Vie institutionnelle

Le Règlement Général sur la protection des Données (RGPD)

Mis en ligne le

Le Règlement Général sur la Protection des Données, adopté en avril 2016 par le parlement européen, entre en application le 25 mai 2018.

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen qui oblige toute entreprise et administration à respecter certaines règles concernant le traitement des données à caractère personnel. Il a pour but de protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.

Selon le RGPD, les données à caractère personnel sont : « toute donnée permettant d’identifier directement ou indirectement un citoyen européen ». Sont donc notamment concernés les : nom, prénom, adresse, adresse mail, numéro de téléphone, date et lieu de naissance, photo, numéro de sécurité sociale, carte de paiement, …

 

De nouveaux concepts structurent la mise en œuvre du RGPD :

- Le principe de responsabilité partagée : désormais, ce n'est pas le seul « responsable du traitement » qui est juridiquement responsable des données. Les sous-traitants et prestataires de l'entreprise doivent également assumer la responsabilité en matière de sécurité et de confidentialité des données à caractère personnel qu’ils sont amenés à traiter pour le compte du responsable du traitement.

- Le concept de privacy by design : il a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.

- La démarche de security by default : par défaut, les données à caractère personnel doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie.

- La démarche d'accountability : le responsable du traitement doit mettre en œuvre des mécanismes et procédures internes décrivant tous les traitements appliqués aux données à caractère personnel, afin de pouvoir démontrer, à tout moment, que la protection des données personnelles au sein de sa structure est assurés de manière optimale.

 

Ce qui change pour les entreprises et administrations :

- Elles ne devront plus faire de déclaration préalable obligatoire à la CNIL (Commission Nationale de l’Informatique et des Libertés) – sauf cas exceptionnel – mais, en contrepartie, elles devront tenir un registre actualisé de tous leurs traitements mettant en œuvre des données à caractère personnel.

- La collecte des données doit se faire en fonction des besoins et objectifs réels de l’entreprise : c’est la justification des finalités déterminées, explicites et légitimes.

- La conservation des données à caractère personnel doit être limitée à la durée strictement nécessaire au regard des finalités du traitement correspondant.

- En cas de traitement à risque sur la vie privée, elles devront mener une étude d’impact. Celle-ci consistera à évaluer les risques et à mettre en place des mesures de sécurité adaptées pour garantir aux citoyens une protection maximale.

 

La CNIL précise que les sanctions seront encadrées, graduées et renforcées par rapport à la loi Informatique et libertés. Ainsi, en cas de non-respect du RGPD, les autorités de protection pourront sanctionner les entreprises (avertissement, mise en demeure de l’entreprise de se mettre en conformité, suspension des flux des données hors UE ainsi que limitation temporaire ou définitive d’un traitement, amende). Les amendes pourront atteindre, selon le cas, jusqu’à 4% du chiffre d’affaire annuel mondial (ou 20 millions d’euros).

 

Ce qui change pour les utilisateurs :

- Ils pourront donner leur consentement, ou le refuser, par rapport aux traitements utilisant leurs données à caractère personnel. Les entreprises ayant pour habitude de pré-cocher certaines cases de leurs formulaires devront revoir leurs pratiques. Elles devront communiquer de façon claire et compréhensible sur l’utilisation qui sera faites des données.

- La loi offre aux utilisateurs le droit de contrôler l’utilisation de leurs données personnelles : il faut par exemple que les entreprises collectent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de ses données à caractère personnel, ou qu’elles s’assurent que les enfants de moins de 15 ans aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

- Les utilisateurs auront également le droit à l’oubli (effacement des données à caractère personnel), le droit de rectification (changement d’accès aux données), le droit d’être informé en cas de piratage des données et le droit à la portabilité des données (pour pouvoir passer d’un réseau social à l’autre, d’un Fournisseur d’Accès Internet à l’autre ou d’un site de streaming à l’autre sans perdre ses informations personnelles).

 

En résumé, le RGPD a pour objectif de donner aux citoyens les moyens de contrôler l’utilisation de leurs données personnelles par des tiers et de pouvoir s’y opposer (sauf exceptions), tout en simplifiant les démarches préalables des entreprises auprès de la CNIL.