Depuis le 25 mai 2018, toutes les entreprises et institutions doivent obligatoirement se mettre en conformité avec les nouvelles règles visant à la protection des données personnelles. C’est le résultat d’un vote de l’Union Européenne dans le courant de l’année 2016. Ces règles très strictes portent un nom, ou plus exactement un acronyme ; RGPD. Mais, si tout le monde en parle, personne ou presque n’est en mesure d’en expliquer les principes. Qu’est-ce que le RGPD et comment se mettre en conformité avec cette directive ?
Le Règlement Général de la Protection des Données
Le RGPD est donc un acronyme, celui du Règlement Général de la Protection des Données. Mis en place essentiellement dans le cadre des données recueillies sur internet, le RGPD s’applique à toutes les entreprises et à toutes les institutions amenées à collecter des données personnelles de tiers, qu’elles le soient en ligne ou non. Ce règlement encadre la protection des données personnelles selon cinq grands principes de base ;
- Le respect du droit des personnes ;
- La limitation de la durée de conservation des données ;
- La sécurité et la confidentialité liées au stockage des données ;
- La finalité de la collecte (dans quel but ces données ont besoin d’être collectées ?) ;
- La pertinence de ces données dans le traitement du dossier des personnes.
Selon le texte de loi, les données personnelles ont une définition très large puisqu’il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4 du RGPD, GDPR en anglais)
La mise en conformité avec le RGPD
Selon le texte de loi, tout organisme (entreprise publique ou privée) amenée à traiter des données personnelles et dont l’activité est exercée sur le territoire de l’UE ou cible des résidents de l’Union Européenne est censé se mettre en conformité avec le RGPD. Qu’importe le poids économique ou la taille de l’entreprise, de la boulangerie du quartier demandant votre adresse pour sa tombola annuelle au mastodonte international vendant ses produits en ligne. Et cette mise en conformité passe par l’application stricte de mesures très claires :
- La constitution d’un registre de traitement des données ;
- Le tri des données reçues, l’entreprise ne devant conserver que celles indispensables à la finalité du traitement, c’est-à-dire, à l’objectif recherché et dans le strict respect des principes énoncés plus haut ;
- Le respect du droit des personnes, chaque personne devant obtenir une réponse positive aux demandes suivantes (accès aux données, opposition ou rectification des données, récupération ou portabilité des données, limitation du traitement) ;
- La sécurisation des données personnelles, ou comment éviter tout piratage en garantissant à la fois la confidentialité, l’intégrité et l’accessibilité aux personnes habilitées à les consulter (propriétaires ou responsables de traitement par exemple).
Les cas particuliers en France
En France, c’est la CNIL (Commission Nationale Informatique et Liberté) qui se trouve en charge du respect de l’application et de la mise en conformité du RGPD. La CNIL est un organisme d’état indépendant, non soumis à la tutelle d’un ministère quelconque. Son rôle est limité au contrôle et à l’établissement de sanctions en cas de non respect de la mise en conformité ou de manquements à l’application de la loi. Elle intervient toutefois également en cas de violations de données constatées par une entreprise ou une institution.
Notons toutefois qu’il existe quelques exceptions à l’interdiction de diffusion des données personnelles, notamment en ce qui concerne les administrations. Les informations concernant les personnes peuvent être transmises directement d’un employeur aux services fiscaux ou d’un service administratif à un autre sans que les personnes ne puissent s’y opposer, en vertu du respect des lois du pays. Ainsi, chaque pays de l’UE adapte le RGPD à ses lois existantes. A titre d’exemple, le nouveau passeport santé est au cœur d’une polémique justement liée à la consultation potentielle des données personnelles de santé par un certain nombre d’acteurs, publics ou privés. En outre, sachez qu’en respect de la loi Française, un organisme peut interdire l’accès à ses services en cas de refus d’un utilisateur à laisser certaines données décrites comme essentielles par l’organisme en question.
