"RGPD" : quelle protection pour vos données personnelles ?

Fiche pratique J 333


Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "RGPD") est entré en vigueur.

 

Le RGPD renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données à caractère personnel.

 

Cette fiche de l'Institut national de la consommation décrypte ce qu'est le RGPD et quels droits peuvent exercer les consommateurs.

 

1 - Qu’est-ce que le RGPD ?

2 - Quel est le champ d'application territorial du RGPD ?

3 - Qu’est-ce qu’un traitement de données à caractère personnel ?

4 - Quels sont les grands principes du RGPD ?

5 - Quelles sont les informations auxquelles vous devez faire attention ?

6 - Quels sont vos droits sur les données à caractère personnel ?

7 - Quelles sont les obligations en termes de sécurité ?

 

 

1 - Qu’est-ce que le RGPD ?

Le RGPD est un règlement européen, assurant une protection des données à caractère personnel des personnes physiques. Il abroge la directive européenne 95/46/CE sur la protection des données à caractère personnel, qui était en vigueur jusqu'au 24 mai 2018.

 

Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données à caractère personnel. Le législateur européen a considéré que la directive 95/46/CE nécessitait une mise à jour car cette dernière avait été transposée différemment par les pays de l’Union Européenne. Le RGPD marque la volonté d’une harmonisation au niveau européen. Le RGPD vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les entreprises et organismes traitant des données à caractère personnel.

 

En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données à caractère personnel en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.

 

Jusqu’au 24 mai 2018, la protection des données à caractère personnel était encadrée en France par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après loi "Informatique et Libertés") qui avait intégré la directive européenne 95/46/CE. 

 

 

La loi "Informatique et Libertés" est toujours en vigueur ; elle a été modifiée pour s'adapter aux dispositions du RGPD.

 

 

  • La loi n° 2018-493 du 20 juin 2018 modifie la loi "Informatique et Libertés" en l'adaptant aux dispositions du RGPD.
     
  • L'ordonnance n° 2018-1125 du 12 décembre 2018, entrée en vigueur le 1er juin 2019, a permis de restructurer la loi "Informatique et Libertés" et de la rendre plus lisible.

     

  • Certaines dispositions de la loi nécessitaient la prise d'un décret. Le décret n° 2018-687 du 1er août 2018 a permis de répondre à cette exigeance.
     
  • Ainsi que le décret n°2019-536 du 29 mai 2019, entré en vigueur le 1er juin 2019. Le décret parachève l'adaptation de la loi "Informatique et Libertés" au RGPD et, précise certaines règles de procédures devant la Commission Nationale de l'Informatique et des Libertés (CNIL) ainsi que les droits des personnes concernées.  

Sur ce sujet, consultez l'article de l'INC "Loi informatique et libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)" et le tableau synthétique de la loi n° 2018-493 du 20 juin 2018.

 

 

2 - Quel est le champ d'application territorial du RGPD ?

Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu'ils traitent de données à caractère personnel de citoyens européens.

 

Le critère d’applicabilité n’est plus celui du lieu d’établissement de l'entreprise ou de l'organisme responsable de traitement.

 

A compter du 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données à caractère personnel d'utilisateurs européens (ex : Twitter, Facebook, etc.) sera tout aussi concernée par le RGPD.

 

 

3 - Qu’est-ce qu’un traitement de données à caractère personnel ?

 

Données à caractère personnel

Ce sont toute information qui se rapporte directement ou indirectement à une personne physique (article 4 du RGPD).

 

Sont notamment considérées comme des données à caractère personnel, les :

 

  • nom,
  • prénom,
  • date de naissance,
  • numéro de téléphone personnel ou professionnel,
  • adresse mail personnelle ou professionnelle,
  • adresse postale personnelle ou professionnelle,
  • cookies,
  • adresse IP (lorsqu’elle est combinée à d’autres informations),
  • identifiant numérique,
  • numéro de carte de paiement,
  • numéro de sécurité sociale,
  • plaque d’immatriculation.

 

Traitement

Il existe un traitement de données à caractère personnel, dès lors qu’une donnée à caractère personnel est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement (article 4 du RGPD).

 

 

 

4 - Quels sont les grands principes du RGPD ?

 

Absence de formalités

Jusqu’au 24 mai 2018, la protection des données à caractère personnel reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables.

 

Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants. Le système de contrôle a posteriori, basé sur ces formalités, est remplacé par l’appréciation en amont des risques en matière de protection des données et la réflexion sur les mesures concrètes à mettre en œuvre. 

 

Une entreprise qui souhaite lancer une application mobile doit réfléchir, avant sa mise sur le marché, aux données à caractère personnel qu'elle serait susceptible de traiter et documenter les mesures mises en place (durée de conservation des fichiers, mesures de sécurité en cas de faille de sécurité, etc.)

