Le Règlement (UE)2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général de Protection des Données) est applicable depuis le 25 mai 2018.
Le cadre juridique français a été réformé par la loi du 20 juin 2018 relative à la protection des données à caractère personnel et son décret d’application du 1er août 2018 pour se conformer au RGPD.
Ce règlement définit des notions essentielles (1), reconnaît des droits aux personnes titulaires des données (2) et précise les attributions des principaux acteurs de la protection des données à caractère personnel (3).
1.LA DEFINITION DE NOTIONS ESSENTIELLES
Tout d’abord, le RGPD définit les données à caractère personnel comme toute information permettant d’identifier une personne physique directement ou indirectement. Il peut s’agir du nom, de l’adresse mail ou postale, du numéro de téléphone, de la photo, d’un identifiant ou numéro de matricule, voire de données de localisation.
Il convient de préciser que l’identification indirecte d’une personne peut s’effectuer par un numéro de matricule, une empreinte digitale ou un numéro de téléphone.
Le RGPD définit également les données sensibles qui portent sur l’orientation sexuelle, les opinions, l’origine raciale ou ethnique. Les données génétiques et biométriques sont également considérées comme sensibles en vertu de la loi du 20 juin 2018 relative à la protection des données à caractère personnel.
Ces données sensibles, ne doivent pas, en principe, faire l’objet de traitement. Mais, des dérogations à cette interdiction sont prévues :
- si la personne a expressément consenti au traitement de ses données ;
- si la personne les a rendues publiques ;
- si ces données concernent la Sécurité Sociale ;
- si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
Ensuite, selon les disposition prévues par cette loi :
- les traitements de données biométriques sont possibles s’ils sont strictement nécessaire aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail ;
- les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data
2. LA CONSECRATION DES DROITS DES PERSONNES TITULAIRES DES DONNEES
Le RGPD reconnaît des droits aux personnes titulaires des données.
Il impose le consentement et l’information préalables de ces personnes. Elles ont un droit d’accès à leurs données et un droit de notification en cas de piratage de celles-ci. Elles disposent également d’un droit de rectification et de limitation du traitement de leurs données.
Le RGPD consacre, en outre, le droit d’opposition et à l’effacement (droit à l’oubli numérique).
Par ailleurs, le droit à la portabilité des données offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’informations à un autre, en vue de leur réutilisation à des fins personnelles. Le RGPD consacre aussi le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.
Enfin, au niveau des droits, une action individuelle ou collective peut être engagée contre une administration ou une entreprise qui ne protégerait pas les données à caractère personnel. La CNIL ou les juridictions compétentes peuvent être saisies.
3. LES PRINCIPAUX ACTEURS DE LA PROTECTION DES DONNEES
Le Responsable de traitement
Aux termes de l’article 4 du RGPD, le Responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont définis par le droit de l’UE ou le droit d’un Etat partie, le Responsable de traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par ces régimes juridiques. Il doit tenir un registre de traitement et prendre des mesures techniques et organisationnelles pour assurer la protection des données à caractère personnel.
Le sous-traitant
C’est celui qui traite des données à caractère personnel pour le Responsable du traitement.
Le Délégué à la Protection des données personnelles (DPO)
Le DPO doit informer et conseiller le Responsable du traitement. Il doit également favoriser la diffusion d’une culture ” informatique et libertés ” et contrôler le respect du RGPD et du droit national en matière de protection des données. Il conseille le Responsable du Traitement dans la réalisation d’une analyse d’impact relative à la protection des données et contrôle son exécution. Il coopère avec la CNIL et est le point de contact avec celle-ci. Le DPO peut être commun à plusieurs administrations.
L’adaptation des compétences de la CNIL
L’entrée en vigueur du RGPD a imposé l’adaptation des compétences de la CNIL. Elle dispose des compétences pour certifier les organismes qui collectent les données personnelles et peut effectuer des contrôles en ligne sous une identité d’emprunt. Elle peut aussi opérer des contrôles inopinés, sur auditions, sur pièces ou sur place dans l’administration ou l’entreprise.
En cas de non respect des dispositions du RGPD, elle peut prononcer des sanctions administratives et financières, sanctions qui peuvent être contestées devant le Conseil d’Etat dans un délai de deux mois.