L’Union Européenne a adopté le 27 avril 2016 un règlement portant sur la protection des données personnelles et de la vie privée. Il sera applicable à compter du 25 mai 2018. Ce règlement vient remplacer la directive de 1995, devenue obsolète en la matière. Du fait de sa nature ce règlement sera applicable directement au sein des états membres de l’Union Européenne. C’est ce qui fait la différence avec une directive qui elle doit faire l’objet d’une transposition en droit interne.
Ce règlement a donc réellement un objectif d’harmonisation entre les états dans la manière dont ils traitent les données personnelles afin de protéger les droits fondamentaux des personnes physiques.
Quelques définitions
Le RGPD donne à son article 4 des définitions essentielles à la bonne compréhension, et donc à la bonne application, du RGPD :
• Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
• Traitement : «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
• Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
• Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
• Fichier : tous ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
• Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
• Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Qui est concerné par ce RGPD ?
Le RGPD s’applique à toutes les entités qui dans le cadre de leur activité récoltent des données personnelles de ressortissants européens. Donc même les entreprises qui sont hors de l’Union Européenne mais qui traitent des données personnelles de personnes situées dans l’Union Européenne doivent se plier à ce règlement. Or, compte tenu du fait que la simple collecte d’un nom ou d’un numéro de téléphone constitue un traitement nous pouvons considérer que tout le monde est concerné par ce règlement.
Les principales obligations dictées par ce règlement
• Nommer un DPO : Le délégué à la protection des données personnelles est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organismes nomination est obligatoire dans certains cas : pour les entreprises qui réalisent des traitements de données sensibles, qui réalisent périodiquement des suivis sur le comportement des personnes (profilage) et pour celles qui mettent en œuvre des traitements de surveillance à grande échelle.
• Obligation d’information et de transparence : Quand une entreprise collecte des données elle doit informer les personnes visées du sort de leurs données (usage, finalité, conservation, destinataire).
• L’obtention du consentement des personnes concernées par le traitement : Aucun traitement ne peut être mis en place sans le recueil préalable du consentement des personnes concernées.
• Garantir sécurité traitement des données : Toute entité manipulant des données personnelles doit mettre en place des mesures de sécurité techniques et organisationnelles afin de garantir la sécurité des données personnelles.
• Tenir un registre de traitement : Les entités traitant des données personnelles doivent tenir un registre de traitement. Dans ce registre doivent figurer : les différents traitements de données personnelles, les catégories de données personnelles traitées, les objectifs poursuivis par ces traitements, les acteurs qui traitent ces données et les flux en indiquant l’origine et la destination des données.
• Une obligation d’information en cas de violation : En cas de modification, disparition ou perte de confidentialité de données personnelles les entités sont dans l’obligation de le notifier à l’autorité de contrôle (en France la CNIL) et aux personnes concernées.
Des sanctions plus sévères
Le RGPD renforce les pouvoirs de l’autorité de contrôle. Cette dernière peut mener des contrôles, adresser des avertissements et même infliger des sanctions administratives et financières. Les amendes qu’elle prononce peuvent aller jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros.
Contacter notre expert RGPD pour plus d’informations
Laurent GRAIN
l.grain@afodis-admx.fr
Tel : 03 81 47 04 04