Les données à caractère personnel :

Sont considérés comme données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, identifiant en ligne, numéro d’identification, données de localisation) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

La création de nouveaux droits :

  • Droit à l’oubli numérique

Il consiste à l’effacement des données, mais également au déréférencement des données sur un moteur de recherche.
6 cas d’exercice de ce droit :

  • la personne concernée retire son consentement
  • les données ne sont plus nécessaires au regard de la finalité du traitement
  • la personne concernée exerce son droit d’opposition
  • le traitement est illicite
  • en l’absence de consentement de ses représentants légaux d’un mineur
  • pour se conformer à une obligation légale

Exclusion de la faculté d’exerciceDroit à la portabilité des données personnelles du droit à l’oubli : pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9 ou à des fins de recherches scientifiques, archivistiques.

  • Droit à la portabilité des données personnelles

La personne concernée dispose d’un droit qui lui permet de transférer ses données à un autre prestataire de service en vue de leurs traitements. La portabilité doit permettre à la personne concernée de recevoir ses données personnelles dans un format structuré et exploitable informatiquement et de les transmettre à un autre responsable de traitement.
Condition : existence d’un traitement informatisé des données (pas de droit en cas de traitement papier)

  • données concernées : données fournies par la personne concernée
    données déclarées activement par la personne concernée (ex. adresse électronique, nom d’utilisateur, âge)
  • données générées par l’activité de la personne concernée (par ex : recherches faites sur internet, courriels envoyés ou reçus)

Sont donc exclues les données calculées ou inférées à partir des données fournies par la personne concernée pour établir des statistiques par exemple.

Objectif de cette nouvelle règlementation européenne :
protéger davantage les données à caractère personnel des personnes physiques au niveau international.

La création de nouvelles obligations

  • recueil actif du consentement (déclaration ou case à cocher)
  • justifier du consentement

Les responsables :

les responsables de traitement et leurs sous-traitants
conditions :

  • la personne doit décider de la finalité du traitement et les catégories des données à collecter
  • la personne doit décider des moyens du traitement (durée de conservation, destinataire, droit d’opposition, droit de rectification)

Le contrat liant le responsable de traitement et son sous-traitant doit donc faire l’objet d’une attention particulière.
Le sous-traitant peut voir sa responsabilité engagée en outre en sa qualité de professionnel.

Mise en œuvre

  • Désigner au sein de l’entreprise un responsable de traitement ou un DPO le cas échéant *
  • Rédiger une cartographie des différents traitements de données personnelles
  • Corriger les process d’obtention des consentements
  • Actualiser ses conditions générales d’utilisation et/ou de vente accessibles sur le site Internet
  • Définir les modalités d’exercice des droits des personnes concernées

(*) la nomination d’un DPO est obligatoire dans trois types de structures :

  • autorités et organismes publics (préfectures, ministères ou mairies)
  • organismes dont l’activité nécessite un suivi régulier et à grande échelle des personnes concernées (banques, sociétés d’assurances et mutuelles)
  • organismes traitant de données sensibles à grande échelle (organismes de santé)

Délai

Le RGPD est applicable depuis le 25 mai 2018

Les sanctions

Le RGPD prévoit des sanctions pécuniaires extrêmement dissuasives pour contraindre les responsables de traitement et les sous-traitants à respecter les prescriptions dudit Règlement.

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements aux mesures préventives ayant pour but de limiter les risques d’abus et de violation des données
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Les sanctions pénales sont de la compétence législative nationale des états membres de l’Union Européenne.

Jurisprudence

Dans deux décisions rendues par la CNIL (juillet 2018) les sociétés HERTZ et OUICAR ont été condamnées à des sanctions pécuniaires et la publicité de la décision, à la suite de défaillance dans leur système de sécurité des données traitées, pour négligence dans la surveillance des actions du sous-traitant quand bien même elles avaient immédiatement fait cesser le trouble.


À noter

Ne pas se mettre en conformité avec le RGPD pourrait se révéler néfaste en termes d’image engendrant un risque de perte de la confiance des clients de l’entreprise concernée.