 

 A titre exceptionnel, certains traitements de données à caractère personnel comportant des données sensibles nécessitent l’accomplissement de formalités préalables (ex : données biométriques).

 

 

Tenue d’un registre de traitements

Les entreprises et organismes comptabilisant plus de 250 salariés, doivent tenir un registre des traitements de données à caractère personnel, sous une forme écrite (papier ou électronique).

Cette obligation s’applique également à ceux qui comptabilisent moins de 250 salariés, s’ils traitent des données sensibles (ex : données de santé), ou des données comportant un risque pour les droits et libertés des personnes concernées (ex : système de vidéosurveillance), ou des données relatives à des condamnations et infractions pénales (article 30 du RGPD ; article 57 de la loi "Informatique et Libertés").

 

Le registre des traitements de données à caractère personnel recense les activités comportant un traitement de données à caractère personnel (ex : gestion des clients, etc.)

 

A noter que les sous-traitants doivent également tenir un registre des traitements pour le compte de l'entreprise ou de l'organisme responsable de traitement.

 

La CNIL propose sur son site internet un modèle de registre de traitements, destiné à être complété par toute entreprise ou organisme, ayant l’obligation de tenir ce registre.

 

 

Principe de responsabilisation ou "d’accountability"

Le système de responsabilisation recouvre principalement deux notions (article 25 du RGPD) :

 

  • la protection des données dès la conception ou "Privacy by design" : Le responsable de traitement anticipe, dès l’étape de définition d’un projet, toutes les contraintes juridiques en matière de protection des données à caractère personnel ;
  • la protection des données par défaut ou "Privacy by default" : Le responsable de traitement doit s’assurer de ne collecter que les données strictement nécessaires aux finalités poursuivies par le traitement de données à caractère personnel. On parle de principe de minimisation des données.

Formulaire d’achat sur un site internet de vente de vêtements ; la collecte de données de géolocalisation ne justifie pas la finalité du traitement (achat d’un bien). Le responsable du traitement n'a donc aucune raison de collecter des données de géolocalisation.

 

 

Information des personnes physiques

Informations à fournir lors de la collecte des données : Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Ces informations peuvent être fournies sur un site internet par le biais d'une politique de protection des données à caractère personnel et/ou des clauses contractuelles. Les articles 12 et 13 du RGPD précisent en détail la liste des informations que le responsable de traitement doit fournir.

 

Réponses à la demande d’accès aux droits : Le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 2 mois si les demandes sont complexes et nombreuses) (article 12 du RGPD).

 

 Le responsable de traitement doit fournir une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. C’est au responsable de traitement de démontrer qu’il a bien respecté ses obligations.

 
 

Désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) (ci-après DPD) :

 

Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD (article 37 du RGPD ; article 57 de la loi "Informatique et Libertés").

 

Les entreprises et les organismes, quelle soit leur taille et leur activité, doivent obligatoirement désigner un DPD si :

 

  • le traitement est effectué par une autorité publique ou un organisme public, ou,
  • les opérations de traitement, du fait de leur nature, de leur portée, et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (ex : profilage), ou,
  • le traitement est basé sur des données sensibles ou des données relatives à des condamnations et infractions pénales effectué à grande échelle.

Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données à caractère personnel. Il veille également au respect des lois relatives à la protection des données à caractère personnel.

 

 

Analyse d’impact

Le responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (ex : scoring, profilage, données sensibles) (article 35 du RGPD ; article 62 de la loi "Informatique et Libertés").

 

 

5 - Quelles sont les informations auxquelles vous devez faire attention ?

 

Finalités déterminées

Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD ; article 4 de la loi "Informatique et Libertés").
 

  L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données à caractère personnel pour des finalités autres que celles qui étaient prévues au départ.

La CNIL a annoncé le 31 juillet 2018 avoir prononcé une sanction de 30.000 euros à l’encontre de l’organisme pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. 

 

Durées de conservation

Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Dans certains cas, la durée est déterminée par la loi.

Un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.

 

Dans d'autres cas, la durée est définie par le responsable de traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis.

Suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.

 

Consentement

En principe, la personne doit consentir au traitement de ses données à caractère personnel. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne peut retirer son consentement à tout moment.

 

Le consentement n'est pas le seul fondement juridique valable. Le RGPD prévoit d'autres fondements juridiques permettant de valider un traitement : exécution d’un contrat, respect d’une obligation légale ou "intérêts légitimes" poursuivis par le responsable de traitement (articles 6 et 7 du RGPD).

 

 La notion "d'intérêt légitime" est une notion floue qui permet de justifier l’absence de recueil de consentement. La jurisprudence viendra bientôt préciser la définition exacte de cette expression.

