"RGPD" : le renforcement de la protection de vos données personnelles

Fiche pratique J 326


Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "RGPD") est entré en vigueur.

 

Le RGPD renforce les obligations des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données personnelles.

 

Cette fiche de l'Institut national de la consommation vous décrypte ce qu'est le RGPD, quels sont vos droits, etc.

 

 

1 - Qu’est-ce que le RGPD ?

2 - Quel est le champ d'application territorial du RGPD ?

3 - Qu’est-ce qu’un traitement de données personnelles ?

4 - Quels sont les grands principes du RGPD ?

5 - Quelles sont les informations auxquelles vous devez faire attention ?

6 - Quels sont vos droits sur vos données personnelles ?

7 - Quelles sont les obligations en termes de sécurité ?

 

 

1 - Qu’est-ce que le RGPD ?

Le RGPD assure une protection des données personnelles des personnelles physiques. Il abroge la directive européenne 95/46/CE sur la protection des données personnelles.

 

Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données personnelles. Le législateur européen a considéré que la directive 95/46/CE nécessitait une mise à jour car cette dernière a été transposée différemment par les Etats Membres de l’Union Européenne. Le RGPD marque la volonté d’une harmonisation effective au niveau européen. Le RGPD vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les acteurs des traitements de données personnelles.

 

En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données personnelles en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.

 

Jusqu’au 24 mai 2018, la protection des données personnelles était encadrée par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après "Loi Informatique et Libertés") qui avait intégré la directive européenne 95/46/CE. 

 

La loi Informatique et Libertés a été modifiée en 2004 par la loi n°2004-801 du 6 août 2004 et, en 2016 par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

 

La loi n° 2018-493 du 20 juin 2018 modifie la Loi Informatique et Libertés en adaptant la Loi Informatique et Libertés aux dispositions du RGPD.

 

Le projet de loi a été adopté en lecture définitive par l’Assemblée Nationale le 14 mai 2018. Le texte a ensuite été validé par le Conseil constitutionnel le 12 juin 2018 (décision n°2018-675 DC du 12 juin 2018).

 

Certaines dispositions de la loi nécessitaient la prise d'un décret. Le décret n° 2018-687 du 1er août 2018 a permis de répondre à cette exigeance.

 

La loi n’est pour autant pas définitive. La loi n° 2018-493 du 20 juin 2018 prévoit en son article 32, la prise d’une ordonnance par le Gouvernement, dans les 6 mois à compter de la date de promulgation de ladite loi.

 

Sur ce sujet, consultez l'article de l'INC "Loi informatique et libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)" et le tableau synthétique de la loi n° 2018-493 du 20 juin 2018".

 

 

2 - Quel est le champ d'application territorial du RGPD ?

Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment que ces derniers traitent de données personnelles.

 

Le RGPD s’applique dès lors qu’une entreprise ou un organisme traite des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est plus celui du lieu d’établissement du responsable de traitement. Le RGPD s’applique ainsi aux entreprises étrangères dans la mesure où les données personnelles traitées concernent des citoyens européens.

 

Désormais, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données personnelles de clients européens sera tout aussi concernée par le RGPD. Les sites de réseaux sociaux américains (Twitter, Facebook, etc.) sont donc aussi concernés par le RGPD.

 

 

3 - Qu’est-ce qu’un traitement de données personnelles ?

 

Données personnelles

Ce sont toute information qui se rapporte directement ou indirectement à une personne physique identifiée ou identifiable (article 4 du RGPD).

 

Sont notamment considérées comme des données personnelles, les :

 

  • nom,
  • prénom,
  • date de naissance,
  • numéro de téléphone personnel ou professionnel,
  • adresse mail personnelle ou professionnelle,
  • adresse postale personnelle ou professionnelle,
  • cookies,
  • adresse IP (lorsqu’elle est combinée à d’autres informations),
  • identifiant numérique,
  • numéro de carte de paiement,
  • numéro de sécurité sociale,
  • plaque d’immatriculation.

 

Traitement

Il existe un traitement de données personnelles, dès lors qu’une donnée personnelle est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données personnelles (article 4 du RGPD).

 

 

 

4 - Quels sont les grands principes du RGPD ?

 

Absence de formalités

Jusqu’au 24 mai 2018, la protection des données personnelles reposait sur la mise en œuvre de formalités par les entreprises et les organismes, notamment par les déclarations préalables de fichiers ou demandes d’autorisations préalables, auprès de la CNIL.

