SOMMAIRE :
Règlement général sur la protection des données (RGPD) : de quoi s’agit-il ?
L’esprit du RGPD
Le champ d’application du RGPD
Un cadre plus protecteur pour les données personnelles des particuliers
- Le RGPD reprend de nombreux grands principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL.
- Le RGPD renforce les droits des personnes
- Le RGPD crée de nouveaux droits
Une responsabilisation accrue des acteurs traitant des données
Une redéfinition du rôle des autorités de protection, une meilleure coopération entre elles
Règlement général sur la protection des données (RGPD) : de quoi s’agit-il ?
Le règlement général sur la protection des données est un règlement européen du 27 avril 2016. Il pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens, afin de répondre aux évolutions du numérique. Il est directement applicable au 25 mai 2018 dans tous les pays de l’Union européenne (UE). Ces derniers disposent toutefois de marges de manœuvre sur plus d’une cinquantaine de points (majorité numérique, etc.).
L’esprit du RGPD
Le RGPD vient remplacer une directive du 24 octobre 1995, qui était jusqu’alors le socle européen en matière de protection et de circulation des données personnelles. La directive de 1995 a permis une harmonisation des législations des pays de l’UE sur le sujet mais cette harmonisation était imparfaite et partielle et créait une "insécurité juridique".
Le règlement d’avril 2016 entend donner une vision commune et homogène de la protection des données personnelles dans l’UE. Il renforce le droit des individus sur leurs données. Dans son premier considérant, celui-ci rappelle d’ailleurs que la protection des données personnelles est un droit fondamental. Ce droit est consacré à la fois par l’article 8 de la Charte des droits fondamentaux de l’UE et par l’article 16 du Traité sur le fonctionnement de l’UE (TFUE) qui disposent que "toute personne a droit à la protection des données à caractère personnel la concernant". Ce droit n’est cependant pas absolu et doit être concilié avec d’autres droits, comme la liberté d’entreprise.
Le champ d’application du RGPD
Le règlement s’applique à tous les traitements de données à caractère personnel, sauf exceptions (par exemple les fichiers de sécurité qui restent régis par les États membres ou encore les traitements en matière pénale qui relèvent d’une directive également du 27 avril 2016).
Il concerne les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication, etc.) établis dans l’UE et quel que soit le lieu de traitement des données. Il s‘étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler (profilage notamment pour prédire leurs préférences ou comportements, etc.). L’enjeu est de rehausser les standards de protection au-delà des frontières européennes.
En pratique, le règlement s’applique donc à chaque fois qu’un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés (comme les appareils domotiques, les objets mesurant l’activité physique, etc.).
Un cadre plus protecteur pour les données personnelles des particuliers
Le RGPD reprend de nombreux grands principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL.
Les données personnelles doivent être "traitées de manière licite, loyale et transparente" et "collectées pour des finalités déterminées, explicites et légitimes". Elles doivent être "adéquates, pertinentes et limitées" aux finalités du traitement, être "exactes et, si nécessaire, tenues à jour". Elles doivent être conservées de façon réduite dans le temps et dans des conditions de "sécurité appropriée".
Comme précédemment, les personnes disposent du droit d’accéder à leurs données ou de demander à les rectifier ou de s’y opposer. Elles ont aussi un droit à l’oubli c’est-à-dire un droit à l’effacement de leurs données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms). Ces droits sont complétés et consacrés.
Le RGPD renforce les droits des personnes.
Il élargit les informations qui doivent être fournies par les responsables de traitement et leur impose de mettre à disposition des personnes concernées une information claire, simple et facilement accessible. Les personnes doivent, sauf exceptions, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon "éclairée et univoque" (interdiction notamment des cases pré-cochées).
Le consentement des enfants est, de plus, pour la première fois encadré. Le RGDP fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles pour utiliser un service sur internet, typiquement les réseaux sociaux. On parle de majorité numérique. En deçà de 16 ans, l’autorisation des parents est nécessaire. Les États membres peuvent toutefois abaisser ce seuil jusqu’à 13 ans (la France l’a fixé à 15 ans).
En outre, la liste de catégories spéciales de données personnelles dites sensibles et qui bénéficient d’une protection particulière, est complétée. Il s’agit désormais des données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques ou biométriques, à la santé, à la vie sexuelle ou à l’orientation sexuelle des personnes. Le traitement de ces données est interdit, sauf dans des cas limitatifs et sous conditions. Les États membres peuvent prévoir des conditions supplémentaires, y compris des limitations, pour les données génétiques, biométriques ou de santé.
Le RGPD accorde également une plus grande protection face au profilage. Il maintient le droit pour toute personne de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé, y compris le profilage (par exemple recrutement en ligne sans aucune intervention humaine). A titre exceptionnel, les décisions individuelles automatisées sont toutefois autorisées mais les personnes disposent de garanties supplémentaires.
…/…