Le RÈGLEMENT (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, est appelé Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais pour « general data protection regulation »).
Il est entré en vigueur en mai 2016 et en application en 2018.
Ce Règlement harmonise le droit européen en matière de protection des données personnelles.
Il s’applique à toutes les organisations, publiques ou privées, qui collectent ou traitent des données concernant des résidents de l’Union européenne.
Son objectif est double : renforcer les droits des individus et responsabiliser les acteurs économiques.
1. Les principes applicables à tous les traitements de données à caractère personnel
La notion de traitement recouvre tout type d’opération concernant les données : collecte, enregistrement, mise à disposition, suppression etc.
Les données personnelles sont toute information qui permet d’identifier une personne physique, directement ou indirectement.
Le RGPD dicte sept principes qui doivent être systématiquement appliqués aux données à caractère personnel.
Ces principes sont les suivants :
– Principe de licéité, loyauté et transparence,
– Limitation des finalités,
– Minimisation des données,
– Exactitude et mise à jour des données,
– Limitation de la conservation,
– Intégrité et confidentialité,
– Responsabilité.
Les obligations posées par le Règlement sont la conséquence logique du respect de ces principes.
2. Le respect des droits des personnes
Le RGPD renforce les droits des individus :
- Droit d’accès : savoir quelles données sont détenues par un organisme et en obtenir une copie,
- Droit de rectification : corriger les données inexactes,
- Droit à l’effacement (« droit à l’oubli ») : demander l’effacement de ses données, sous certaines conditions,
- Droit à la portabilité : transférer ses données vers un autre prestataire,
- Droit d’opposition : refuser certains traitements (prospection commerciale),
- Droit à la limitation du traitement : demander l’arrêt (le gel) d’un traitement de données,
- Droit d’opposition à une décision individuelle automatisée : le fait de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (algorithme).
En France, les personnes concernées ont également le droit d’émettre des directives sur la gestion de leurs données après leurs décès.
Des procédures et politiques doivent être mises en place aux fins de garantir le respect de ces droits, au sein de votre structure.
3. Documentation et registre des traitements
Toute entreprise ou organisme public qui traite des données personnelles pour son propre compte est dans l’obligation de savoir démontrer sa conformité au RGPD.
Des procédures et politiques doivent être mises en place pour en garantir l’application.
Les entreprises et organismes publics doivent tenir un registre documentant leurs traitements de données, appelé registre des activités de traitement.
Les structures de moins 250 salariés en sont exemptés sauf si :
– les traitements de données ne sont pas occasionnels (paye, gestion des clients etc.) ,
– Si les traitements sont susceptibles de comporter des risques pour les droits et libertés des personnes (vidéosurveillance, géolocalisation etc),
– s’il porte sur des données sensibles (santé, opinions politiques, condamnations pénales, infractions etc).
4. Désignation d’un Délégué à la Protection des Données (DPO)
La désignation d’un DPO (data protection officer) est obligatoire pour les organismes publics et certaines entreprises traitant des données sensibles ou à grande échelle.
Le DPO est une personne indépendante et soumise au secret professionnel.
Il conseille le responsable de traitement, veille à la conformité au RGPD et est l’interlocuteur privilégié avec la CNIL.
Le DPO peut être mutualisé par exemple pour un groupe de sociétés ou des mairies faisant partie d’une même métropole.
Pour désigner le Cabinet en tant que DPO, écrivez à l’adresse contact@jessypollux.fr .
5. Sécurité des données
Les organismes, publics et privés, doivent prendre des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles.
Le personnel doit être formé à la protection des données.
Toute violation de données doit être inscrite au registre des violations et dans certains cas, notifiée à la CNIL.
6. Analyse d’impact relative à la protection des données (AIPD/PIA)
Lorsque l’utilisation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement a l’obligation de réaliser, avant le traitement, une analyse d’impact relative à la protection des données, appelée AIPD.
Pour caractériser les traitements de données susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes », le Comité européen de la Protection des données (CEPD) puis la Commission Nationale de l’informatique et des Libertés (CNIL) ont adopté des lignes directrices et des recommandations.
Vous pouvez confier la réalisation de vos AIPD au Cabinet.
7. Responsabilité et sanctions
Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
8. Obligations spécifiques pour les sous-traitants
Les sous-traitants doivent respecter les instructions du responsable de traitement et garantir la sécurité des données.
Un contrat de sous-traitance conforme au RGPD est obligatoire.
Le Règlement « Digital Omnibus » actuellement en cours de discussion pourrait alléger certaines obligations du RGPD dans les mois à venir.
Jessy Pollux
Avocate