objets)
  • Renforcer les droits des personnes : droit d’accès, droit à l’effacement (droit à l’oubli), droit à la limitation du traitement, droit à la portabilité, droit d’opposition au profilage à des fins de prospection
  • Responsabiliser les acteurs traitant les données
  • Harmoniser les règles pour la protection des données au sein de l’UE
  • Fournir un niveau élevé de protection pour tous les citoyens de l’UE
  • Accorder aux personnes physiques des droits relatifs à leurs données personnelles
  • Redonner aux citoyens le contrôle de leurs données personnelles.

4 – Qui est concerné par le règlement ?

  • Toute organisation établie sur le territoire de l’UE et qui collecte des données de personnes se trouvant dans l’un des pays de l’Union européenne
  • Les responsables de traitement des données établis sur le territoire de l’UE
  • Les sous-traitants établis sur le territoire de l’UE (les prestataires de service en mode SaaS et les hébergeurs).

 5 – Les points clefs du règlement

  • Les sous-traitants engagent désormais leur responsabilité sur la protection des données.
  • Le règlement impose une conservation limitée des données.
  • Le consentement de la personne concernée est le fondement au traitement des données.
  • Le règlement s’appliquera aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations et des résidents de l’UE (article 3).
  • Le principe de « protection des données dès la conception » (en anglais Privacy by design) impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel.
  • Des sanctions financières importantes seront prononcées par l’autorité de contrôle en cas de non-respect du règlement.

6 – Les droits accordés à la personne concernée par les données

Le règlement européen accorde aux personnes physiques une dizaine de droits relatifs à leurs données personnelles :

  • Droit d’accès de la personne concernée
  • Droit au contrôle : les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées (article 7).
  • Droit à l’information : le responsable du traitement des données doit prévenir la personne concernée lorsqu’il souhaite orienter le traitement vers de nouvelles finalités (articles 13 et 14).
  • Droit de rectification : la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes.
  • Droit à l’effacement (aussi appelé « droit à l’oubli ») : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).
  • Droit d’accès de la personne concernée
  • Droit à la portabilité des données : une personne pourra récupérer les données qu’elle a fournies et les transférer à un tiers (article 20).
  • Droit d’être informé en cas de piratage des données (article 34)
  • Droit de réparation des dommages matériel ou moral suite à une violation de présent règlement
  • Droit à la limitation du traitement des données à caractère personnel.

7 – Les obligations des organisations

Les nouvelles mesures imposent de nouvelles obligations aux organisations traitant des données personnelles :

  • Recueillir le consentement clair et explicite de la personne quant à l’utilisation de ses données personnelles (déclaration écrite ou par voie électronique (cocher une case)
  • S’assurer que les traitements de données sont conformes au règlement (Accountability)
  • Prouver le consentement de la personne lorsque le traitement est fondé sur le consentement de la personne concernée
  • Sécuriser les traitements auxquels elles procèdent
  • Adapter les outils actuels et mettre en œuvre des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté au risque (article 32).

8 – Les outils de conformité

Pour justifier de la conformité de leurs traitements de données, les responsables de traitement et sous-traitants devront mettre en place de nouveaux outils : tenue d’un registre des traitements, certification des traitements, codes de conduite, études d’impacts, mise en œuvre du ‘privacy by design’ et du ‘privacy by default’ et désignation d’un délégué à la protection des données (DPO).

9 – Le calendrier

Le règlement général sur la protection des données doit s’appliquer dans toute l’Union européenne à partir du 25 mai 2018.

Il n’y aura pas de transposition en droit national, le texte est directement applicable dans les Etats membres de l’UE.

 10 – Les sanctions

En cas de non-conformité, les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial.

 11 – Lexique

Donnée personnelle : Toute information se rapportant à une personne physique identifiée ou identifiable (les données de localisation, identifiants en ligne, cookies, adresse IP sont considérés comme données personnelles)

DPD : Délégué à la protection des données

DPO : Data protection officer

Privacy by Design : Protection de la vie privée dès la conception ou du développement du SI

Privacy by Default : protection de la vie privée par défaut lors du traitement

Profilage : suivi de comportement.

12 – Sources

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz#

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

https://www.cnil.fr/fr/se-preparer-au-reglement-europeen