Protection des données personnelles : le « RGPD »

Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 est entré en vigueur. Le RGPD est le nouveau cadre juridique de l’Union Européenne qui gouverne la collecte et le traitement des données à caractère personnel des utilisateurs.

LE RGPD EN QUELQUES MOTS…

Le RGPD est un règlement européen, assurant une protection des données à caractère personnel des personnes physiques. Le RGPD vise à :
  • Renforcer les droits des citoyens européens ;
  • Responsabiliser les entreprises et organismes traitant des données à caractère personnel.

QU’EST-CE QU’UNE DONNÉE PERSONNELLE ?

Il s’agit de toute information se rapportant directement ou indirectement à une personne physique. Pour exemples, sont considérées comme des données à caractère personnel, les :
  • Nom,
  • Prénom,
  • Date de naissance,
  • Numéro de téléphone personnel ou professionnel,
  • Adresse postale personne ou professionnelle,
  • Numéro de sécurité sociale…

QUELS SONT LES PRINCIPES DU RGPD ?

  • Responsabilisation du responsable de traitements et des sous-traitants :
Il y a une appréciation en amont des risques en matière de protection des données et une réflexion sur les mesures pratiques à mettre en œuvre ;
  • Tenue d’un registre des activités de traitement :
Il s’agit d’une obligation pour les entreprises et organismes comptabilisant plus de 250 salariés. Cette obligation s’applique aussi à ceux qui comptabilisent moins de 250 salariés, s’ils traitent des données sensibles, ou des données comportant un risque pour les droits et libertés des personnes concernées, ou des données relatives à des condamnations et infractions pénales. En pratique, un registre est souvent rédigé quel que soit le nombre de salariés afin d’être le plus conforme possible. Le registre des traitements de données à caractère personnel recense les activités comportant un traitement de données à caractère personnel.

L’INFORMATION INDISPENSABLE DES PERSONNES PHYSIQUES

Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Les personnes physiques peuvent demander un accès aux droits ; dans ce cas, le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande.

DÉSIGNATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPD)

Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données à caractère personnel. Il veille également au respect des lois relatives à la protection des données à caractère personnel. Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD.

ANALYSE D’IMPACT

Le responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée

UNE VIGILANCE ACCRUE SUR CERTAINES INFORMATIONS

  • Finalités : Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • Durées de conservation : Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Consentement : La personne doit consentir au traitement de ses données à caractère personnel ;
  • Données sensibles : Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit. Il existe des exceptions à cette interdiction ;
  • Cookies : Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise ;
  • Profilage : En principe, le consommateur a le droit de ne pas faire l’objet d’un profilage. Il existe des exceptions à ce principe.

DROITS DES PERSONNES PHYSIQUES 

  • Droit à l’information ;
  • Droit d’accès ;
  • Droit de rectification ;
  • Droit d’opposition ;
  • Droit à la portabilité ;
  • Droit à la limitation du traitement ;
  • Droit d’effacement des données ;
  • Saisine directe du DPD ;
  • Droit d’introduire une réclamation auprès de la CNIL ;
  • Droit d’introduire une action de groupe.

UN NIVEAU DE SÉCURITÉ ÉLEVÉ

  • Nécessité d’un niveau de sécurité adapté au risque ;
  • En cas de faille de sécurité portant atteinte aux libertés individuelles des personnes, le responsable de traitement a l’obligation d’en notifier à la CNIL, dans les meilleurs délais.

ET SI JE NE SUIS PAS EN CONFORMITÉ AVEC LE RGPD ?

  • Mise en demeure publique de la CNIL ;
  • Injonction de mise en conformité sous astreinte ;
  • Obligation de cesser le traitement ;
  • Sanction pécuniaire allant jusqu’à 20 millions d’euros ou pour une entreprise 4 % du chiffre d’affaires mondial (le plus haut des deux) ;
  • Sanctions pénales de 5 ans de prison et 300.000 euros d’amende pour une personne physique (1,5 million d’euros pour une personne morale).
N’hésitez pas à vous faire aider afin de vous mettre en conformité ! FIL ROUGE est là pour vous assister et vous accompagner dans cette mission ! Pour plus de renseignements, n’hésitez pas à contacter Mesdames Laury SEDE et Manon TREHOUT, juristes, au 03.20.65.30.00.
EMAIL
LinkedIn
Share