Le RGPD est le nouveau règlement européen sur la protection des données. Adopté en avril 2016, il compte plus de 170 considérants et 99 articles1 et a pour objectifs de renforcer le droit des personnes physiques (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.), mettre en place une responsabilisation des entreprises, et renforcer les prérogatives des autorités de contrôle. Il est applicable depuis le 25 mai 2018, êtes vous hors la loi ?
Qui est concerné par le règlement ?
Le règlement concerne tous les traitements de données personnelles, qu’ils soient automatisé, en partie ou non. Il s’applique ainsi à toute personne (physique ou morale), entreprise ou organisme mettant en œuvre ces dits traitements, pourvu qu’ils concernent une personne physique résident sur le territoire de l’Union Européenne (peu importe que le responsable de traitement ou son soustraitant ne réside pas sur le territoire de l’Union européenne).
Que veut-on dire par données personnelles ?
Le terme de données personnelles renvoie à toute information pouvant identifier directement ou indirectement une personne physique. Il peut s’agir, évidement, des noms ou prénoms, mais aussi d’autres typologies de données, telles que les adresse IP, les pseudos ou encore les numéros de carte de crédit…
Que veut-on dire par traitement de données personnelles ?
Il s’agit de toute action ou ensemble d’actions effectuées sur des données personnelles, que ce soit une opération de collecte, de stockage, ou encore (de manière non exhaustive), un simple transfert.
Que veut-on dire par responsable de traitement ?
On désigne responsable de traitement la personne qui détermine les moyens et les finalités d’un traitement de données personnelles. En règle générale, il s’agit du dirigeant d’entreprise ou d’organisme.
Les 3 principes fondamentaux et les principes directeurs du RGPD et ce que cela implique
Le RGPD 2018 repose sur 3 principes fondamentaux qui sont le renforcement des droits des personnes concernées, la responsabilité (ou accountability) et le renforcement des pouvoirs des autorités de contrôle.
À côté de ces principes fondamentaux, le RGPD, en ce qu’il touche aux droits des personnes concernées, possède plusieurs principes directeurs (tels que les principes de limitation ou de minimisation).
S’agissant du consentement, il est l’expression de l’un des principes directeurs, qui est le principe de licité. À savoir que tout traitement de données personnelles doit reposer sur une base légale ; l’une de ces bases légales est le consentement de la personne. C’est la base fondamentale pour effectuer un traitement de données personnelles (les autres bases légales possibles sont notamment l’exécution d’un contrat, ou encore une obligation légale). Ce consentement doit s’obtenir de manière claire, individualisée, et explicite. De là découle également le principe d’information, qui s’exprime en la fourniture d’une information claire, détaillé et aisément compréhensible sur les moyens et finalités d’un traitement de données personnelles.
Grâce à la mise en application du règlement, les individus bénéficient d’un renforcement de leurs droits, mais également la création de nouveaux droits :
• Le droit à la portabilité des données qui permettra à un individu de récupérer les données qu’il a fournies et de les réutiliser ou encore de les transmettre à un tiers.
• Le droit à l’effacement (droit à l’oubli) pour les personnes concernées, consistant au droit de voir leurs données effacées du système d’information du responsable de traitement et des sous-traitants concernés, en cas de retrait du consentement de la personne, ou encore en cas de disparition de la finalité du traitement.
Concernant le renforcement des droits existants, tels que :
• Le droit d’accès. Tout individu peut obtenir le droit d’accès à ses informations le concernant, de notamment prendre connaissance des finalités et buts poursuivis par le responsable de traitement.
• Le droit à la limitation du traitement des données qui permet de demander la suspension du traitement des données. Les structures devront adapter leur système d’information pour stocker les données qui ne font plus l’objet d’un traitement.
• Le droit d’opposition. La personne concernée a le droit de s’opposer à tout moment au traitement de ses données.
Quelles sont les obligations pour les structures ?
Le nouveau règlement impose un certain nombre d’obligations aux entreprises :
• Respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement dès la conception d’un projet (privacy by design / privacy by default).
• Obligation de compiler et actualiser une documentation concernant la protection des données personnelles (contrats, chartes d’utilisations, etc.).
Ses obligations se trouvant renforcée par la mise en place de nouveaux outils et/ou fonctions :
• Le registre des traitements, à présent obligatoire pour les structures de plus de 250 employés, ou les structures mettant en œuvre des traitements de données personnelles pouvant représenter un risque pour les droits et libertés fondamentales des personnes - mais restant de manière générale fortement recommandé par les autorités de contrôle.
• Le délégué à protection des données (DPD ou DPO pour Data protection officer), obligatoire notamment pour les organismes et entreprises publiques ou les entreprises ou organismes mettant en œuvre des traitements de données personnelles à grande échelle et de manière systématique ou régulière
Thibaut LABBÉ
Juriste
Société Versusmind
Article paru dans la revue “Syndicat National de Formation en Masso-Kinésithérapie” / SNIFMK n°9
