BLOG / Droit des affaires et des sociétés

Protection des données : le nouveau cadre juridique du RGPD

Champ d’application du RGPD

Le RGPD est applicable à toute entité publique ou privée, responsable de traitement ou sous-traitant qui traite des données personnelles, si une des 3 conditions suivantes est remplie, soit :
l’entité, responsable de traitement ou sous-traitant est établie sur le territoire de l’Union européenne ;
son activité de traitement (offre de biens et de services) cible directement des résidents européens ;
le traitement a pour objet le suivi du comportement des résidents européens (exemple : le profilage).
Pour rappel :
Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable de traitement.
Un traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable c’est -à dire qui peut être identifiée, directement (par un nom) ou indirectement (notamment par référence à un identifiant, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale).
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 3 et 4.

Quid de l’application de la notion de « Privacy by design » ?

Il s’agit de la prise en compte des principes fondamentaux du droit de la protection des données personnelles à intégrer en amont, soit dès la phase de conception d’un projet de traitement des données personnelles.
i.Finalité du traitement
C’est l’objectif du traitement qui doit être déterminé, explicite et légitime
ii.Pertinence des données traitées
Il s’agit d’une application des principes de proportionnalité, de minimisation de la collecte (Privacy by Default) : les données collectées loyalement doivent être pertinentes et limitées à ce qui est nécessaire.
iii.Durée de conservation limitée
Le responsable de traitement conserve les données personnelles pour une durée non excessive par rapport à la finalité du traitement. Il fixe cette durée au vu notamment de la nature, la finalité des données, et des obligations légales, réglementaires, recommandations de l’autorité de contrôle (la CNIL en France).
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 5 et 6

Renforcement des droits des personnes concernées par un traitement

Droit à l’information

Le RGPD prévoit que toute personne concernée par un traitement doit être informée par le responsable de traitement au moment de la collecte des données de :
  • L’identité et les coordonnées du responsable de traitement et le cas échéant de son représentant, du DPO ;
  • Les finalités du traitement ;
  • La base juridique du traitement ;
  • Les destinataires ou catégories de destinataires des données ;
  • Le transfert de données vers un pays tiers ou une organisation internationale et la référence à des garanties appropriées.
Des informations complémentaires sont à fournir à la personne concernée soit :
  • La durée de conservation des données ou les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au responsable de traitement l’accès aux données, la rectification, l’effacement, une limitation du traitement, du droit de s’opposer, du droit à la portabilité des données ;
  • Si le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment ;
  • Le droit d’introduite une réclamation auprès de la CNIL ;
  • Des informations sur la question de savoir si l’exigence de fourniture de données personnelles a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données personnelles, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
  • L’existence d’une prise de décision automatisée, y compris un profilage, les conséquences prévues pour la personne concernée.
Le projet de loi sur la protection des données personnelles adopté en France en lecture définitive le 14 mai 2018 adaptant les dispositions du RGPD dans la loi Informatique et Libertés prévoit que les informations à communiquer par le responsable de traitement sont :
L’identité et les coordonnées du responsable de traitement ;
Le cas échéant, les coordonnées du DPO ;
Les finalités du traitement ;
Le droit d’introduire une réclamation auprès de la CNIL et les coordonnées de la CNIL,
L’existence des droits d’accès, de rectification, d’effacement et de limitation des données personnelles.
Le responsable de traitement fournit en plus, dans des cas particuliers, les informations additionnelles suivantes :
  • La base juridique du traitement ;
  • La durée de conservation des données ou les critères utilisés pour déterminer cette durée ;
  • Les catégories de destinataires des données personnelles, y compris en dehors de l’Union européenne ;
  • Au besoin, des informations complémentaires, en particulier lorsque les données ont été collectées à l’insu de la personne concernée.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 13

Recueil du consentement de la personne

Le consentement préalable de la personne concernée est requis notamment en cas de collecte de données sensibles (santé, origine raciale ou ethnique, religion, opinions politiques, données génétiques, biométriques…) ; d'utilisation des données à des fins de prospection commerciale par voie électronique.
Le responsable de traitement doit démontrer que la personne concernée a donné son consentement. Le consentement doit avoir un caractère exprès c’est-à-dire qu’il peut être donné par une case à cocher mais pas précochée par défaut. La personne peut retirer son consentement à tout moment.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 7.

Droit d’accès

Toute personne concernée par un traitement a le droit d’obtenir du responsable de traitement une copie de ses données personnelles traitées.  Réponse du responsable de traitement dans le délai d’un mois à compter de la réception de la demande.

Droit de rectification

Toute personne concernée a le droit d’obtenir du responsable de traitement la rectification des données traitées qui sont inexactes, incomplètes et ce dans les meilleurs délais.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 15,16.

Droit d’opposition

Toute personne concernée a le droit de s’opposer à un traitement de données personnelles. Toutefois, c’est au responsable de traitement de démontrer que des motifs légitimes et impérieux du traitement prévalent sur les intérêts et droits de la personne concernée.
Le droit d’opposition à la prospection peut s’exercer à tout moment par la personne concernée.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 21

Droit à l’effacement

C’est le droit à l’oubli. Toute personne a en effet le droit d’obtenir, sauf exceptions, du responsable de traitement l’effacement dans les meilleurs délais, de données personnelles la concernant pour l’un des motifs suivants :
  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • la personne concernée retire son consentement ;
  • la personne s’oppose au traitement ;
  • le traitement est illicite ;
  • les données doivent être effacées pour respecter une obligation légale ;
  • les données ont été collectées auprès des mineurs dans le cadre de l’offre de services de la société de l’information.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 17.

Sécurité et confidentialité des données

Pour protéger leur patrimoine informationnel, le responsable de traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque du traitement, y compris entre autres, selon les besoins :

  • la pseudonymisation et le chiffrement des données personnelles ;
  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 32.

Licéité ou base juridique du traitement

  • Le consentement de la personne ;
  • L’exécution d’un contrat ;
  • Le respect d’une obligation légale ;
  • La sauvegarde des intérêts vitaux d’une personne ;
  • L’exécution d’une mission d’intérêt public ou de l’exercice de l’autorité publique dont est investi le responsable de traitement ;
  • L’intérêt légitime du responsable de traitement.
Réf. Règlement (UE) 2016/679 du 27 avril 2016, art. 6.
Actions de mise en conformité :
Réalisation de process internes de gestion des demandes des clients ;
Révision des mentions d’information dans les contrats, formulaires de collecte de données ;
Evaluation du niveau de sécurité des données personnelles ;
Prise de mesures techniques et organisationnelles appropriées.
Sensibilisation des directions opérationnelles des entités sur les dispositions du RGPD
Cocktails d'actualité sociale

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze