RGPD sur la protection des données : tout savoir
Le RGPD en France est entré en application (RGPD) depuis le 25 mai 2018. Il encadre le traitement et la protection des données personnelles. A qui s'applique le RGPD ? Que sont les données personnelles et le
traitement de celles-ci ? En quoi consiste le principe de la protection des données ? On vous dit tout...
Loi Informatique et Libertés et Règlement Général sur la Protection des Données en France
Que signifie RGPD ou GDPR ? Comprendre le RGPD
RGPD signifie Règlement Général sur la Protection des Données. Il s'agit du texte organisant le traitement des données personnelles ainsi que leur protection.
Le GDPR est simplement l'équivalant anglophone. Il signifie "General Data Protection Regulation".
Les dates importantes : 25 mai 2018 / 20 juin 2018, etc.
Le Règlement général sur la protection des données (RGPD) a été adopté par le Parlement européen le 27 avril 2016 et entré en vigueur le 24 mai 2016.
Il est applicable en France (et chez les autres États membres de l'Union Européenne) depuis le 25 mai 2018.
A savoir : le RGPD renvoyait à la réglementation nationale pour certains éléments, or la réglementation interne, c'est-à-dire française, pouvait être en contradiction avec le RGPD.
C'est pourquoi la France, par étape, a adapté sa législation interne au nouveau cadre européen :
- la loi du 20 juin 2018 (Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles) a modifié la loi informatique et liberté ( Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) pour la rendre conforme au RGPD ;
- le décret d'application de la loi informatique et liberté a lui même été modifié, toujours dans un soucis de mise en conformité avec le RGPD, par le décret du 1er août 2018 (Décret n°2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles) ;
- la loi informatique et liberté a été réécrite et mise en cohérence par ordonnance du 12 décembre 2018 (Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel) ;
- un nouveau décret d'application a été élaboré pour la loi informatique et liberté en date du 29 mai 2019 (Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).
En résumé : Depuis le 25 mai 2018, application du RGPD et nécessité de se référer, pour les points auxquels le règlement renvoie à la réglementation nationale, à la loi informatique et liberté de 1978, modifiée et adaptée à la réglementation européenne.
A qui s'applique le RGPD, qui est concerné ? Est-ce que le RGPD est obligatoire ?
Tout organisme peut être concerné quels que soient sa taille, son pays d'implantation, son activité, qu'il soit public ou privé.
Sous quelles conditions l'organisme doit être en conformité avec le Règlement Général sur la Protection des Données ?
Il doit traiter des données personnelles pour son compte ou le compte d'un tiers, dès lors :
- qu'il est établi sur le territoire de l'Union européenne ;
- ou que son activité cible directement des résidents européens.
A noter : les sous-traitants doivent également veiller au respect du RGPD s'ils traitent des données personnelles pour d'autres.
Qu'est-ce qu'une donnée personnelle ? Définition
Une "donnée personnelle" se définit comme "toute information se rapportant à une personne physique identifiée ou identifiable" (Règlement (UE) 2016/679 du 27 avril 2016, article 4).
Une personne peut être identifiée directement, par ses nom et prénoms par exemple, mais aussi indirectement par le biais, notamment, d'un numéro de téléphone, un numéro client, etc.
L'identification peut être faite, soit à partir d'une seule donnée (exemple : numéro de sécurité sociale), soit du fait du croisement de plusieurs données.
Une protection est requise pour les données personnelles détenues, telles que :
-
les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant les salariés) ;
-
le numéro IBAN (compte bancaire) ;
-
les numéros de téléphone ;
-
les numéros individuels (numéro de Sécurité sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;
-
les identifiants, code d'accès, mot de passe ;
-
les données biométriques détenues ;
-
les données de géolocalisation GPS et IP (y compris celles des véhicules) ;
-
les enregistrements de caméras détenus ;
-
les pièces justificatives personnelles (photocopie carte identité, passeport, justificatif de domicile, relevé bancaire, carte vitale, etc.) ;
-
etc.
