La RGPD – pour Réglementation Générale sur la Protection des Données – est une directive européenne visant à protéger les personnes physiques quant au traitement de leurs données personnelles. Cette nouvelle réglementation abroge la directive de 1995 relative à la protection des données, et, en prenant en compte l’évolution de l’informatique, s’apparente à une mise à jour. Ce règlement est entré en vigueur le 24 mai 2016 et sera obligatoire pour toutes les entreprises, administrations ou organismes, à partir du 25 mai 2018. Après cette date, toute structure n’ayant pas fait le nécessaire sera soumise à sanctions par les autorités compétentes ; le CNIL.
L’objectif de cette réglementation est de protéger les citoyens européens contre l’utilisation malveillante de leurs données ; elle s’applique donc à toutes les structures traitants ce type d’éléments. N’hésitez pas à contacter une agence spécialisée, sur Bordeaux, pour plus d’informations.
Qu’est-ce qu’une donnée à caractère personnel ?
Pour bien comprendre l’utilité et la nécessité d’une telle réglementation, il faut d’abord préciser ce qui entendu par « donnée à caractère personnel« .
Selon cette réglementation, le terme « donnée à caractère personnel » englobe toute donnée permettant d’identifier – directement ou indirectement – un citoyen européen. Ainsi les données permettant l’identification directe sont par exemple les noms et prénoms tandis que l’identification indirecte se fait par recoupement d’éléments. Il est à noter que certaines données sont interdites de traitement (notamment en cas de consentement ou de licéité non démontré), telles que :
- les origines ;
- les opinions et convictions (religieuses et politiques) ;
- l’appartenance à un syndicat ;
- l’orientation sexuelle ;
- les données génétiques, biométriques ;
- les condamnations pénales et infractions.
Les principes de la réglementation RGPD
La RGPD répond à plusieurs principes, finalement assez simples. Ainsi, pour n’en citer que quelques uns, il est dit dans le texte que les données doivent être traitées de manière « licite, loyale et transparente« , qu’elles doivent être collectées à des fins « déterminées et limitées » et être « exactes et tenues à jour » si besoin. De plus, afin que le traitement soit conforme à la loi, il faut que l’individu concerné ait consenti au traitement de ses données ou que celles-ci soient nécessaires (dans un cadre contractuel par exemple). Il peut également s’agir tout simplement d’une obligation légale à laquelle la structure est soumise.
Pour plus de renseignements et une liste complète des principes, vous pouvez vous référer au chapitre 2 de la réglementation sur le site du CNIL.
Qui sont les responsables du traitement des données à caractère personnel ?
Selon les définitions mêmes du texte, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou en relation avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant répond à la même définition mais traite les données pour le compte d’un responsable.
Champs d’application et droits des personnes
Les champs d’applications
Cette nouvelle réglementation s’applique au traitement automatisé, en intégralité ou en partie, ou non. Elle concerne tous les organes de l’Union Européenne, ainsi que les entreprises et administrations du territoire (que le traitement y ait lieu ou non). Il s’applique également au traitement des données de personnes se trouvant dans l’Union par un responsable ou sous-traitant qui n’y est pas lui-même. Ce dernier cas s’applique lorsque les activités sont liées à :
- l’offre de biens ou de services ;
- [au] suivi du comportement de ces personnes.
La RGPD ne s’applique pas quand l’activité n’entre tout simplement pas dans le champ d’application, ou dans le cadre d’une activité strictement personnelle ou domestique. Il se peut également, dans certaines limites et par / pour les autorités compétentes, que les libertés individuelles soient ouvertes. C’est ainsi le cas dans le cadre de :
- la sécurité et la défense nationale ;
- la sécurité publique ;
- la prévention et détection d’infractions ;
- l’intérêt public et mission de contrôle.
Vous trouverez la liste exhaustive au chapitre 3 de la réglementation sur le site du CNIL.
Droits de la personne
Cette réglementation visant à protéger les citoyens européens, il est évident que ceux-ci ont un droit de regard sur leurs informations personnelles. Ainsi, la personne concernée peut demander la correction ou l’effacement de ses données et a le droit de ne pas faire l’objet d’un traitement automatisé – le responsable du traitement ou son sous-traitant devant tout mettre en œuvre pour préserver les droits et libertés du citoyen.
Concernant le traitant ou sous-traitant des « données à caractère personnel« , ces derniers doivent fournir un accès libre aux informations suivantes :
- identité et coordonnées ;
- coordonnées du délégué à la protection des données ;
- finalité et base juridique du traitement ;
- destinataires du traitement ;
- durée de conservation des données ;
- l’existence d’une prise de décision automatisée.
Ainsi, le responsable doit obligatoirement informer la personne de toutes modifications dans le champ du traitement de ses données. (Plus d’informations au chapitre 3 – Droits des personnes concernées sur le site du CNIL.)
Préparer son entreprise et se sécuriser
Toutes les entreprises concernées par le traitement de ce type de données personnelles devront être conformes à la nouvelle réglementation à partir du 25 mai 2018. Pour cela, quelques étapes sont nécessaires – des agences, présentent notamment à Bordeaux, peuvent apporter des conseils personnalisés.
La première étape est de faire un point sur la conformité de l’entreprise à la réglementation, afin de détecter défaillances ou dysfonctionnements éventuels et ainsi mettre en place la démarche adéquate qui permettra de répondre à toutes les nouvelles exigences.
Il s’agira ensuite, mesure devenue obligatoire, de nommer un DPO – un délégué à la protection des données – interne ou externe à l’entreprise. Le rôle de ce délégué est de garantir la conformité de l’entreprise à la nouvelle réglementation. Il est ainsi chargé de plusieurs missions dont :
- informer et conseiller l’entreprise ;
- contrôler sa conformité ;
- être l’intermédiaire entre l’entreprise et le CNIL.
Suite à ça, l’entreprise devra recenser et lister les traitements des données, les cartographier (où sont-elles hébergées – combien de temps – quelles mesures de sécurité – etc) et gérer et anticiper les risques. Des procédures seront donc mises en place en interne pour clarifier le type de données, leur gestion, conservation et protection, à traiter en fonction du contexte. Une dernière étape consistera à documenter la conformité de l’entreprise à la réglementation et ainsi être toujours prêt à la prouver, notamment en cas de contrôle.
Il est nécessaire de bien avoir à l’esprit que toute entreprise non conforme risque des sanctions, renforcées et alourdies par la nouvelle réglementation. Pour bénéficier d’une transition sereine et efficace, il existe sur Bordeaux des organismes auxquels vous pouvez faire appel ; ils vous aideront à mettre en application la nouvelle RGPD.