25 mai 2018. Le RGPD c’est pour aujourd’hui. Cette réglementation remplace une directive de 1995, qui était, jusqu’à aujourd’hui la référence européenne en matière de protection des données personnelles.
Ce nouveau cadre juridique, qui doit permettre d’harmoniser les législations des Etats membres, vise à renforcer les droits des Européens et à répondre aux évolutions des nouvelles technologies. De nouvelles obligations incombent désormais aux entreprises et collectivités.
Le RGPD s’applique à tous les traitements de données à caractère personnel. Les responsables de traitement (entreprises, administrations, etc) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, etc) établis au sein de l’Union européenne sont donc concernés. Mais ils ne sont les seuls. Les responsables et sous-traitants établis hors de l’UE mais manipulant des données concernant les Européens doivent également s’y conformer.
Droits des personnes : les grandes règles du RGPD
. Consentement renforcé
Si vous êtes concernés par les traitements de données, vous devez être informés de l’usage qui en est fait. En outre, vous devez donner votre accord pour le traitement de ces données ou pouvoir vous y opposer.
La charge de la preuve du consentement incombe au responsable du traitement.
. Droit d’accès
Vous pouvez obtenir la confirmation que des données vous concernant sont ou ne sont pas traitées. Et lorsqu’elles le sont, vous pouvez demander l’accès auxdites données.
. Droit de rectification
Vous avez le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes. Et, compte tenu des finalités du traitement, vous pouvez demander à ce que les données incomplètes soient complétées.
. Droit à l’oubli
Vous pouvez obtenir l’effacement des données à caractère personnel vous concernant. Le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais. Ce droit peut s’appliquer par exemple lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou lorsque les données ont fait l’objet d’un traitement illicite. Vous avez la possibilité de retirer le consentement sur lequel est fondé le traitement.
. Droit à la portabilité des données
Les personnes concernées ont le droit de recevoir les données les concernant qu’elles ont fournies. Ces données doivent être dans un format structuré, couramment utilisé et lisible par machine. Elles ont ensuite le droit de transmettre ces données à un autre organisme.
Obligations du responsable du traitement et des sous-traitants
Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées. Il doit s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement européen.
. Protection des données dès la conception
Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées. Il peut s’agir par exemple de la pseudonymisation. En effet, ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du RGPD et de protéger les droits de la personne concernée.
. Protection des données par défaut
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Et cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
. Sous-traitant
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. En effet, le traitement doit répondre aux exigences du RGPD et garantir la protection des droits de la personne concernée.
. Registre des activités de traitement
Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité.
Ce registre comporte notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement ou encore une description des catégories de personnes concernées et des catégories de données à caractère personnel.
Chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.
. Notification d’une violation de données à caractère personnel
En cas de violation de données à caractère personnel, le responsable du traitement notifie à l’autorité de contrôle compétente, dans les meilleurs délais. Et si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.