Qu'est-ce qu'un traitement de données personnelles ?
Il s'agit d'une opération ou d'un ensemble d'opérations qui portent sur des données personnelles. Peu importe le procédé utilisé.
Le traitement de données peut consister en :
- une collecte ;
- un enregistrement ;
- la conservation ;
- l'utilisation ;
- etc.
Exemple : tenir un fichier clients constitue un traitement de données personnelles, au même titre que collecter des coordonnées de potentiels clients via un questionnaire, etc.
Important : collecter ou traiter des données personnelles uniquement dans l'éventualité de s'en servir un jour n'est pas possible. En effet, chaque opération doit avoir un objectif.
Les principes de la protection des données
Le RGPD pose plusieurs principes liés à la protection des données personnelles :
- la finalité : il n'est pas possible de garder et utiliser des données personnelles sans objectif précis, légal et légitime ;
- la proportionnalité et la pertinence : les données conservées doivent être nécessaires à la finalité, au but fixé ;
- la durée de conservation limitée : une donnée personnelle ne doit pas être conservée de manière illimitée. La durée de conservation doit être fixée à l'avance et ensuite les données doivent être supprimées une fois la durée de conservation écoulée ;
- la sécurité et la confidentialité : les données que l'on détient ne doivent pas pouvoir être accessibles à autrui et seules les personnes autorisées doivent y avoir accès ;
- la reconnaissance du droit des personnes : il s'agit du droit d'information, d'accès, de modification, de suppression.
Quelle institution contrôle le traitement des informations personnelles?
La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites.
La CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles.
Elle dispose de moyens lui permettant de veiller à la bonne application du RGPD.
Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :
- sur pièces ;
- sur convocation ;
- sur place ;
- en ligne.
La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en oeuvre le traitement des données à caractère personnel.
La délégation de la CNIL peut demander :
- tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;
- l'accès aux programmes informatiques et aux données ;
- la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc.
Entraver une action de la CNIL est puni d'un an d'emprisonnement et de 15 000 euros d'amende.
Quelle application faire du RGPD en cas de collecte de données personnelles ?
A chaque fois que des informations personnelles sont demandées, l'organisme collecteur doit informer les personnes dont les données sont collectées de :
- l'identité et des coordonnées du responsable du traitement ;
- les finalités du traitement ;
- les catégories de données personnelles concernées ;
- l'intention ou non de transférer les données à l'étranger ;
- la durée de conservation des données.
Si la collecte des données est faite auprès d'un tiers et non pas de l'intéressé, le responsable du traitement dispose d'un délai ne dépassant pas un mois pour fournir les informations à la personne dont les données sont collectées.
Chaque personne qui fait l'objet d'une collecte de données personnelles, doit être informée de son droit :
- d'obtenir gratuitement une copie des données la concernant ;
- de faire rectifier les données qui se révèleraient inexactes ou de les compléter ;
- à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement ;
- de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement.
Données personnelles et Comité social et économique (CSE)
Le RGPD suppose également de s'assurer de la protection des données en entreprise. La gestion des activités sociales et culturelles (exemple : chèques cadeaux, sport ou loisirs, activités de voyage, etc.) par le CSE suppose la collecte et le traitement d'informations sur les salariés qui en bénéficient. Dans un tel cas de figure, le CSE doit respecter les mêmes obligations que tout collecteur, comme l'entreprise.
De plus, pour les établissements ou entreprises dont l'effectif atteint au moins 50 salariés, l'employeur met en place une Base de Données Economiques, Sociales et Environnementales (BDESE) destinée au CSE/IRP. En principe, la BDESE ne comporte pas d'informations nominatives qui permettent l'identification d'une personne, directement ou indirectement. Néanmoins, si l'employeur inclut de telles données, il doit, de son côté, établir un registre de traitement des données personnelles collectées. Le CSE quant à lui, en raison de cette collecte de données auprès d'un tiers (l'employeur), doit en informer le salarié dans un délai d'un mois.