Le RGPD et les questions relatives à la protection des données personnelles

La question de la protection des données personnelles prend une dimension encore plus importante au moment où se met en place le Règlement Général européen sur la Protection des Données Personnelles (RGPD). Ce règlement, qui entrera en application le 24 mai 2018 et qui sera, à cette date, immédiatement applicable, poursuit 3 objectifs :

  • renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Protection des données personnelles et règlementation

Ce règlement se fonde sur un point clé : la protection des données dès la conception et par défaut (privacy by design). Les responsables de traitements (1) devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitées dès le départ (application du principe dit de « minimisation »).

Les implications du RGPD

Ce règlement impose la mise en place de nouveaux outils de conformité :

  • la tenue d’un registre des traitements mis en œuvre ;
  • la notification de failles de sécurité (aux autorités et personnes concernées : assimilées à un EIG) ;
  • la certification des traitements ;
  • l’adhésion à des codes de conduites ;
  • la mise en place dans chaque entreprise d’un DPO (délégué à la protection des données) ;
  • la conduite d’études d’impact sur la vie privée (EIVP).

Ce règlement a pour effet d’alléger les formalités administratives et d’accroître la responsabilisation des acteurs.

Non respect du règlement… et risques

Cependant les conséquences qu’il prévoit en termes de non-respect sont lourdes puisque les autorités de protection (ie : la CNIL ou l’organisme appelé à lui succéder) pourront :

  • prononcer un avertissement ;
  • mettre en demeure l’entreprise ;
  • limiter temporairement ou définitivement un traitement ;
  • suspendre les flux de données ;
  • ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • ordonner la rectification, la limitation ou l’effacement des données.

RGPD et droit des personnes

Enfin il convient de noter que le Règlement renforce le droit des personnes au travers notamment de :

  • l’expression du consentement : les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de celles-ci, ou pouvoir éventuellement s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.
  • le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.
  • l’introduction du principe des actions collectives : tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
  • un droit à réparation des dommages matériel ou moral : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Rappelons enfin que l’échelle des sanctions est considérablement alourdie puisque celles-ci peuvent aller jusqu’à 4% du chiffre d’affaire de l’entreprise.

La perspective du futur Règlement doit dès lors être intégrée à la réflexion des associations sur l’ensemble de leurs projets « Système d’Information ».

Ressourcial vous propose…

Ressourcial vous propose un accompagnement durant votre mise en conformité avec la RGPD. Diagnostic, recommandations, périmètre, démarches, retrouvez notre proposition en téléchargeant les deux documents suivants :

 


(1) : Rappelons que la notion de « traitement » est large. La loi Informatique et Libertés la définit ainsi :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction« .

« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés« .

Les commentaires sont fermés.