RGPD et données personnelles : définition, obligations, Cnil
Qu'est-ce que le RGPD ?
Le RGPD (« règlement général sur la protection des données ») est un règlement européen qui encadre les règles de protection des données personnelles (règlement UE 2016/679). Il fixe de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement (essentiellement des administrations et des entreprises). Le RGPD est entré en vigueur en France et dans les autres pays de l'UE le 25 mai 2018 (date inscrite à l'article 99 du RGPD).
Contrairement aux directives, les règlements européens sont directement applicables dans tout État membre.
Cette réglementation vise à mieux adapter le droit des personnes à l'évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés... qui reposent en grande partie sur la collecte et le traitement des données personnelles.
Où trouver le texte du RGPD ?
Le texte du règlement est consultable en ligne sous la forme d'un fichier PDF. Vous pouvez ainsi télécharger le texte du RGPD directement sur internet. La parution du règlement européen a précédé celle de la loi française sur la protection des données personnelles, afin d'adapter l'ancienne loi Informatique et Libertés aux nouvelles règles européennes (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles).
Qui est concerné par le RGPD ?
Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD. Les informations permettant d'identifier une personne sont notamment considérées comme des données personnelles : le nom, l'adresse, la date de naissance, la localisation, l'adresse IP... Dès lors que l'entreprise stocke ces données (que cela soit sous la forme de fichier, de tableau, etc.), elle est concernée.
Le texte ne vise donc pas que les réseaux sociaux ou les plateformes internet travaillant massivement sur le « big data » (Google, Facebook...), mais aussi toutes les grandes entreprises, les PME et les TPE qui effectuent des traitements de données. Les nouvelles obligations concernent notamment les sous-traitants des grandes sociétés qui devront démontrer leur mise en conformité au RGPD. Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations ou les associations sont également concernées.
En revanche, le RGPD ne s'applique pas aux particuliers, c'est-à-dire, selon l'article 18 du règlement, aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d'activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.
Quels sont les droits et obligations du RGPD ?
Le RGPD instaure de nouveaux droits pour les personnes dont les données personnelles sont traitées. Voici les principaux.
Information du consommateur
Lorsqu'il collecte les données d'une personne, le responsable du traitement doit lui fournir un certain nombre d'informations dont la liste figure aux articles 13 et 14 du RGPD. Elle comprend notamment l'identité et les coordonnées du responsable du traitement (et le cas échéant, les coordonnées du DPO), les finalités de ce traitement, ainsi que l'indication des destinataires de ces données.
Demande d'effacement et droit à l'oubli
L'article 17 du RGPD prévoit également un droit à l'effacement : la personne concernée peut demander l'effacement de ses données pour l'un des motifs listés dans l'article. Le responsable du traitement devra alors procéder à la suppression des données dans les meilleurs délais. A noter que la CJUE avait déjà reconnu un « droit à l'oubli numérique » permettant à une personne de demander à un moteur de recherche de dé-référencer des résultats le concernant. Google avait alors mis en ligne un formulaire Google de droit à l'oubli.
Droit à la portabilité
Le règlement crée un droit à la portabilité des données. Il permet, en quelque sorte, à une personne physique de s'approprier ses propres données et donc d'en demander :
- la restitution : la personne peut récupérer ses données afin de pouvoir les stocker et les réutiliser pour son usage personnel, comme bon lui semble ;
- le transfert à un autre responsable de traitement, l'un des objectifs affichés de ce nouveau droit consistant à faire jouer la concurrence entre les différents responsables de traitement (à l'image de ce qui existe en matière de portabilité des numéros de téléphone, par exemple).
Le responsable de traitement d'origine ne peut pas s'opposer à la demande de la personne concernée. La personne dispose également d'un droit d'opposition dans les cas listés par l'article 21 du règlement. C'est notamment le cas lorsque ses données personnelles sont traitées à des fins de prospection commerciale.
Action collective
Le règlement autorise les actions de groupe, à l'instar des droits existant en matière de consommation. Des associations pourront donc agir en justice pour faire valoir les droits des personnes en matière de protection des données personnelles.
DPO
L'article 37 du RGPD prévoit l'obligation de nommer un délégué à la protection des données ou DPO : « Data Protection Officer ». Il est principalement chargé du bon respect, par l'organisme pour lequel il travaille, de la réglementation applicable à la protection des données.
Protection et sécurité
Le responsable du traitement des données doit respecter un certain nombre d'obligations en matière de protection et de sécurisation des données qu'il traite. Ses obligations figurent au chapitre IV du RGPD. Dans ce cadre, ses représentants doivent notamment coopérer avec la CNIL. En cas de vol de données personnelles (exemple : lorsque l'entreprise s'est faite piratée), l'entreprise doit notamment avertir les utilisateurs dès lors que cette violation engendre un risque important pour les droits et les libertés et que ces données volées ne sont pas protégées par la cryptographie.
Quel est le pouvoir de la CNIL prévu par le RGPD ?
Pour les données les moins sensibles, les formalités préalables auxquelles sont actuellement soumis les organismes de traitement de données vont être réduites. D'un système de contrôle a priori de la CNIL (avec des déclarations et des autorisations préalables), la réglementation passera à un système de contrôle a posteriori.
Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci peut désormais infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise concernée.
Juridique et social
- Rgpd définition cnil
- Modification rgpd
- Google form rgpd
- DPO (RGPD) : définition, obligations, missions > Guide
- Puis je réclamer mon enregistrement téléphonique [résolu] > Forum - Justice
- Enregistrement conversation téléphonique [résolu] > Forum - Licenciement
- Enregistrement d'appel avec un FAI > Forum - Justice
- Mon client enregistre mes conversations téléphoniques avec lui > Forum - Justice
- Smic 2022 : montant du Smic net et brut, mensuel et horaire
- Calcul du salaire brut en net : simulation 2022 net et brut
- Tarifs SACEM et SPRE : grilles et barèmes 2021
- Plafond de la Sécurité sociale 2022 : montant
- Paiement du salaire : les droits du salarié
- Différence entre entreprise et société : définitions
- Comment trouver les statuts d'une société
- Port du voile au travail : ce que dit la loi
- Taux des cotisations sociales sur les salaires 2022
- Contacter l'Urssaf par téléphone : les numéros
- Enseignes et publicité extérieure : règles d'affichage et loi
- Entraide familiale et contrat de travail : règles légales
- Convention collective sur le bulletin de salaire : mentions
- Minimum garanti 2022 : montant
- Etat d'endettement d'une entreprise : demande en ligne
- Numéro Siret : rechercher le Siret d'une entreprise
- Kbis : demande d'extrait Kbis gratuit en ligne
- Délais de paiement d'un fournisseur (légal et contractuel) : sanctions et pénalités
- Responsabilité des dettes et entreprise individuelle
- Index égalité hommes - femmes : calcul et obligations
- Soldes : droits du consommateur et réglementation
- Mentions obligatoires d'une facture : obligations et sanctions
- Mutuelle santé d'entreprise obligatoire : les règles légales
- Remplacement d'un salarié par un intérimaire : conditions
- Durée de conservation des papiers et documents d'une entreprise
- Réduction Fillon : calcul de la réduction générale de charges
- Bénéficiaire effectif : définition et formulaire de déclaration
- DSN obligatoire : définition et dates
- Dépôt des comptes simplifié et confidentiel TPE-PME : greffe
- DPAE (ex-DUE) : définition, déclaration en ligne, formulaire, délai