La RGPD, qu’est ce que c’est concrètement ?

Camille

Rappel de contexte:

Le but du RGPD est de renforcer et d’unifier la protection des données personnelles au sein de l’Union Européenne. Adopté le 14 avril 2016 par le Parlement européen, il entre en vigueur à compter du 25 mai 2018. Ce règlement vient en remplacement de la Directive 95/46/CE adoptée en 1995 et a été proposé en 2012 par la Commission Européenne pour “redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises”.

Ce règlement s’appliquera ainsi à toutes les entreprises collectant des données personnelles, c’est à des dire données permettant d’identifier une personne. Cela signifie que cela concerne les données nominatives mais aussi les données, qui une fois recoupées, permettent d’identifier un utilisateur.

 

Objectifs du RGPD:

Il existe 3 objectifs principaux pour le Règlement Général de Protection des Données:

  • Renforcer le droit des personnes.
  • Responsabiliser les acteurs traitant les données.
  • Crédibiliser la régulation.

Renforcer le droit des personnes:

Le RGPD souhaite clarifier définitivement la notion “d’expression du consentement”. Ainsi les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe. Cela sous-entend plusieurs choses:

      • Le consentement doit être libre et explicite ainsi que la finalité. Vous ne pouvez pas collecter des données à l’insu de l’utilisateur et vous devez désormais collecter les données nécessaires et uniquement celles-ci. Si vous souhaitez collecter de nouvelles données sur des utilisateurs ayant donné leurs consentements, vous devez désormais re-demander le consentement car le précédent consentement ne comprenait pas le nouveau jeu de données.
      • L’entreprise collectrice doit désormais être capable de prouver le consentement pour l’ensemble des données collectées et pour l’ensemble des utilisateurs dont les données sont collectées.
      • Enfin, le consentement devenant le plus explicite possible, le collecteur doit désormais proposer une façon claire et sans équivoque de s’opposer à la collecte de données. Evidemment, la collecte ne peut démarrer sans le consentement et il n’existe pas de consentement à posteriori.

De plus, le RGPD fixe désormais un “droit à la portabilité des données”. Ce nouveau droit permet à une personne de récupérer les données fournies sous une forme facilement ré-utilisable pour pouvoir ainsi les transférer à un tier. Ainsi, si une personnes quitte un service, l’entreprise ne peut plus se contenter de détruire les informations, elle doit aussi les rendre transportable et les fournir à l’utilisateur qui pourra les réutiliser, chez un concurrent par exemple. Selon une étude Convertéo (le Baromètre RGPD), 84% des acteurs sont non-conformes à la réglementation RGPD et 79% ne donnent aucune information sur la possible portabilité des informations données personnelles. Toutefois, 54% offrent désormais un service d’effacement des données et communiquent clairement sur ce point.

Un autre point important est la mise en place “des conditions particulières pour le traitement des données des enfants”. Le RGPD introduit pour la première fois des dispositions spécifiques pour les mineurs de moins de 16 ans. Pour cette catégorie, l’information sur la collecte et le traitement des données doit être rédigé de manière à ce que l’enfant comprenne. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Enfin, l’âge minimum pour ces conditions particulières peut être abaisser jusqu’à 13 ans et le consentement donné ainsi que les données collectées doivent être effacés une fois le mineur devenu adulte.

Enfin le RGPD introduit la possibilité “d’actions collectives”en matière de protection des données personnelles. Cela ouvre aussi à un “droit à réparation des dommages matériels ou moraux”. Ainsi, toute personne ayant subi un préjudice du fait du non respect du RGPD peut se retourner contre le responsable du traitement ou son sous-traitant en charge du traitement de la donnée.

 

Responsabiliser les acteurs traitant les données:

Ces dernières années, plusieurs cas de vol de données et de violation de bases de données ont été relevé: Yahoo, Uber, Linkedin,  ….(voir l’article de Le Monde à ce sujet). Le RGPD visent donc à responsabiliser les acteurs du traitement de la données, qu’ils soient les utilisateurs finaux ou les sous-traitant. Ils ont ainsi une responsabilité partagée. Le point de contact devient désormais le représentant légal. Cette responsabilisation passe par plusieurs points :

      • Mise en place d’un protection des données dès la conception du produit ou du service (privacy par design) et limiter la quantité de données traités dès le départ (principe de minimisation).
      • Les responsables de traitements ainsi que les sous-traitant doivent mettre en place une protection appropriée et pouvoir démontrer la conformité à chaque instant (accountability).
      • Mise en place d’études d’impact sur la vie privée. Ainsi pour chaque traitement de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, génétiques ou biométriques), le responsable du traitement devra contacter la CNIL qui pourra s’opposer à ce traitement.
      • Obligation de sécurité et de notification en cas de violation de données.

Pour l’ensemble des informations sur les devoirs des sous-traitants, vous pouvez consulter le guide fourni par le CNIL.

 

Crédibiliser la régulation:

Un des but du Règlement Général sur la Protection des Données étaient d’harmoniser les réglementations entre les différents pays de l’Union Européenne avec la mise en place d’un texte commun et des sanctions renforcées.

Désormais, de nouveaux plafonds ont été définis jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial en cas de non respect des règles concernant le Privacy by Design ou de non mise en place d’études d’impact sur la vie privée et jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial pour manquement aux droits des personnes.

 

Dans l’article suivant, nous verrons comment se mettre en conformité vis à vis du RGPD.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.