 

 Le consentement d’un mineur à un traitement de données personnelles en ce qui concerne les offres du numérique (ex : réseaux sociaux) a été fixée à 15 ans par le législateur français. Pour les mineurs de moins de 15 ans, le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur (article 45 de la loi "Informatique et Libertés").

 

 

Données sensibles

Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit (article 9 du RGPD ; article 6 de la loi "Informatique et Libertés").

 

Sont considérées comme des données sensibles, les données se rapportant :

 

  • à l’origine raciale ou ethnique,
  • aux opinions politiques,
  • aux convictions religieuses ou philosophiques,
  • à l’appartenance syndicale,
  • à la santé et à la vie sexuelle.

Il existe des exceptions à l’interdiction de traitement de données sensibles (ex : droit du travail, motifs d’intérêt public important, intérêts vitaux, etc.)

 

Cookies

Les cookies sont des traceurs de navigation pouvant analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.   

Les cookies sont régis par la directive européenne 2002/58/CE "Vie privée et communications électroniques" du 12 juillet 2002.

 

La proposition de règlement européen "ePrivacy", en cours de discussion, viendra remplacer la directive 2002/58/CE et renforcer le régime applicable aux cookies.       

 

 Sur ce sujet, consultez l’article de la CNIL "Cookies & traceurs : que dit la loi ?" pour plus d’informations.     

 

Profilage

Le profilage consiste à utiliser des données à caractère personnel afin de prédire le comportement d'une personne tel que ses futurs choix, sa localisation, ses habitudes de consommation, etc. (ex : envoi de publicité ciblée adapatée à un profil).

 

En principe, le consommateur a le droit de ne pas faire l'objet d'un profilage. Il existe des exceptions à ce principe lorsque le profilage :

 

  • est nécessaire à la conclusion ou à l'exécution d'un contrat,
  • est autorisé par le droit,
  • est fondé sur le consentement explicite de la personne concernée. (Article 22 du RGPD).

 

Transfert de données hors Union européenne

Le consommateur doit être vigilant sur la question des transferts de données à caractère personnel hors Union européenne. Lorsqu’un responsable de traitement ou un sous-traitant transfère des données dans un pays étranger, ils doivent garantir un niveau de protection des données suffisant et approprié.

 

 Sur ce sujet, consultez l’article de la CNIL "Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)" pour plus d’informations.

 

 

6 - Quels sont vos droits sur les données à caractère personnel ?

 

Droits

Articles du RGPD

Informations à fournir aux personnes dont les données à caractère personnel sont traitées

Droit à l'information Articles 13 et 14 du RGPD

Le responsable de traitement doit vous fournir, au moment de la collecte de vos données à caractère personnel, les informations suivantes :

 

- l'identité et coordonnées du responsable de traitement ou de son représentant (ex : Entreprise A),

- les coordonnées du DPD, le cas échéant (ex : Mme B, DPO de l'entreprise A, dpo@entrepriseA.com),

- les finalités et base juridique du traitement (ex : traiter votre commande),

- si le traitement est fondé sur les intérêts légitimes du responsable de traitement, la description des intérêts légitimes (ex : faire de la prospection commerciale),

- les destinataires ou catégories de destinataires (ex : service commercial de l'entreprise A),

- l'existence ou non d'un transfert de données à caractère personnel vers un pays étranger et les garanties de protection mises en place (ex : vos données sont stockées dans un serveur en Chine),

- durée de conservation des données (ex : vos données sont conservées 3 ans),

- possibilité d'exercer ses droits sur les données à caractère personnel (ex: droit d'accès, droit à l'oubli, etc.),

- si le traitement est fondé sur un consentement explicite, information sur le droit de retirer son consentement à tout moment,

- droit d'introduire une réclamation auprès de la CNIL,

- caractère réglementaire ou contractuel et caractère obligatoire de la collecte des données,

- existence d'un profilage,

- si traitement ultérieur des données pour une finalité autre que celle pour laquelle les données ont été collectées, information sur les autres finalités.

Droit d’accès

Article 15 du RGPD ; article 49 de la loi "Informatique et Libertés"

Vous avez le droit de demander au responsable de traitement la confirmation que vos données à caractère personnel sont ou ne sont pas traitées. Ainsi que l’accès aux informations concernant vos données (finalités, catégories de données, destinataires, durées de conservation, droit d’introduire une réclamation auprès de la CNIL, existence d’un profilage, garanties prises par le responsable de traitement en cas de transfert des données hors de l’Union européenne).

 

Le responsable de traitement doit vous fournir une copie lisible de vos données à caractère personnel faisant l'objet d'un traitement.

Droit de rectification

Article 16 du RGPD ; article 50 de la loi "Informatique et Libertés"

Vous avez le droit de demander la rectification de vos données à caractère personnel qui sont inexactes ou incomplètes, et ce dans les meilleurs délais.

