Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).
Applicable dans l’ensemble des pays membres de l’Union européenne, ce texte a pour objectif d’unifier la réglementation relative à la protection des données personnelles dans toute l’Europe et de s’adapter aux nouvelles réalités du numérique.
Zoom sur le RGPD et les nouveautés qu’il apporte.
RGPD : champ d’application
Application immédiate du RGPD
Le règlement général sur la protection des données personnelles est un règlement. En ce sens et contrairement à une directive qui nécessite d’être transposée en droit interne pour être applicable, le RGPD s’applique directement dans tous les pays membres sans qu’une transposition soit nécessaire.
Personnes concernées
Le RGPD doit être respecté par :
- tous les responsables de traitement de données personnelles ainsi que les sous-traitants qui se trouvent sur le territoire de l’Union européenne, que le traitement ait lieu ou non au sein de l’Union européenne ;
- tous les responsables de traitement de données personnelles et les sous-traitants qui mettent en œuvre des traitements de données personnelles visant à fournir des biens et/ou des services à des personnes au sein de l’Union européenne.
RGPD : les nouveaux droits des personnes
Le RGPD accorde de nouveaux droits aux personnes dont les données personnelles sont collectées et traitées.
Droit d’information
Dès lors qu’il collecte et traite des données personnelles, le responsable de traitement doit fournir, de manière claire et sans équivoque, des informations à la personne concernée, à savoir :
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
- le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
- la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données.
Demande d’effacement de données personnelles et droit à l’oubli
Toute personne dont les données sont collectées et traitées a la possibilité de demander l’effacement de ses données pour l’un des motifs suivants :
- les données à caractère personnel ne sont plus nécessaire au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
- la personne concernée retire le consentement sur lequel est fondé le traitement ;
- la personne concernée s’oppose au traitement ;
- les données à caractère personnel ont fait l’objet d’un traitement illicite ;
- les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union européenne ou par le droit de l’État membre auquel le responsable du traitement est soumis.
Dès lors qu’une personne demande l’effacement de ses données personnelles pour l’un ou l’autre de ses motifs, le responsable du traitement est alors tenu de procéder à la suppression des données dans les meilleurs délais.
Droit à la portabilité
Le RGPD a mis en place un nouveau droit, celui de la portabilité des données personnelles.
En vertu de ce droit, une personne peut demander à ce que :
- ses données personnelles lui soient restituées pour les stocker et les réutiliser pour son usage personnel ;
- ses données personnelles soient transférées à un autre responsable de traitement.
RGPD : de nouvelles obligations
Le RGPD a mis en place de nouvelles obligations qui s’imposent aux responsables de traitement de données personnelles, notamment :
- informer les personnes dont les données personnelles sont traitées de la finalité du traitement ;
- obtenir le consentement des personnes concernées pour procéder au traitement de leurs données personnelles ;
- effacer les données personnelles des personnes qui en font la demande ;
- assurer la sécurité et la protection des données personnelles ;
- alerter l’autorité de contrôle (la CNIL en France) lors de toute faille dans le système de protection des données personnelles ;
- désigner un délégué à la protection des données dans les conditions énumérés à l’article 37 du RGPD. Ce délégué a pour mission de faire respecter les normes du RGPD au sein de l’organisme pour lequel il travail ;
- tenir un registre des activités de traitement dans les conditions énumérées à l’article 30 du RGPD ;
- obtenir l’autorisation des représentants légaux pour toute collecte et traitement de données personnelles d’un enfant de moins de 16 ans. Néanmoins, les législations des Etats membres ont la possibilité de prévoir un âge inférieur à 16 ans sans descendre en deçà de 13 ans (en France, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a fixé cet âge à 15 ans).