Règlement général sur la protection des données (RGPD)
Posté le 14 mai 2019 dans Publications
Photo : Illustration/Pixabay
Depuis quelques années, le monde d’internet change. Les entreprises s’activent et les utilisateurs s’interrogent. Les affaires, mettant en jeu des données personnelles des utilisateurs de certains sites, sont découvertes. L’affaire dite « Facebook et Cambridge Analytica » est la dernière en date. Dans cette affaire, plusieurs millions de données personnelles des utilisateurs du réseau social Facebook furent acquises par la société de conseil Cambridge Analytica. Ces données personnelles auraient servi à la campagne de Donald Trump pour cibler les attentes des citoyens américains. Depuis que cette affaire fut mise à jour par des journalistes américains, le monde d’internet change. Les utilisateurs prennent conscience que la vie privée n’existe plus sur les réseaux sociaux et sur internet. D’aucuns ont même décidé de quitter les réseaux sociaux. Le Big Data fait peur et les utilisateurs d’internet se questionnent sur les capacités des États , notamment européens, à limiter la propagation des données personnelles. En effet, nous sommes tous concernés par la collecte des données : les informations communiquées sur les réseaux sociaux, les sites visités, les applications ouvertes, nos coordonnées GPS, coordonnées bancaires, informations sociales, pénales et professionnelles par exemple. Toutes nos démarches deviennent dématérialisées et nos données collectées, stockées, utilisées.
Néanmoins, dans une volonté unanime de protection de la vie privée, les États européens et l’Union Européenne interviennent pour éviter que nos données personnelles soient communiquées et communicables. C’est la raison pour laquelle l’Union Européenne a adopté, en 2016, le Règlement Général pour la Protection des données (RGPD). Il doit s’appliquer de manière uniforme, dans tous les États européens, à partir du 25 mai 2018. Ce RGPD s’axe sur plusieurs principes : harmonisation des règles antérieurement disparates, protection maximale de la personne dont les données sont collectées, obligations accrues pour les personnes collectant les données. Ce RGPD répond simplement à l’évolution des sociétés modernes, de la multiplication de l’utilisation d’internet et des réseaux sociaux à la démocratisation des données dématérialisées.
Qui est concerné par le RGPD ?
Du fait de notre utilisation massive d’internet et des réseaux conjuguée à une dématérialisation de nos démarches et de nos dossiers, tout le monde est concerné par le RGPD. Néanmoins, il convient de différencier les personnes dont les données sont traitées et les personnes qui collectent les données.
La personne concernée
est celle dont les données peuvent être traitées. Le traitement d’une donnée est une opération touchant une donnée ou un ensemble données: leur collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Le règlement a voulu une application maximale et concrète de la protection des droits de la personne concernée.
Par exemple : un individu consulte un site internet quelconque. Des données personnelles sont collectées : le fait que l’individu consulte le site internet, l’heure, les caractéristiques de l’ordinateur, voire l’endroit où il se trouve.
Par exemple : un individu crée et alimente son profil Facebook. L’individu renseigne son nom, prénom, date de naissance, de mariage, des photos, des événements auxquels il participe, ses humeurs, ses amis, sa position GPS etc. Toutes ces données sont collectées, utilisées, communiquées, diffusées, conservées, et doivent à un moment donné pouvoir être détruites.
Le responsable du traitement
Est la personne physique ou morale qui détermine les raisons pour lesquelles le traitement est effectué, ainsi que les moyens mis en œuvre. Le responsable du traitement joue un rôle important dans le traitement des données. En effet, il doit respecter de nombreuses obligations issues du RGPD. Certes, les droits de la personne concernée accroissent la protection de celui-ci, mais les nombreuses obligations du responsable du traitement accroissent également la protection de la personne concernée.
Par exemple : l’entreprise gérant un site de vente en ligne détermine la raison du traitement des données (la gestion des ventes de l’entreprise) et les moyens mis en œuvre (les données seront anonymisées une fois la vente effectuée par exemple).
Le sous-traitant
Est la personne physique ou morale désigné par le responsable pour traiter, à sa place et sous son autorité, les données personnelles des utilisateurs. Autrement dit, le responsable du traitement donne pouvoir à ce sous-traitant de gérer ses données. Dans la grande majorité des cas, le sous-traitant est une société de prestation en informatique spécialisée dans le traitement des données. Il peut s’agit également d’une société de Marketing ou de communication. Le sous-traitant doit respecter les mêmes obligations du responsable du traitement.
Quelles sont les droits de la personne concernée ?