 

Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants. Le système de contrôle a priori, basé sur ces formalités, est remplacé par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques en matière de protection des données et des mesures concrètes mises en œuvre.

 

 A titre exceptionnel, certains traitements de données personnelles comportant des données sensibles nécessitent l’accomplissement de formalités préalables. Par exemple, les traitements comportant des données biométriques et, effectuées pour le compte de l'Etat, nécessitent une autorisation par le biais d’un décret en Conseil d’Etat.

 

 

Tenue d’un registre de traitements

Les entreprises et organismes comptabilisant plus de 250 salariés, doivent tenir un registre des traitements de données personnelles, sous une forme écrite (papier ou électronique).

Cette obligation s’applique également aux entreprises et organismes, comptabilisant moins de 250 salariés, s’ils traitent des données sensibles (ex : données de santé), ou des données comportant un risque pour les droits et libertés des personnes concernées (ex : système de vidéosurveillance), ou des données relatives à des condamnations et infractions pénales (article 30 du RGPD).

 

Le registre des traitements de données personnelles recense les activités principales nécessitant un traitement de données personnelles (ex : recrutement, gestion de la paye, formation, gestion des clients prospects, etc.)

 

A noter que les sous-traitants doivent également tenir un registre des traitements effectués pour le compte du responsable de traitement.

 

La CNIL propose sur son site internet un modèle de registre de traitement, destiné à être complété par toute entreprise ou organisme, ayant l’obligation de tenir ce registre.

 

 

Principe de responsabilisation ou "d’accountability"

Le système de responsabilisation recouvre principalement 2 notions (article 25 du RGPD) :

 

  • la protection des données dès la conception ou "Privacy by design" : Le responsable de traitement anticipe, dès l’étape de définition d’un projet, toutes les contraintes juridiques en matière de protection des données personnelles,
  • la protection des données par défaut ou "Privacy by default" : Le responsable de traitement doit s’assurer de ne collecter que les données strictement nécessaires aux finalités poursuivies par le traitement de données personnelles. On parle de principe de minimisation des données,

Formulaire d’achat sur un site internet de vente de vêtements ; la collecte de données de géolocalisation ne justifie pas la finalité du traitement (achat d’un bien). Le responsable du traitement n'a donc aucune raison de collecter des données de géolocalisation.

 

 

Information des personnes physiques

Informations à fournir lors de la collecte des données : Le responsable de traitement doit informer les personnes du traitement de leurs données ainsi que des droits dont elles disposent, notamment à travers un site internet renvoyant à une politique de protection des données personnelles et/ou des clauses contractuelles.  Les articles 13 et 14 du RGPD précisent en détail la liste des informations que le responsable de traitement doit fournir.

 

Réponses à la demande d’accès aux droits :  Le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 2 mois si les demandes sont complexes et nombreuses) (article 12 du RGPD).

 

 Le responsable de traitement doit fournir une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. C’est au responsable de traitement de démontrer qu’il a bien respecté ses obligations.

 
 

Désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) (ci-après DPD) :

 

Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD (article 37 du RGPD).

 

Les entreprises et les organismes, quelle soit leur taille et leur activité, doivent obligatoirement désigner un DPD si :

 

  • le traitement est effectué par une autorité publique ou un organisme public, ou,
  • les opérations de traitement, du fait de leur nature, de leur portée, et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (exemple : profilage), ou,
  • le traitement est basé sur des données sensibles ou des données relatives à des condamnations et infractions pénales effectué à grande échelle.

Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données personnelles. Il veille également au respect des lois relatives à la protection des données personnelles.

 

 

Analyse d’impact

Le responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (exemple : scoring, profilage, données sensibles) (article 35 du RGPD).

 

 

5 - Quelles sont les informations auxquelles vous devez faire attention ?

 

Finalités déterminées

Les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD).
 

  L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données personnelles pour des finalités autres que celles qui étaient prévues au départ.

La CNIL a annoncé le 31 juillet 2018 avoir prononcé une sanction de 30.000 euros à l’encontre de l’organisme pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. 

 

Durées de conservation

Les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans certains cas, la durée est déterminée par la loi.

Un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.

 

Dans d'autres cas, la durée est définie par le responsable du traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis.

Suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.

 

 

Consentement

En principe, la personne physique doit consentir au traitement de ses données personnelles. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne physique peut retirer son consentement à tout moment.

