Tout le monde est concerné par la RGPD et même si le terme commence à être familié, certains principes sont encore incompris ou sous-exploités. Nous allons vous présenter ce vaste sujet en commençant par un rappel en synthèse des grands principes de la RGPD, que l'on soit acteurs, sous-traitants ou propriétaires de cette donnée.

La RGPD c’est quoi ?

La RGPD est une réglementation européenne (G29) visant à protéger les données personnelles des citoyens européens. Pour rappel la dernière version en date de mai 2018 poursuit et renforce les objectifs suivants :

• Renforcer le droit des personnes concernant leurs données personnelles.
• Poser un cadre juridique unifié pour les pays européens.
• Responsabiliser les acteurs traitants des données personnelles.
• Cadrer les transferts hors de l’union européenne des données personnelles.
• Encadrer et graduer les sanctions en cas de non-respect de la réglementation.

 

Quels sont nos droits en tant que citoyen ?

Avec les services en ligne, de nombreuses données sont récoltées chaque jour sur chacun d’entre nous, rappelons que la RGPD a été mise en place dans le but de renforcer et faciliter l’exercice du droit des personnes à savoir :

• Obligation pour les acteurs d’information et transparence sur les données recueillies et leurs usages.
• Les utilisateurs doivent donner leur consentement ou pouvoir s’y opposer.
• Droit à la portabilité des données sous forme aisément réutilisable.
• Conditions particulières du traitement des données des mineurs de moins de 16 ans auprès des titulaires de l’autorité parentale.
• Introduction du principe d’actions collectives.
• Droit à réparation des dommages matériels ou moraux.

 

Transparence et responsabilisation des acteurs

Contrairement aux précédentes lois qui reposaient sur un simple principe de déclarations préalables, la RGPD repose désormais sur une logique de mise en conformité dont les acteurs sont responsables, puis placés sous le contrôle du régulateur (CNIL). La protection des données concerne les principes suivants :

• Privacy by design (La protection de la vie privée dès la conception) : les données doivent être protégées par défaut et dès la conception. Les acteurs doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaire à cette protection.
• Principe de minimisation : les acteurs doivent veiller à ne stocker et traiter que la quantité minimale d’informations nécessaires à leur besoin.
• Accountability : chaque acteur doit mettre en place des mesures de protection des données appropriées et être capable de démontrer cette conformité à tout moment.
• Suppression des obligations déclaratives sauf dans les cas spécifiques régis par le droit national (données de santé par exemple).
• Données à risque (santé, religion, politique, origine raciale, biométrie etc) : les acteurs devront produire une analyse d’impact relative à la protection des données (AIPD ou PIA) auprès des autorités CNIL qui pourront accorder ou s’opposer aux traitements de ces données.
• Obligation de sécurité et de notification de violations de données : les acteurs doivent notifier dans les 72h la CNIL d’une violation de données. Les personnes concernées doivent être informées si cette violation engendre un risque pour leurs droits ou libertés.

 

Responsabilités partagées et précisées

La définition et le périmètre des acteurs opérant des données à caractères personnelles ainsi que leurs sous-traitants ont été précisé :

• Représentant légal : il est le point de contact de l’autorité CNIL, et peut être consulté pour toutes questions concernant le traitement des données personnelles qu'il a pu recueillir.
• Le sous-traitant : Il est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et « d’accountability ». Il a aussi et surtout une obligation de conseil auprès du responsable de traitement des données pour la mise en conformité du règlement. Il doit par exemple tenir un registre d’activité et éventuellement designer un délégué à la protection des données (DPD) au même titre que le responsable du traitement.

Pour aller plus loin : Guide RGPD du sous-traitant (PDF) 

Transferts hors de l'Union Européenne

Les responsables ou les sous-traitants sont autorisés à transférer les données hors UE seulement s'ils encadrent ces transferts avec des outils assurant un niveau suffisant et approprié des données des personnes.
Ces données resteront encadrées par le droit européen non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.

Outils prévus pour encadrer ces transferts : règles d’entreprises contraignantes, recours à des accords particuliers, code de conduite, mécanismes de certifications, etc.

Sanctions graduées en cas de non-respect

Des sanctions administratives importantes sont encourues en cas de non-respect ou de méconnaissance de la réglementation. L’autorité peut notamment :

• Prononcer un avertissement ou mettre en demeure une entreprise.
• Limiter ou suspendre temporairement ou définitivement un flux de données et son traitement obliger de satisfaire aux demandes d'exercice des droits des personnes.
• Ordonner la rectification, la limitation ou l’effacement des données.
• Retirer une certification délivrée.
• Amendes administratives de 10 à 20 millions ou pour une entreprise de 2 à 4 % de son CA annuel mondial.

 

Afin d’aller plus loin sur le sujet de la protection des données, les prochains volets porteront sur le DPO (Le délégué à la protection des données) et les Cookies & Traceurs.

Annexes & sources

• Réglementation Générale sur la protection des données de mai 2018
• Guide sur la sécurité des données personnelles (PDF)