RGPD : la protection des données personnelles renforcée

Sommaire

Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Applicable dans l’ensemble des pays membres de l’Union européenne, ce texte a pour objectif d’unifier la réglementation relative à la protection des données personnelles dans toute l’Europe et de s’adapter aux nouvelles réalités du numérique.

Zoom sur le RGPD et les nouveautés qu’il apporte.

RGPD : champ d’application

Application immédiate du RGPD

Le règlement général sur la protection des données personnelles est un règlement. En ce sens et contrairement à une directive qui nécessite d’être transposée en droit interne pour être applicable, le RGPD s’applique directement dans tous les pays membres sans qu’une transposition soit nécessaire.

Personnes concernées

Le RGPD doit être respecté par :

  • tous les responsables de traitement de données personnelles ainsi que les sous-traitants qui se trouvent sur le territoire de l’Union européenne, que le traitement ait lieu ou non au sein de l’Union européenne ;
  • tous les responsables de traitement de données personnelles et les sous-traitants qui mettent en œuvre des traitements de données personnelles visant à fournir des biens et/ou des services à des personnes au sein de l’Union européenne.

À noter : dans la pratique, ce qui change en France par rapport à la Loi Informatique et Libertés est que le règlement s’applique aussi aux sous-traitants. Avec la loi Informatique et Libertés seuls les responsables de traitement étaient concernés.

RGPD : les nouveaux droits des personnes

Le RGPD accorde de nouveaux droits aux personnes dont les données personnelles sont collectées et traitées.

Droit d’information

Dès lors qu’il collecte et traite des données personnelles, le responsable de traitement doit fournir, de manière claire et sans équivoque, des informations à la personne concernée, à savoir :

  • l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.

Bon à savoir : dans la pratique, lorsque des données personnelles sont collectées sur un site internet, l’ensemble des informations ci-dessus doivent figurer dans un document accessible à l’internaute, par exemple dans les mentions légales ou les conditions générales d’utilisation.

À noter : les caméras thermiques dont l’usage est facultatif, qui n’enregistrent aucune donnée personnelle et qui ne délivrent d’information qu’à l’intéressé peuvent être installées sans tenir compte du RGPD (CE, ord., 26 juin 2020, req. n° 441065).

Demande d’effacement de données personnelles et droit à l’oubli

Toute personne dont les données sont collectées et traitées a la possibilité de demander l’effacement de ses données pour l’un des motifs suivants :

  • les données à caractère personnel ne sont plus nécessaire au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
  • la personne concernée retire le consentement sur lequel est fondé le traitement ;
  • la personne concernée s’oppose au traitement ;
  • les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  • les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union européenne ou par le droit de l’État membre auquel le responsable du traitement est soumis.

Dès lors qu’une personne demande l’effacement de ses données personnelles pour l’un ou l’autre de ses motifs, le responsable du traitement est alors tenu de procéder à la suppression des données dans les meilleurs délais.

Droit à la portabilité

Le RGPD a mis en place un nouveau droit, celui de la portabilité des données personnelles.

En vertu de ce droit, une personne peut demander à ce que :

  • ses données personnelles lui soient restituées pour les stocker et les réutiliser pour son usage personnel ;
  • ses données personnelles soient transférées à un autre responsable de traitement.

Bon à savoir : le RGPD a créé les actions de groupe qui permettent notamment à des associations d’agir en justice pour faire valoir les droits des personnes dans le cadre de la protection des données personnelles. 

RGPD : de nouvelles obligations

Le RGPD a mis en place de nouvelles obligations qui s’imposent aux responsables de traitement de données personnelles, notamment :

  • informer les personnes dont les données personnelles sont traitées de la finalité du traitement ;
  • obtenir le consentement des personnes concernées pour procéder au traitement de leurs données personnelles ;
  • effacer les données personnelles des personnes qui en font la demande ;
  • assurer la sécurité et la protection des données personnelles ;
  • alerter l’autorité de contrôle (la CNIL en France) lors de toute faille dans le système de protection des données personnelles ;
  • désigner un délégué à la protection des données dans les conditions énumérés à l’article 37 du RGPD. Ce délégué a pour mission de faire respecter les normes du RGPD au sein de l’organisme pour lequel il travail ;
  • tenir un registre des activités de traitement dans les conditions énumérées à l’article 30 du RGPD ;
  • obtenir l’autorisation des représentants légaux pour toute collecte et traitement de données personnelles d’un enfant de moins de 16 ans. Néanmoins, les législations des Etats membres ont la possibilité de prévoir un âge inférieur à 16 ans sans descendre en deçà de 13 ans (en France, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a fixé cet âge à 15 ans).

À noter : le numéro de sécurité sociale permet d'identifier les personnes physiques. Il comporte, à ce titre, des données sur le sexe, le mois, l'année et le département de naissance de la personne. Il représente donc une donnée personnelle qui est protégée. Son usage est encadré par le règlement européen relatif à la protection des données personnelles (RGDP) et, en droit français, par le décret n° 2019-341 du 19 avril 2019.

Bon à savoir : dans le cadre des élections, les partis et candidats aux élections doivent respecter les règles en matière de protection des données personnelles lors de leur démarchage électoral (indication de l’identité et des coordonnées du responsable du traitement des données, finalités du traitement, destinataires des données, durée de conservation des données). Toute personne contactée par un candidat ou un parti politique peut signaler une conduite qu’elle jugerait non conforme sur la plateforme Signalement élections. La CNIL pourra alors prendre les mesures nécessaires auprès des acteurs concernés : contrôles, mesures correctrices, dénonciation au Parquet.

Ces pros peuvent vous aider