Le RGPD

Le règlement général sur la protection des données (RGPD) est un corpus de règles applicables en France et dans tous les pays de l’Union européenne afin de protéger les données personnelles du citoyen dans tous les actes de sa vie quotidienne. Un nouveau guide pratique est paru durant l’été 2023. Il est consultable sur le site : www.cnil.fr/sites/cnil/files/atoms/files/cnil_guide_securite_des_donnees_personnelles-2023.pdf.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données organise la protection des données à caractère personnel lorsqu’elles font l’objet d’un traitement. Il a réactualisé une grande partie des dispositions de la loi informatique et libertés de 1978, qui avait déjà été modifiées à de nombreuses reprises.

Par « données à caractère personnel », il faut comprendre toute information permettant d’identifier une personne directement (par exemple, ses nom et prénom) ou indirectement (par exemple, son numéro de téléphone).

Une personne peut être identifiée à partir d’une seule donnée, par exemple son numéro de sécurité sociale ou son matricule de licence sportive.

Les adresses IP et les éléments de géolocalisation font partie des données personnelles.

Le RGPD ne s’applique que s’il y a traitement de données personnelles.

Qu’est ce qu’un traitement de données personnelles ?

Le traitement de données personnelles est une opération ou un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, restructuration, conservation, adaptation, diffusion, mise à disposition, etc. Peu importe qu’il s’agisse d’un fichier informatique ou d’un fichier papier.

Ces données doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée : son consentement est obligatoire, sauf si le traitement répond à une obligation légale (par exemple, les fichiers des services fiscaux sont établis sans le consentement des contribuables) ;
  • collectées pour des finalités déterminées, explicites et légitimes, en se limitant à ces finalités sans pouvoir être utilisées pour d’autres. La CNIL a, par exemple, autorisé les employeurs à mettre en place un traitement portant sur des données biométriques strictement nécessaires au contrôle de l’accès des lieux de travail ;
  • exactes et tenues à jour ;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au but de la collecte (données d’un candidat détenues par un cabinet après son recrutement par une entreprise, par exemple).

Le traitement de données relatives aux infractions, condamnations et mesures de sûreté encourues par une personne ne peut être effectuée que sous le contrôle de l’autorité publique.

Quels sont les droits des personnes fichées ?

L’organisme collecteur des données doit informer les personnes concernées que :

  • leurs données sont enregistrées dans un fichier informatisé (ou non) ;
  • elles peuvent à tout moment retirer leur consentement ;
  • elles peuvent y avoir accès, en demander l’effacement ou la rectification.

Tous les organismes et entreprises doivent indiquer sur leurs documents et sur leurs sites Internet l’identité et les coordonnées du responsable du traitement : il s’agit de la personne à contacter pour obtenir la suppression ou la rectification des données personnelles.

La Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller au respect du RGPD et d’en contrôler la bonne application afin de protéger les droits et libertés des citoyens. La CNIL est une autorité administrative indépendante qui peut infliger des sanctions administratives. Elle a, par exemple, infligé une lourde amende administrative à une banque qui avait maintenu pendant de longues années le fichage d’un client qui avait pourtant payé sa dette.

La personne qui souhaite obtenir l’accès, la suppression ou la rectification de ses données doit d’abord s’adresser à l’organisme ou à l’entreprise concernée. En cas de refus ou de silence, elle peut saisir la CNIL, soit par lettre postale, soit via son site internet (www.cnil.fr). La CNIL interviendra auprès de l’organisme ou de l’entreprise. Si le refus persiste, elle adressera une mise en demeure puis infligera une sanction sous forme d’amende.

BON À SAVOIR

L’entreprise victime d’une atteinte aux données personnelles figurant dans ses fichiers (attaque de son système informatique, accès non autorisé, divulgation, vol, perte accidentelle, etc.) doit en informer la CNIL. Cette notification est effectuée en ligne sur le site de la CNIL au plus tard dans les 72 heures si ce dommage volontaire ou accidentel est susceptible de représenter un risque pour les droits et libertés des personnes concernées.Parallèlement, il est également obligatoire d’avertir les personnes dont les données ont été potentiellement mises en danger.
Règlement UE 2016/679 du 27/4/2016. Loi n° 78-17 (modifiée) du 6/1/1978. C. pénal : Art. 226-16 à 226-24, R. 625-10 à R. 625-13.

Éditions Prat - Tous droits réservés 2023