Depuis 2018 dans toute l’Union européenne, un nouveau cadre juridique a été instauré pour la protection des données personnelles qui est stipulé dans le RGPD, Règlement général sur la protection des données.

La loi d’encadrement relative à la protection des données personnelles

Une mise à jour a été effectuée en Mai 2018, s’inscrivant dans la continuité de la loi initiale de 1978 “Informatique et Libertés” pour l’adapter aux dispositions du RGPD.

Les droits de chaque citoyen européen sont renforcés de ce fait et cela responsabilise les acteurs qui traitent toute donnée personnelle sur le territoire de l’UE.

Ce nouveau RGPD harmonise les règles en offrant un cadre juridique aux professionnels et en se fondant sur la confiance des utilisateurs pour toute activité numérique.

Il est à appliquer également pour les entreprises qui ont leur siège en dehors de l’Union Européenne mais qui traitent des données de citoyens membres.

La notion de “données personnelles”

On dit d’une donnée personnelle qu’elle est “toute information qui se rapporte à une personne susceptible d’être identifiable ou identifiée”.

Selon l’article 4 du RGPD, l’identification d’une personne physique peut se faire aussi bien directement qu’indirectement : nom, prénom, un numéro client, un numéro de téléphone, la voix ou l’image,...

Actuellement, une donnée est considéré personnelle quand il s’agit :

  • d’un email
  • d’une adresse de lieu de travail
  • d’un poste de travail

Un élargissement a été établi depuis le nouveau RGPD et certaines autres données sont maintenant concernées :

  • les cookies
  • les numéros identifiants
  • les données de géolocalisation 
  • les éléments propres à son identité physique  

Le traitement de données personnelles 

A partir d’une seule donnée, il est possible d’identifier une personne physique (ADN, numéro de carte d'identité ou de sécurité sociale) ou bien par le biais d’un croisement de plusieurs données (adresse, date de naissance, numéro d’abonné, adresse).

Dès lors qu’on traite des données, on met en place un ensemble d’opérations de traitement d’informations à caractère personnel. De manière automatisé ou manuel, on utilisera un procédé de recherches, de collecte, d'enregistrement, d'organisation, d’extraction, de conservation,,...

Un traitement de données a pour objectif de collecter des informations qui lui seront utiles par le futur :

  • Gestion et consultation d’une base de données de contacts
  • Envoi de campagnes promotionnelles de “mailing”
  • Affichage de la photo d’une personne sur un site web
  • Conservation des adresses IP 
  • Enregistrement des articles favoris d’un utilisateur

Dans le cadre d’une activité professionnelle, éditer une facture par exemple fait partie d’une opération qui constitue un traitement de données personnelles dans le but de la gestion de sa clientèle. 

Le contexte juridique s’est adapté pour suivre les évolutions technologiques avec le développement du commerce en ligne et les publications sur les réseaux sociaux.

Sachez que malgré l'usage accru du numérique, un traitement de données n’est pas nécessairement informatisé : les fichiers papiers sont encore concernés et doivent également être protégés dans les mêmes conditions.

Les droits relatifs 

Toute organisation qu’elle soit publique ou privée est concernée dès lors que son activité professionnelle cible les résidents établis sur le territoire de l’Union européenne.

Le règlement concerne aussi les sous-traitants qui utilisent des données pour le compte d’autres entreprises. Pour toute collecte d’informations pour une autre entité, des obligations plus spécifiques sont précisées dans le RGPD pour garantir la protection des données confiées.

Pour équilibrer la régulation des données, un certain nombre de droits existent comme : 

  • demander des informations sur le traitement des données personnelles
  • obtenir l’accès aux données détenues
  • demander une correction de certaines données erronées ou inexactes
  • demander à effacer certaines données à caractère personnel une fois traitées
  • demander à limiter le traitement de ces données selon certains cas
  • s’opposer au traitement de ces données pour une quelconque prospection
  • récupérer ces données dans un format spécifique pour un usage propre ou un éventuel transfert d’informations...

En cas d’atteinte à la vie privée ou de violation du RGPD, chaque citoyen dispose d’un droit de recours. Il faut alors déposer une réclamation ou bien introduire une action collective comme en faisant appel aux associations nationales agréées de défense des consommateurs.

Obligations et risques encourus 

Chaque entreprise doit définir quelles sont ses obligations afin de pouvoir se mettre en conformité.

Nombre d'obligations sont imposées dont celle d’informer en amont sur les données collectées auprès des utilisateurs via des mentions légales RGPD.  Celles-ci se cumulent avec les mentions légales classiques. 

Le RGPD sert de référence pour tous les pays européens car il est applicable dans tout état membre et identifie les procédures obligatoires qui veillent :

  • au respect de principe sur la protection de la vie privée et les droits des consommateurs
  • au recensement des traitements dans un registre
  • à s'assurer que les utilisateurs détiennent les informations claires et lisibles à leur portée concernant la conservation des données et éventuels recours
  • à prouver que le traitement respecte les règles applicables en vigueur 
  • à notifier toute violation aux données personnelles au responsable du traitement aux autorités compétentes et personnes concernées 
  • à mettre en place une étude sur l’impact sur la vie privée pour tout traitement à risque
  • à désigner un délégué chargé de la protection des données pour les organisations publiques et dans autres certains cas 

Une amende est fixée à 20 millions d’euros (évaluable à 4% du chiffre d’affaire) par la cour de justice en cas de manquement. Le montant est élevé pour dissuader les entreprises réticentes à contrôler la collecte de données d’informations personnelles.

Contrôle et application du RGPD

En France, c’est la CNIL, la commission nationale informatique et libertés, qui est l'autorité compétente chargée de contrôler l’application de la législation concernant la protection des données.

Des enquêtes peuvent être imposées en cas d'infraction pour fournir des conseils d’experts sur toutes les questions liées à la protection des données et assurer une correction suite à d’éventuelles réclamations.

En cas de transfert des données hors ou en U.E, la CNIL, est l’interlocuteur à privilégier entre tous les établissements responsables du traitement des données.

Elle est l’unique décisionnaire et facilite les recours sur le territoire. 

Pour tout de vol de données, aussi bien la CNIL que les utilisateurs concernés doivent être informés dans les 72H.

Cas spécial :

La désignation d’un délégué interne ou externe à l’entreprise est obligatoire pour tout organisme “dont les activités les amènent à réaliser un suivi récurrent de personnes à grande échelle” ou bien “qui traitent des données qu'on qualifierait sensibles ou relatives à des infractions” en plus des autorités publiques.

Véritable référent, le successeur du CIL (Correspondant informatique et libertés) est le délégué qui joue le rôle d’intermédiaire entre les organismes et le CNIL et doit veiller à la bonne application du RGPD.

C’est lui qui fera remonter les manquements constatés et en profitera pour sensibiliser sur les nouvelles modalités du règlement. 

Il doit instaurer un climat de confiance entre les entités tout en renforçant la sécurité juridique sur le contenu digital.