SOMMAIRE :
Règlement général sur la protection des données (RGPD) : de quoi s’agit-il ?
L’esprit du RGPD
Le champ d’application du RGPD
Un cadre plus protecteur pour les données personnelles des particuliers
- Le RGPD reprend de nombreux grands principes déjà inscrits dans le droit européen et dans la loi "Informatique et libertés" du 6 janvier 1978, dite loi CNIL.
- Le RGPD renforce les droits des personnes
- Le RGPD crée de nouveaux droits
Une responsabilisation accrue des acteurs traitant des données
Une redéfinition du rôle des autorités de protection, une meilleure coopération entre elles
…/…
Le RGPD crée de nouveaux droits :
- droit à la portabilité de ses données. Toute personne doit pouvoir récupérer les données qu’elle a fournies à une plateforme et les transférer gratuitement à une autre (réseau social, etc.) :
- droit à notification en cas de piratage de ses données personnelles. La personne concernée doit être rapidement avertie par le responsable du traitement, sauf dans certaines situations (par exemple données déjà chiffrées) ;
- action de groupe. Toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour introduire une réclamation ou un recours et obtenir réparation en cas de violation de ses données ;
- droit à réparation du dommage matériel ou moral. Toute personne qui a subi un tel dommage du fait de la violation du RGPD peut obtenir du responsable du traitement ou du sous-traitant la réparation de son préjudice.
Une responsabilisation accrue des acteurs traitant des données
Le RGPD modifie les obligations qui s’imposent aux acteurs traitant des données personnelles. Les formalités préalables auprès des autorités de protection des données auxquelles étaient soumis ces acteurs sont remplacées par des mécanismes de conformité et de responsabilité.
La première obligation pesant sur les responsables de traitement est de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires à la protection des données personnelles. Cette protection doit se faire dès la conception du produit ou du service (principe de minimisation des données) et par défaut. Cette obligation s’applique également aux sous-traitants qui doivent présenter des garanties suffisantes en vue d’assurer la protection des données personnelles.
Les responsables de traitement et leurs sous-traitants doivent garantir un niveau de sécurité et de confidentialité approprié et pouvoir démontrer à tout moment que le traitement est effectué conformément au règlement européen.
Hormis les cas où le droit des États membres peut maintenir des autorisations pour certaines catégories de données ou de traitements (par exemple en matière de santé), la plupart des obligations déclaratives et des autorisations préalables sont supprimées.
Pour les responsables de traitements présentant un risque élevé pour les droits et libertés des personnes, elles sont remplacées par l’obligation de mener une étude d’impact sur la vie privée (EIVP ou PIA). Concrètement sont visés les traitements de données sensibles (ceux touchant aux opinions politiques, religieuses, aux données génétiques ou biométriques, etc.) et les traitements reposant sur l’évaluation des personnes, notamment sur le profilage. En cas de risque élevé, le responsable du traitement doit consulter son autorité de protection, qui peut s’opposer au traitement.
L’allègement des formalités des acteurs traitant des données se traduit notamment par :
- la désignation d’un délégué à la protection des données(obligatoire pour les autorités et organismes publics ainsi que pour les responsables et sous-traitants qui suivent à grande échelle et de façon systématique des personnes ou traitent à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions) ;
- l’obligation de tenir une documentation, en particulier un registre des activités des traitementspour toutes les entreprises de plus de 250 salariés et, dans des cas particuliers, pour les plus petites structures ;
- la participation à des mécanismes de certificationdes traitements ;
- l’adhésion à des codes de bonne conduite élaborés par des associations ou organismes représentant des catégories de responsables de traitement ou sous-traitants (ces codes sont soumis à l’avis des autorités de protection qui les publient) ;
- l’obligation de notifier dans les 72 heures à leur autorité de protection les fuites de données personnelles.
Des outils supplémentaires sont prévus pour encadrer les transferts de données vers des pays hors UE. Ces derniers sont par défaut interdits, sauf s’ils respectent plusieurs conditions. C’est le cas par exemple si la Commission européenne décide que le pays tiers "assure un niveau de protection adéquat". C’est sur ce mécanisme que repose le "Privacy shield", l’accord conclu en 2016 entre l’UE et les États-Unis sur le transfert de données transatlantiques.
Une redéfinition du rôle des autorités de protection, une meilleure coopération entre elles
Le RGPD redéfinit le rôle des autorités de protection des données (APD) des pays membres. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui assure cette mission.
Ces dernières passent d’une activité de contrôle a priori à une activité de contrôle a posteriori (notamment sur les études d’impact de la vie privée et les registres des activités de traitements). Elles ont un nouveau rôle d’accompagnement des entreprises, notamment des petites et moyennes entreprises, des organismes publics ainsi que des délégués à la protection des données (DPD).
Le RGPD instaure, par ailleurs, un mécanisme de guichet unique afin d’améliorer la coopération entre les autorités de protection des données en cas de traitements transnationaux. Dans ces cas, l’entreprise ne rend compte qu’à une seule autorité de protection, celle du pays où se situe son établissement principal. Cette autorité, désignée comme autorité "chef de file", coopère avec les autres autorités de protection concernées (assistance mutuelle, enquêtes communes, etc.) pour s’assurer de la conformité des traitements mis en œuvre. Les décisions sont adoptées conjointement par l’ensemble de ces autorités, notamment en termes de sanctions. En cas de désaccord entre l’autorité chef de file et les autres autorités de protection quant aux mesures proposées, l’affaire est portée devant le Comité européen de la protection des données (CEPD). Ce dernier, qui remplace le G29, est chargé de veiller à l’application uniforme du RGPD dans l’UE.
Enfin, le RGPD permet aux autorités de protection de prononcer des amendes administratives plus importantes. En cas de violation du règlement, ces amendes peuvent désormais atteindre, selon la catégorie du manquement, 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les États membres peuvent prévoir ou non dans leur législation de telles amendes pour leurs autorités et organismes publics.
Sur la toile publique
- Règlement (UE) du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
- Réforme des règles de l’UE en matière de protection des données 2018 – Site Europa,