Droit d’opposition

Article 21 du RGPD ; article 56 de la loi "Informatique et Libertés"

Vous avez le droit de vous opposer à tout moment au traitement de vos données à caractère personnel, notamment lorsqu’elles sont utilisées à des fins de prospection commerciale.

Droit à la portabilité

Article 20 du RGPD ; article 55 de la loi "Informatique et Libertés"

Vous avez la possibilité de récupérer vos données à caractère personnel, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme. Il s’agit d’un nouveau droit consacré par le RGPD (ex : transfert de vos données à caractère personnel à un réseau social, à une plateforme de musique en ligne, etc.)

Droit à la limitation du traitement

Article 18 du RGPD ; article 53 de la loi "Informatique et Libertés"

Vous pouvez demander la limitation du traitement de vos données lorsque :

 

  • l’exactitude d’une donnée à caractère personnel est contestée ; le responsable de traitement prendra alors le temps de vérifier l’exactitude des données,
  • le traitement est illicite et la personne concernée ne souhaite pas effacer ses données à caractère personnel mais seulement limiter leur utilisation,
  • les données à caractère personnel ne sont plus nécessaires aux fins de traitement mais elles sont encore nécessaires pour constater, exercer ou défendre les droits en justice de la personne concernée.

Droit d’effacement des données (« droit à l’oubli »

Article 17 du RGPD ; article 51 de la loi "Informatique et Libertés"

Vous avez le droit d'obtenir l’effacement, dans les meilleurs délais, de vos données à caractère personnel.

A noter que le responsable de traitement peut, dans certaines situations, refuser d’accéder à votre demande lorsque le traitement est justifié par :

 

  • des fins d’archive dans l’intérêt public, de recherches scientifiques, historiques ou statistiques,
  • des motifs de santé publique,
  • l’exercice du droit à la liberté d’information et d’expression.

Saisine directe du DPD

Article 38.4 du RGPD

Vous pouvez saisir directement le DPD d’une entreprise ou d’un organisme, s'il en a été désigné un, afin d'exercer vos droits :

Les coordonnées du DPD se trouvent :

 

  • sur internet, par exemple, dans les mentions dédiées à la politique de protection des données à caractère personnel,
  • dans les contrats, aux clauses dédiées à la politique de protection des données à caractère personnel.

Droit d’introduire une réclamation auprès de la CNIL

Article 77 du RGPD

Vous pouvez introduire une réclamation auprès de la CNIL si vous considérez que le traitement de vos données à caractère personnel constitue une violation du RGPD.

 

Le RGPD consacre le mécanisme de "Guichet unique". En cas de transfert de données à caractère personnel hors de l’Union européenne, la CNIL est l’interlocuteur unique pour tous les établissements du responsable de traitements, y compris ceux situés en dehors de l’Union européenne. La CNIL rend, également, une décision unique valable dans toute l’Union européenne. Ce mécanisme facilite les recours des consommateurs qui pourront continuer à adresser leurs plaintes à la CNIL, qui reste l’unique interlocuteur des personnes résidant sur le territoire français.

Droit d’introduire une action de groupe

Article 80 du RGPD

Vous avez la possibilité d'introduire une action de groupe et de mandater un organisme, une organisation ou une association à but non lucratif, dont les associations nationales agréées de défense des consommateurs, pour :

 

  • qu’il introduise une action en son nom,
  • qu’il exerce en son nom les actions de saisine de la CNIL ou d’un recours juridictionnel contre la CNIL ou un responsable de traitement ou un sous-traitant,
  • qu’il exerce en son nom le droit d’obtenir réparation.

 

 

 Droit d’accès après la mort

La loi n° 2016-1321 du 7 octobre 2016 (loi pour une République Numérique) a consacré le droit d’organiser le sort de ses données à caractère personnel après la mort. Ce droit permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à leur communication de leurs données à caractère personnel après leur décès. Ce droit codifié à l’article 40-1 de la Loi Informatique et Libertés n’a pas été repris par le RGPD mais il est bien applicable en droit français.

 

 

7 - Quelles sont les obligations en termes de sécurité ?

 

Sécurité physique ou informatique des données

Le responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : fermeture à clef des portes, chiffrement de données personnelles), (article 32 du RGPD).

 

 

Notification en cas de faille de sécurité

En cas de faille de sécurité portant atteinte aux libertés individuelles des personnes, le responsable de traitement a l’obligation d'en notifier à la CNIL, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance.

 

Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (ex : usurpation d'identité), le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais (articles 33 et 34 du RGPD).

 

 

 

Samia M'HAMDI,

Juriste à l'Institut national de la consommation

Haut de page