Droits de la personne concernée |
Signification |
Exemples |
Licéité du traitement |
Le traitement des données est imposé par une règle de droit nationale ou européenne
Le traitement est nécessaire dans l’application d’un contrat. Le traitement est licite lorsqu’il touche les intérêts vitaux de la personne concernée. Le traitement est licite lorsqu’il est justifié par le consentement de la personne |
Informations présentes dans le casier judiciaire : infractions, condamnations, récidives
Les coordonnées bancaires dans le cadre de l’exécution d’un contrat de travail. L’employeur doit verser une rémunération pour le travail effectué. Les coordonnées bancaires permettent ce versement. Le dossier médical traité dans les hôpitaux ou par les médecins |
Le consentement |
Le consentement doit être libre, éclairé et non équivoque. En outre, le consentement doit se manifester par un acte positif clair de la part de la personne concernée.Donc il ne doit pas être déduit du silence de la personne, ni d’une manière tacite. | Les cases pré-cochées ou le silence de la personne concernée ne sont pas conformes à l’exigence d’un consentement éclairé.Une clause, ou un avenant au contrat de travail dûment approuvé par le salarié. |
Le droit à la rétractation du consentement |
Ce que la personne concernée donne, elle peut le reprendre | L’entreprise devra mettre en place des procédures simples et gratuites pour que la personne concernée puisse jouir de ce droit facilement.Ces procédures se trouvent, dans la grande majorité des cas, dans les conditions générales d’utilisation. |
Le droit à la portabilité des données |
Il s’agit du droit de transmettre ses données personnelles à un autre responsable du traitement à la condition que la personne concernée ait donné son consentement au traitement.Le premier responsable du traitement ne peut s’y opposer. | Transmettre ses musiques téléchargées légalement d’un fournisseur à un autre. |
Le droit à l’information |
Le responsable du traitement doit informer la personne concernée du traitement en des termes clairs et précis | Les conditions générales d’utilisation d’un site internet informe les internautes de tous les droits de la personne concernée, ainsi que diverses informations relatives au responsable du traitement (son identité, s’il existe un sous-traitant, les conditions d’anonymisation…). |
Le droit d’accès aux informations personnelles collectées |
La personne concernée peut savoir si ses données sont traitées ou non.Lorsqu’elles sont traitées, la personne concernée peut avoir accès aux différentes informations la concernant. | La personne concernée peut connaître les données déjà collectées : son casier judiciaireOn peut citer : les finalités du traitement, la durée de conservation de ses données, les destinataires de ses données… |
Le droit à la rectification des données personnelles
|
La personne concernée peut demander la modification des données inexactes.Ce droit est le corollaire au droit d’accès aux informations collectées. | Rectification de l’adresse de son domicile, de ses coordonnées bancaires, situations matrimoniales dans le cadre d’un contrat de travail, ou pour les organismes sociaux |
Le droit à l’effacement des données |
Il s’agit du droit pour la personne concernée de demander l’effacement des données au responsable du traitement. Cette demande s’impose au responsable du traitement, devant l’effectuer dans les meilleurs délais.Ce droit est soumis aux hypothèses prévues par l’article 17 du RGPD :
|
Les liens vers des pages internet peuvent être supprimés d’une liste de résultatSuppression des listes de résultat d’une recherche relative à l’identité de la personne ( profil d’un réseau social, blog, articles la concernant… ). |
Le droit au recours |
La personne concernée peut demander, en justice, l’engagement de la responsabilité du responsable du traitement, si elle considère que ses droits ne sont pas respectés. | La personne concernée peut demander des dommages et intérêts en justice au responsable du traitement et à l’autorité de contrôle. |
Quelles sont les obligations du responsable du traitement/ du sous-traitant ?
Obligations du responsable du traitement |
Signification |
Exemples |
Le respect des droits de la personne concernée |
Il doit garantir à la personne concernée l’effectivité de ses droits. | Le responsable du traitement doit mettre en place des procédures gratuites et rapides pour garantir l’effectivité des droits de la personne concernée : un numéro de téléphone, un courriel, des formulaires à remplir pour les différentes demandes de la personne concernée.Toutes ces informations se trouvent dans les conditions générales d’utilisation, normalement téléchargeables sur le site. |
La sécurisation des données |
Le responsable du traitement doit mettre en place des mesures techniques et organisationnelles appropriées. | La pseudonymisation, l’anonymisation des données pour les mesures techniquesUne procédure simple, rapide et gratuite pour les mesures organisationnelles |
La désignation d’un délégué à la protection des données |
Le délégué à la protection des données est une personne physique ou morale indépendante du responsable du traitement.Il a pour mission de s’assurer que le responsable du traitement respecte les droits de la personne concernée ainsi que ses obligations.
Il fait des recommandations mais ne peut agir lui-même. Le responsable du traitement doit agir pour faire cesser la violation. La désignation d’un délégué est facultative sauf dans certains cas notamment : lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. |
Le délégué informe de la violation des droits de la personne concernée ou de la violation du RGPD.Il propose des médiations entre la personne concernée et le responsable du traitement s’il y a conflit.
Il propose des solutions pour mettre en conformité l’entreprise au RGPD. De manière régulière, le délégué propose des rapports à la direction. |
La tenue d’un registre des activités de traitement |
Il s’agit d’un registre dans lequel le responsable du traitement devra détailler les traitements effectués et leurs finalités.La tenue de ce registre interne n’est pas obligatoire pour toutes les sociétés. En effet, il est obligatoire dans les sociétés ayant un nombre de salariés supérieur à 250. En dessous d’un effectif de 250 salariés, la tenue du registre n’est pas obligatoire.
Cependant, la tenue d’un registre est obligatoire dans tous les cas (+ ou – de 250 salariés) si le traitement risque de porter atteinte aux Droits et Libertés ou si le traitement n’est pas occasionnel. |
|
L’analyse d’impact sur la vie privée |
Avant toute opération de traitement, et compte tenu de la portée, du contexte et de la finalité de ce traitement, procéder à une analyse d’impact sur la vie privée lorsqu’un type de traitement peut engendrer un risque élevé pour les Droits et Libertés des personnes physiques.L’analyse d’impact est obligatoire seulement dans les cas limitativement prévus par le règlement notamment La surveillance systématique à grande échelle d’une zone accessible au public. | Avant la mise en place du traitement, le responsable doit faire une analyse objective de l’atteinte aux Droits et Libertés de la personne concernée par rapport au traitement qu’il veut mettre en œuvre.Dans le cadre d’une surveillance par caméra de surveillance dans un magasin. |
Poster un commentaire