Le règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD » a été publié le 27 avril 2016 au Journal officiel de l’Union européenne et est entré en vigueur le 25 mai 2018.

Ce règlement vise à concilier deux objectifs :

  • renforcer les droits des citoyens de l’Union ;
  • et responsabiliser les différents acteurs du traitement des données personnelles.

Ainsi, en vertu de la protection des données à caractère personnel et du droit au respect de la vie privée, qui sont des droits fondamentaux, toute utilisation d’informations concernant une personne physique identifiée ou identifiable doit être soumise au respect d’un nouveau cadre général de protection issu du règlement.

L’objectif essentiel est de renforcer l’information des citoyens à travers des exigences relatives à la transparence de l’information et aux finalités recherchées par l’information. Notamment, la personne concernée doit être informée de l’existence du traitement d’une donnée la concernant, de la durée de conservation de celle-ci et son consentement est nécessaire au recueil et à l’utilisation de ses données personnelles.

Ainsi, le traitement des données ne peut se faire sans le consentement de la personne concernée et uniquement à des fins déterminées jusqu’au moment où la personne décide de retirer son consentement.

Le consentement doit être :

  • « indubitable » pour les traitements de données sensibles
  • « explicite » dans tous les cas où il est exigé

Nouveaux droits. Le règlement consacre plusieurs droits nouveaux :

  • Un droit à l’effacement des données, dit « droit à l’oubli » qui permet à la personne concernée d’obtenir l’effacement de tous les liens vers les données à caractère personnel diffusées qu’un tribunal ou une autorité réglementaire aura jugé nécessaire. Le responsable du traitement devra alors prendre toutes les mesures raisonnables pour procéder à l’effacement de ces données, y compris par des tiers. Certaines exceptions sont prévues si le traitement des données est justifié pour exercer le droit à la liberté d’expression et d’information, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques.
  • Un droit à la limitation du traitement ainsi qu’un droit à la portabilité, facilitant le transfert de données à caractère personnel d’un fournisseur de services à un autre. Désormais, les personnes peuvent s’opposer aux traitements aboutissant à une décision automatisée et susceptibles de porter atteinte à leurs droits.
  • Une protection spécifique des mineurs. Entre 13 et 16 ans, selon les États (15 ans en France), le consentement des parents est requis préalablement au recueil et au traitement des données de leurs enfants.

Des exceptions aux règles générales sont prévues pour les traitements de données journalistiques, l’accès aux documents officiels, l’utilisation du numéro national d’identification et les traitements effectués dans le cadre des relations de travail.

Conférence « Les collectivités territoriales face aux défis du RGPD »
IVème Agor@ du FIC en partenariat avec le journal Contexte
Jeudi 22 juin 2018 à la Maison de la Chimie


Nouveaux outils
. Le règlement prévoit de nouveaux outils permettant d’accentuer la responsabilité et l’autonomie des responsables du traitement et garantir ainsi le respect absolu des nouvelles règles en matière de protection des données personnelles :

  • L’obligation de tenir une documentation permettant aux responsables du traitement des entreprises de plus de 250 salariés et aux collectivités et organismes publics, de prouver leur conformité au texte. Cette première mesure de responsabilisation résulte de la suppression de l’obligation de déclaration (voire d’autorisation dans certains cas) préalable à la mise en œuvre d’un traitement automatisé.
  • Un système d’analyse de risque. Lorsque cette analyse met en évidence que les traitements envisagés sont potentiellement risqués au regard des droits et des libertés, l’autorité nationale de protection des données (en France, la CNIL) doit être consultée avant toute mise en œuvre des traitements. Cette autorité peut imposer la mise en place de mesures afin de respecter les dispositions légales. En fonction des résultats de l’analyse des risques, le responsable du traitement pourra être amené à désigner un délégué à la protection des données.
  • Le mécanisme du « guichet unique » permet à une entreprise ayant des filiales dans plusieurs États membres de n’avoir à traiter qu’avec l’autorité de contrôle de l’État membre dans lequel elle a son établissement principal. En cas de désaccord, le Comité européen de la protection des données sera consulté.
  • Les principes de la « protection des données dès la conception » et de la « protection des données par défaut » sont introduits. Les responsables de traitements doivent garantir que les traitements de données ne portent pas atteinte à la vie privée des personnes au moment de la conception du traitement mais également tout au long de la durée de vie du traitement.
  • Une obligation de notification des fuites de données aux autorités dans un délai de 72 heures.
  • Des codes de conduites par secteur d’activité et des mécanismes de certifications afin d’orienter les entreprises dans la mise en œuvre des nouvelles règles.

Droit à réparation du préjudice subi. Les personnes concernées peuvent introduire une réclamation auprès de l’autorité nationale de contrôle ou former un recours juridictionnel.

Code de conduite par secteur d’activité. Des règles nouvelles concernant le transfert de données vers les pays tiers et les organisations internationales hors Union européenne sont prévues par le règlement et prévoient la possibilité de se fonder sur un code de conduite par secteur d’activité.

Contrat de transfert de données. Le transfert des données vers des États tiers ne nécessite plus d’autorisation de transfert par la CNIL mais exige la signature d’un contrat de transfert de données.

Liens internet utiles :

–        https://www.cnil.fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales

–        https://www.cnil.fr/professionnel

–        https://www.data.gouv.fr/fr.datasets/correspondants-informatique-et-libertes-cil/ : collectivités territoriales ayant d’ores et déjà désigné un correspondant

–        https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes : méthodologie en 6 étapes

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *