"RGPD" : le renforcement de la protection de vos données personnelles

Fiche pratique J 326


Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "RGPD") est entré en vigueur.

 

Le RGPD renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données personnelles.

 

Cette fiche de l'Institut national de la consommation vous décrypte ce qu'est le RGPD, quels sont vos droits, etc.

 

 

1 - Qu’est-ce que le RGPD ?

2 - Quel est le champ d'application territorial du RGPD ?

3 - Qu’est-ce qu’un traitement de données personnelles ?

4 - Quels sont les grands principes du RGPD ?

5 - Quelles sont les informations auxquelles vous devez faire attention ?

6 - Quels sont vos droits sur vos données personnelles ?

7 - Quelles sont les obligations en termes de sécurité ?

 

 

1 - Qu’est-ce que le RGPD ?

Le RGPD est un règlement européen, assurant une protection des données personnelles des personnes physiques. Il abroge la directive européenne 95/46/CE sur la protection des données personnelles, qui était en vigueur jusqu'au 24 mai 2018.

 

Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données personnelles. Le législateur européen a considéré que la directive 95/46/CE nécessitait une mise à jour car cette dernière avait été transposée différemment par les pays de l’Union Européenne. Le RGPD marque la volonté d’une harmonisation au niveau européen. Le RGPD vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les entreprises et organismes traitant des données personnelles.

 

En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données personnelles en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.

 

Jusqu’au 24 mai 2018, la protection des données personnelles était encadrée en France par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après "Loi Informatique et Libertés") qui avait intégré la directive européenne 95/46/CE. 

 

La loi Informatique et Libertés a été modifiée en 2004 par la loi n°2004-801 du 6 août 2004 et, en 2016 par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

 

La loi n° 2018-493 du 20 juin 2018 modifie la Loi Informatique et Libertés en l'adaptant aux dispositions du RGPD.

 

Le projet de loi a été adopté en lecture définitive par l’Assemblée Nationale le 14 mai 2018. Le texte a ensuite été validé par le Conseil constitutionnel le 12 juin 2018 (décision n°2018-675 DC du 12 juin 2018).

 

Certaines dispositions de la loi nécessitaient la prise d'un décret. Le décret n° 2018-687 du 1er août 2018 a permis de répondre à cette exigeance.

 

La loi n’est pour autant pas définitive car elle prévoit en son article 32, la prise d’une ordonnance par le Gouvernement, dans les 6 mois à compter de la date de promulgation de ladite loi.

 

Sur ce sujet, consultez l'article de l'INC "Loi informatique et libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)" et le tableau synthétique de la loi n° 2018-493 du 20 juin 2018.

 

 

2 - Quel est le champ d'application territorial du RGPD ?

Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu'ils traitent de données personnelles, de citoyens européens.

 

Le critère d’applicabilité n’est plus celui du lieu d’établissement de l'entreprise ou de l'organisme responsable de traitement.

 

A compter du 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données personnelles de clients européens (ex : Twitter, Facebook, etc.) sera tout aussi concernée par le RGPD.

 

3 - Qu’est-ce qu’un traitement de données personnelles ?

 

Données personnelles

Ce sont toute information qui se rapporte directement ou indirectement à une personne physique (article 4 du RGPD).

 

Sont notamment considérées comme des données personnelles, les :

 

  • nom,
  • prénom,
  • date de naissance,
  • numéro de téléphone personnel ou professionnel,
  • adresse mail personnelle ou professionnelle,
  • adresse postale personnelle ou professionnelle,
  • cookies,
  • adresse IP (lorsqu’elle est combinée à d’autres informations),
  • identifiant numérique,
  • numéro de carte de paiement,
  • numéro de sécurité sociale,
  • plaque d’immatriculation.

 

Traitement

Il existe un traitement de données personnelles, dès lors qu’une donnée personnelle est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données personnelles (article 4 du RGPD).

 

 

 

4 - Quels sont les grands principes du RGPD ?

 

Absence de formalités

Jusqu’au 24 mai 2018, la protection des données personnelles reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables.

 

Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants. Le système de contrôle a posteriori, basé sur ces formalités, est remplacé par l’appréciation en amont des risques en matière de protection des données et la réflexion sur les mesures concrètes à mettre en œuvre. 

 

Une entreprise qui souhaite lancer une application mobile doit réfléchir, avant sa mise sur le marché, aux données personnelles qu'elle serait susceptible de traiter et documenter les mesures mises en place (durée de conservation des fichiers, mesures de sécurité en cas de faille de sécurité, etc.)

 

 A titre exceptionnel, certains traitements de données personnelles comportant des données sensibles nécessitent l’accomplissement de formalités préalables (ex : données biométriques).

 

 

Tenue d’un registre de traitements

Les entreprises et organismes comptabilisant plus de 250 salariés, doivent tenir un registre des traitements de données personnelles, sous une forme écrite (papier ou électronique).

Cette obligation s’applique également à ceux qui comptabilisent moins de 250 salariés, s’ils traitent des données sensibles (ex : données de santé), ou des données comportant un risque pour les droits et libertés des personnes concernées (ex : système de vidéosurveillance), ou des données relatives à des condamnations et infractions pénales (article 30 du RGPD).

 

Le registre des traitements de données personnelles recense les activités comportant un traitement de données personnelles (ex : gestion des clients prospects, etc.)

 

A noter que les sous-traitants doivent également tenir un registre des traitements pour le compte de l'entreprise ou organisme responsable de traitement.

 

La CNIL propose sur son site internet un modèle de registre de traitements, destiné à être complété par toute entreprise ou organisme, ayant l’obligation de tenir ce registre.

 

 

Principe de responsabilisation ou "d’accountability"

Le système de responsabilisation recouvre principalement 2 notions (article 25 du RGPD) :

 

  • la protection des données dès la conception ou "Privacy by design" : Le responsable de traitement anticipe, dès l’étape de définition d’un projet, toutes les contraintes juridiques en matière de protection des données personnelles ;
  • la protection des données par défaut ou "Privacy by default" : Le responsable de traitement doit s’assurer de ne collecter que les données strictement nécessaires aux finalités poursuivies par le traitement de données personnelles. On parle de principe de minimisation des données.

Formulaire d’achat sur un site internet de vente de vêtements ; la collecte de données de géolocalisation ne justifie pas la finalité du traitement (achat d’un bien). Le responsable du traitement n'a donc aucune raison de collecter des données de géolocalisation.

 

 

Information des personnes physiques

Informations à fournir lors de la collecte des données : Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Ces informations peuvent être fournies sur un site internet par le biais d'une politique de protection des données personnelles et/ou des clauses contractuelles. Les articles 13 et 14 du RGPD précisent en détail la liste des informations que le responsable de traitement doit fournir.

 

Réponses à la demande d’accès aux droits : Le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 2 mois si les demandes sont complexes et nombreuses) (article 12 du RGPD).

 

 Le responsable de traitement doit fournir une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. C’est au responsable de traitement de démontrer qu’il a bien respecté ses obligations.

 
 

Désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) (ci-après DPD) :

 

Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD (article 37 du RGPD).

 

Les entreprises et les organismes, quelle soit leur taille et leur activité, doivent obligatoirement désigner un DPD si :

 

  • le traitement est effectué par une autorité publique ou un organisme public, ou,
  • les opérations de traitement, du fait de leur nature, de leur portée, et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (ex : profilage), ou,
  • le traitement est basé sur des données sensibles ou des données relatives à des condamnations et infractions pénales effectué à grande échelle.

Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données personnelles. Il veille également au respect des lois relatives à la protection des données personnelles.

 

 

Analyse d’impact

Le responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (ex : scoring, profilage, données sensibles) (article 35 du RGPD).

 

 

5 - Quelles sont les informations auxquelles vous devez faire attention ?

 

Finalités déterminées

Les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD).
 

  L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données personnelles pour des finalités autres que celles qui étaient prévues au départ.

La CNIL a annoncé le 31 juillet 2018 avoir prononcé une sanction de 30.000 euros à l’encontre de l’organisme pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. 

 

Durées de conservation

Les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans certains cas, la durée est déterminée par la loi.

Un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.

 

Dans d'autres cas, la durée est définie par le responsable de traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis.

Suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.

 

 

Consentement

En principe, la personne doit consentir au traitement de ses données personnelles. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne peut retirer son consentement à tout moment.

 

Le consentement n'est pas le seul fondement juridique valable. Le RGPD prévoit d'autres fondements juridiques permettant de valider un traitement : exécution d’un contrat, respect d’une obligation légale ou "intérêts légitimes" poursuivis par le responsable de traitement (articles 6 et 7 du RGPD).

 

 La notion "d'intérêt légitime" est une notion floue qui permet de justifier l’absence de recueil de consentement. La jurisprudence viendra bientôt préciser la définition exacte de cette expression.

 

 Le consentement d’un mineur à un traitement de données personnelles en ce qui concerne les offres du numérique (ex : réseaux sociaux) a été fixée à 15 ans par le législateur français dans la loi n° 2018-493 du 20 juin 2018 modifiant la Loi Informatique et Libertés. Pour les mineurs de moins de 15 ans, le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

 

 

Données sensibles

Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit (article 9 du RGPD).

 

Sont considérées comme des données sensibles, les données se rapportant :

 

  • à l’origine raciale ou ethnique,
  • aux opinions politiques,
  • aux convictions religieuses ou philosophiques,
  • à l’appartenance syndicale,
  • à la santé et à la vie sexuelle.

Il existe des exceptions à l’interdiction de traitement de données sensibles (ex : droit du travail, motifs d’intérêt public important, intérêts vitaux, etc.)

 

Cookies

Les cookies sont des traceurs de navigation pouvant analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.   

Les cookies sont régis par la directive européenne 2002/58/CE "Vie privée et communications électroniques" du 12 juillet 2002.

 

La proposition de règlement européen "ePrivacy", en cours de discussion, viendra remplacer la directive 2002/58/CE et renforcer le régime applicable aux cookies.       

 

 Sur ce sujet, consultez l’article de la CNIL "Cookies & traceurs : que dit la loi ?" pour plus d’informations.     

 

Profilage

Le profilage consiste à utiliser des données personnelles afin de prédire le comportement d'une personne tel que ses futurs choix, sa localisation, ses habitudes de consommation, etc. (ex : envoi de publicité ciblée adapatée à votre profil).

 

En principe, le consommateur a le droit de ne pas faire l'objet d'un profilage. Il existe des exceptions à ce principe lorsque le profilage :

- est nécessaire à la conclusion ou à l'exécution d'un contrat ;

- est autorisé par le droit ;

- est fondé sur le consentement explicite de la personne concernée. (Article 22 du RGPD).

 

 

Transfert de données hors Union européenne

Le consommateur doit être vigilant sur la question des transferts de données personnelles hors Union européenne. Lorsqu’un responsable de traitement ou un sous-traitant transfère des données dans un pays étranger, ils doivent s'enagarantir un niveau de protection des données suffisant et approprié.

 

 Sur ce sujet, consultez l’article de la CNIL "Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)" pour plus d’informations.

 

 

6 - Quels sont vos droits sur vos données personnelles ?

 

Droits

Articles du RGPD

Informations à fournir aux personnes dont les données personnelles sont traitées

Droit à l'information Articles 13 et 14 du RGPD

Le responsable de traitement doit vous fournir, au moment de la collecte de vos données personnelles, les informations suivantes :

 

-l' identité et coordonnées du responsable de traitement ou de son représentant (ex : Entreprise A),

- les coordonnées du DPD, le cas échéant (ex : Mme B, DPO de l'entreprise A, dpo@entrepriseA.com),

- les finalités et base juridique du traitement (ex : traiter votre commande),

- si le traitement est fondé sur les intérêts légitimes du responsable de traitement, la description des intérêts légitimes (ex : faire de la prospection commerciale),

- les destinataires ou catégories de destinataires (ex : service commercial de l'entreprise A),

- l'existence ou non d'un transfert de données personnelles vers un pays étranger et les garanties de protection mises en place (ex : vos données sont stockées dans un serveur en Chine),

- durée de conservation des données (ex : vos données sont conservées 3 ans),

- possibilité d'exercer ses droits sur les données personnelles (ex: droit d'accès, droit à l'oubli, etc.),

- si le traitement est fondé sur un consentement explicite, information sur le droit de retirer son consentement à tout moment,

- droit d'introduire une réclamation auprès de la CNIL,

- caractère réglementaire ou contractuel et caractère obligatoire de la collecte des données,

- existence d'un profilage,

- si traitement ultérieur des données pour une finalité autre que celle pour laquelle les données ont été collectées, information sur les autres finalités.

Droit d’accès

Article 15 du RGPD

Vous avez le droit de demander au responsable de traitement la confirmation que vos données personnelles sont ou ne sont pas traitées. Ainsi que l’accès aux informations concernant vos données (finalités, catégories de données, destinataires, durées de conservation, droit d’introduire une réclamation auprès de la CNIL, existence d’un profilage, garanties prises par le responsable de traitement en cas de transfert des données hors de l’Union européenne).

 

Le responsable de traitement doit vous fournir une copie lisible de vos données personnelles faisant l'objet d'un traitement.

Droit de rectification

Article 16 du RGPD

Vous avez le droit de demander la rectification de vos données personnelles qui sont inexactes ou incomplètes, et ce dans les meilleurs délais.

Droit d’opposition

Article 21 du RGPD

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles, notamment lorsqu’elles sont utilisées à des fins de prospection commerciale.

Droit à la portabilité

Article 20 du RGPD

Vous avez la possibilité d erécupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme. Il s’agit d’un nouveau droit consacré par le RGPD (ex : transfert de vos données personnelles à un réseau social, à une plateforme de musique en ligne, etc.)

Droit à la limitation du traitement

Article 18 du RGPD

Vous pouvez demander la limitation du traitement de vos données lorsque :

 

  • l’exactitude d’une donnée personnelle est contestée ; le responsable de traitement prendra alors le temps de vérifier l’exactitude des données,
  • le traitement est illicite et la personne concernée ne souhaite pas effacer ses données personnelles mais seulement limiter leur utilisation,
  • les données personnelles ne sont plus nécessaires aux fins de traitement mais elles sont encore nécessaires pour constater, exercer ou défendre les droits en justice de la personne concernée.

Droit d’effacement des données (« droit à l’oubli »

Article 17 du RGPD

Vous avez le droit d'obtenir l’effacement, dans les meilleurs délais, de vos données personnelles.

A noter que le responsable de traitement peut, dans certaines situations, refuser d’accéder à votre demande lorsque le traitement est justifié par :

 

  • des fins d’archive dans l’intérêt public, de recherches scientifiques, historiques ou statistiques,
  • des motifs de santé publique,
  • l’exercice du droit à la liberté d’information et d’expression.

Saisine directe du DPD

Article 38.4 du RGPD

Vous pouvez saisir directement le DPD d’une entreprise ou d’un organisme, s'il en a été désigné un, afin d'exercer vos droits :

Les coordonnées du DPD se trouvent :

 

  • sur internet, par exemple, dans les mentions dédiées à la politique de protection des données personnelles,
  • dans les contrats, aux clauses dédiées à la politique de protection des données personnelles.

Droit d’introduire une réclamation auprès de la CNIL

Article 77 du RGPD

Vous pouvez introduire une réclamation auprès de la CNIL si vous considérez que le traitement de vos données personnelles constitue une violation du RGPD.

 

Le RGPD consacre le mécanisme de "Guichet unique". En cas de transfert de données personnelles hors de l’Union européenne, la CNIL est l’interlocuteur unique pour tous les établissements du responsable de traitements, y compris ceux situés en dehors de l’Union européenne. La CNIL rend, également, une décision unique valable dans toute l’Union européenne. Ce mécanisme facilite les recours des consommateurs qui pourront continuer à adresser leurs plaintes à la CNIL, qui reste l’unique interlocuteur des personnes résidant sur le territoire français.

Droit d’introduire une action de groupe

Article 80 du RGPD

Vous avez la possibilité d'introduire une action de groupe et de mandater un organisme, une organisation ou une association à but non lucratif, dont les associations nationales agréées de défense des consommateurs, pour :

 

  • qu’il introduise une action en son nom,
  • qu’il exerce en son nom les actions de saisine de la CNIL ou d’un recours juridictionnel contre la CNIL ou un responsable de traitement ou un sous-traitant,
  • qu’il exerce en son nom le droit d’obtenir réparation.

 

 

 Droit d’accès après la mort

La loi n° 2016-1321 du 7 octobre 2016 (loi pour une République Numérique) a consacré le droit d’organiser le sort de ses données personnelles après la mort. Ce droit permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à leur communication de leurs données personnelles après leur décès. Ce droit codifié à l’article 40-1 de la Loi Informatique et Libertés n’a pas été repris par le RGPD mais il est bien applicable en droit français.

 

 

7 - Quelles sont les obligations en termes de sécurité ?

 

Sécurité physique ou informatique des données

Le responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : fermeture à clef des portes, chiffrement de données personnelles), (article 32 du RGPD).

 

 

Notification en cas de faille de sécurité

En cas de faille de sécurité portant atteinte aux libertés individuelles des personnes, le responsable de traitement a l’obligation d'en notifier à la CNIL, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance.

 

Lorsque la violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (ex : usurpation d'identité), le responsable du traitement communique la violation de données personnelles à la personne concernée dans les meilleurs délais (articles 33 et 34 du RGPD).

 

 

 

Samia M'HAMDI,

Juriste à l'Institut national de la consommation

Haut de page