Comprendre le RGPD
Le Règlement Général sur la Protection des Données
est entré en application le 25 mai 2018, en France et en Union Européenne.
Le contexte
Les évolutions des technologies, l’avènement du numérique et le développement du commerce en ligne ont considérablement modifié l’utilisation des données personnelles dans notre environnement quotidien. S’inscrivant dans la continuité de la loi “Informatique et Libertés” de 1978 pour protéger les individus, le RGPD renforce le contrôle de ces données.
Objectifs du RGPD
- Renforcer les droits des personnes concernées et responsabiliser davantage les organismes publics et privés qui traitent leurs données.
- Harmoniser les règles en Europe en offrant un cadre juridique unique aux professionnels.
Qu’est ce qu’une donnée personnelle ?
Le RGPD définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne peut être identifiée :
- Directement (nom, prénom) ;
- Indirectement : par un identifiant. Par exemple : numéro de sécurité sociale, relevé d’identité bancaire RIB, donnée biométrique (badge d’accés) ;
- À partir du croisement d’un ensemble de données. Par exemple : homme vivant à telle adresse, né tel jour.
Qui est concerné ?
Toutes les entreprises utilisant des données personnelles pour leur fonctionnement :
- Salariés ;
- Prospects (via un mailing, des réseaux sociaux) ;
- Clients (quand il s’agit de personnes physiques) ;
- Patients (d’une clinique, d’un cabinet médical) ;
- Résidents (d’une maison de retraite) ;
- Fournisseurs (prestataires indépendants).
Les délais de mise en conformité
Le RGPD a été mis en place, dans toute l’UE, en avril 2016, avec un délai de 2 ans pour le mettre en place.
Il s’applique désormais à partir de la date butoir du 25 mai 2018 !
Dans les faits, la CNIL demeure indulgente et ne contrôle pas systématiquement l’ensemble des entreprises et organismes gérant des données personnelles.
Cependant, dés qu’une violation de données interviendra, ou dés qu’une plainte, émanant d’un salarié, d’un client, ou plus généralement d’une personne concernée, surviendra, la CNIL se saisira obligatoirement et appliquera les sanctions prévues (Plus d’infos…).
Les sanctions possibles
Lors de manquements au RGPD, la CNIL dispose d’un panel de sanctions possibles à infliger aux entreprises fautives :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative :
– avec un maximum de 20 millions d’euros,
– jusqu’à 4 % du chiffre d’affaires annuel mondial.
Ces sanctions peuvent être rendues publiques.
Le consentement : communiquer une donnée personnelle
Cette notion peut cependant être analysée très différemment selon la donnée. Le RGPD a donc créé un concept assez simple : le consentement.
Son recueil doit constituer une démarche active, explicite, libre, spécifique et informée.
Le consentement doit être préalable à la collecte des données.
Les droits des personnes concernées par leurs données personnelles
Le RGPD a défini un ensemble de droits encadrant l’utilisation des données personnelles des citoyens de l’Union Européenne.
Le droit à l’information
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :
- L’identité du responsable du fichier ;
- La finalité du fichier : La base juridique à préciser, soit :
– éxécution d’un contrat,
– consentement,
– obligation légale ; - Le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
- Les destinataires des données ;
- Leurs droits (droit d’accès, de rectification, et d’opposition) ;
- Les éventuels transferts de données vers des pays hors UE.
L’information doit être préalable à la collecte et au traitement des données. Elle peut figurer, selon le traitement de données, sur un contrat, un panneau d’affichage, ou un formulaire.
Le droit d’opposition
Il est possible à chacun de refuser l’utilisation des traitements de données personnelles si :
- Les données personnelles collectées ne sont pas obligatoires ou nécessaires ;
- Les données personnelles servent à une démarche commerciale.
Le droit de rectification
Il est possible à chacun de demander la correction d’informations erronées (adresse, métier, etc).
Le droit d’accès
Il est possible à chacun de connaitre les données personnelles qu’un organisme détient sur vous :
- Copie des données ;
- Finalités d’utilisation ;
- Catégories des DP ;
- Destinataires des données ;
- Durée de conservation.
Cependant, certains fichiers de police, gendarmerie, renseignement peuvent ne pas être transmis (finalité de sécurité nationale) directement ou via la CNIL.
Le FICOBA, qui gère les comptes bancaires, n’est pas toujours tenu de fournir ces informations.
Le droit d’effacement
Possible quand le consentement est limité dans le temps (ou une fonction occupée).
Ce droit permet de s’opposer au traitement des données personnelles.
Le droit de déréférencement
Pour sortir d’une base de données pour laquelle un consentement avait été donné.
Le droit de portabilité
Permet de récupérer ses données personnelles fournies à une plateforme pour les transmettre à un tiers (réseaux sociaux, hébergement téléphonique ou internet).
Le droit à l’intervention humaine
Permet d’éviter une analyse simplement statistique de données (profilage).
Par exemple pour la demande d’un crédit via des crédit scorings.
Le droit à la limitation des données
Utilisable pendant l’exercice d’un autre droit en cours d’examen par l’opérateur du traitement des données concernées.
Source : Le Monde-Pixels – Martin Untersinger et Clémence Duneau