 

 Le RGPD prévoit des situations dans lesquelles le consentement n’est pas requis : dans le cadre de l’exécution d’un contrat, du respect d’une obligation légale ou aux fins des "intérêts légitimes" poursuivis par le responsable de traitement (articles 6 et 7 du RGPD).

 

 La notion "d'intérêt légitime" est une notion floue qui permet de justifier l’absence de recueil de consentement. La jurisprudence viendra bientôt préciser la définition exacte de cette expression.

 

 Le consentement d’un mineur à un traitement de données personnelles en ce qui concerne les offres du numérique (exemple : réseaux sociaux) a été fixée à 15 ans par le législateur français dans la loi n° 2018-493 du 20 juin 2018 modifiant la Loi Informatique et Libertés. Pour les mineurs de moins de 15 ans, le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

 

 

Données sensibles

Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit (article 9 du RGPD).

 

Sont considérées comme des données sensibles, les données se rapportant :

 

  • à l’origine raciale ou ethnique,
  • aux opinions politiques,
  • aux convictions religieuses ou philosophiques,
  • à l’appartenance syndicale,
  • à la santé et à la vie sexuelle.

Il existe des exceptions à l’interdiction de traitement de données sensibles (exemple : droit du travail, motifs d’intérêt public important, intérêts vitaux, médecine du travail, etc.)

 

Cookies

Les cookies sont des traceurs de navigation pouvant permettre d’analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.   

Les cookies sont régis par la directive européenne 2002/58/CE "Vie privée et communications électroniques" du 12 juillet 2002.

 

La proposition de règlement européen "ePrivacy", en cours de discussion, viendra remplacer la directive 2002/58/CE et renforcer le régime applicable aux cookies.       

 

 Sur ce sujet, consultez l’article de la CNIL "Cookies & traceurs : que dit la loi ?" pour plus d’informations.     

 

Profilage

Le profilage consiste à utiliser des données personnelles à des fins commerciales et/ou de marketing (exemple : mails promotionnels).

 

 Dans les relations consommateurs/professionnels (BtoC), le responsable de traitement a l’obligation d’informer le consommateur de l’utilisation de ses données personnelles à des fins de profilage et du fait qu'il peut refuser d’y consentir. Le consentement du consommateur n’est toutefois pas requis lorsque le profilage est nécessaire à la conclusion ou à l’exécution d’un contrat.

 

Transfert de données hors Union européenne

Le consommateur doit être vigilant sur la question des transferts de données personnelles hors Union européenne. Lorsqu’un responsable de traitement ou un sous-traitant transfère des données dans un pays étranger, ils doivent garantir un niveau de protection des données suffisant et approprié.

 

 Sur ce sujet, consultez l’article de la CNIL "Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)" pour plus d’informations.

 

 

6 - Quels sont vos droits sur vos données personnelles ?

 

Droits

Articles du RGPD

Informations à fournir aux personnes dont les données personnelles sont traitées

Droit à l'information Articles 13 et 14 du RGPD

Droit d'obtenir du responsable de traitement, au moment de la collecte des données personnelles, les informations suivantes :

 

- identité et coordonnées du responsable de traitement ou de son représentant,

- coordonnées du DPD, le cas échéant,

- finalités et base juridique du traitement,

- si le traitement est fondé sur les intérêts légitimes du responsable de traitement, description des intérêts légitimes,

- destinataires ou catégories de destinataires,

- existence ou non d'un transfert de données personnelles vers un pays étranger et les garanties de protection mises en place,

- durée de conservation des données,

- possibilité d'exercer ses droits sur les données personnelles,

- si le traitement est fondé sur un consentement explicite, information sur le droit de retirer son consentement à tout moment,

- droit d'introduire une réclamation auprès de la CNIL,

- caractère réglementaire ou contractuel et caractère obligatoire de la collecte des données,

- existence d'un profilage,

- si traitement ultérieur des données pour une finalité autre que celle pour laquelle les données ont été collectées, information sur les autres finalités.

Droit d’accès

Article 15 du RGPD

Droit d’obtenir du responsable de traitement la confirmation que les données personnelles sont ou ne sont pas traitées. Ainsi que l’accès aux informations concernant les données (finalités, catégories de données, destinataires, durées de conservation, droit d’introduire une réclamation auprès de la CNIL, existence d’un profilage, garanties prises par le responsable de traitement en cas de transfert des données hors de l’Union européenne).

Droit de rectification

Article 16 du RGPD

Droit de demander la rectification des données personnelles qui sont inexactes ou incomplètes, et ce dans les meilleurs délais.

Droit d’opposition

Article 21 du RGPD

Droit de s’opposer à tout moment au traitement de données personnelles, notamment lorsqu’elles sont utilisées à des fins de prospection commerciale.

Droit à la portabilité

Article 20 du RGPD

Droit de récupérer des données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme. Il s’agit d’un nouveau droit consacré par le RGPD (exemple : transfert des données personnelles à un réseau social, à une plateforme de musique en ligne.)

Droit à la limitation du traitement

Article 18 du RGPD

La limitation du traitement peut être demandée lorsque :

 

  • l’exactitude d’une donnée personnelle est contestée ; le responsable de traitement prendra alors le temps de vérifier l’exactitude des données,
  • le traitement est illicite et la personne concernée ne souhaite pas effacer ses données personnelles mais seulement limiter leur utilisation,
  • les données personnelles ne sont plus nécessaires aux fins de traitement mais elles sont encore nécessaires pour constater, exercer ou défendre les droits en justice de la personne concernée.

Droit d’effacement des données (« droit à l’oubli »

Article 17 du RGPD

Droit d’obtenir, par le responsable de traitement, l’effacement dans les meilleurs délais des données personnelles concernant les personnes physiques.

Le responsable de traitement peut, dans certaines situations, refuser d’accéder à cette demande lorsque le traitement est justifié par :

 

  • des fins d’archive dans l’intérêt public, de recherches scientifiques, historiques ou statistiques,
  • des motifs de santé publique,
  • l’exercice du droit à la liberté d’information et d’expression.

Saisine directe du DPD

Article 38.4 du RGPD

Droit de saisir directement le DPD d’une entreprise ou d’un organisme, lorsque la personne concernée souhaite exercer ses droits.

Les coordonnées du DPD se trouvent :

 

  • sur internet, par exemple, dans les mentions dédiées à la politique de protection des données personnelles,
  • dans les contrats, aux clauses dédiées à la politique de protection des données personnelles.

Droit d’introduire une réclamation auprès de la CNIL

Article 77 du RGPD

Droit d’introduire une réclamation auprès de la CNIL si la personne physique considère que le traitement de données personnelles la concernant constitue une violation de règlement.

 

Le RGPD consacre le mécanisme de "Guichet unique". En cas de transfert de données personnelles hors de l’Union européenne, la CNIL est l’interlocuteur unique pour tous les établissements du responsable de traitements, y compris ceux situés en dehors de l’Union européenne. La CNIL rend, également, une décision unique valable dans toute l’Union européenne. Ce mécanisme facilite les recours des consommateurs qui pourront continuer à adresser leurs plaintes à la CNIL, qui reste l’unique interlocuteur des personnes résidant sur le territoire français.

Droit d’introduire une action de groupe

Article 80 du RGPD

Droit d’introduire une action de groupe et de mandater un organisme, une organisation ou une association à but non lucratif, dont les associations nationales agréées de défense des consommateurs, pour :

 

  • qu’il introduise une action en son nom,
  • qu’il exerce en son nom les actions de saisine de la CNIL ou d’un recours juridictionnel contre la CNIL ou un responsable de traitement ou un sous-traitant,
  • qu’il exerce en son nom le droit d’obtenir réparation.

 

 

 Droit d’accès après la mort

La loi n° 2016-1321 du 7 octobre 2016 (loi pour une République Numérique) a consacré le droit d’organiser le sort de ses données personnelles après la mort. Ce droit permet aux personnes physiques de donner des directives relatives à la conservation, à l’effacement et à leur communication de leurs données personnelles après leur décès. Ce droit codifié à l’article 40-1 de la Loi Informatique et Libertés n’a pas été repris par le RGPD mais il est bien applicable en droit français.

 

 

7 - Quelles sont les obligations en termes de sécurité ?

 

Sécurité physique ou informatique des données

Le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (exemple : fermeture à clef des portes, chiffrement de données personnelles), (article 32 du RGPD).

 

 

Notification en cas de faille de sécurité

En cas de faille de sécurité, le responsable de traitement a l’obligation d'en notifier à la CNIL, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance.

 

Lorsque la violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données personnelles à la personne concernée dans les meilleurs délais, (articles 33 et 34 du RGPD).

 

 

 

Samia M'HAMDI,

Juriste à l'Institut national de la consommation

Haut de page