Le 25 mai 2018, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "RGPD") est entré en vigueur. Show
Le RGPD renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données à caractère personnel. Cette fiche de l'Institut national de la consommation décrypte ce qu'est le RGPD et quels droits peuvent exercer les consommateurs. 1 - Qu’est-ce que le RGPD ? 2 - Quel est le champ d'application territorial du RGPD ? 3 - Qu’est-ce qu’un traitement de données à caractère personnel ? 4 - Quels sont les grands principes du RGPD ? 5 - Quelles sont les informations auxquelles vous devez faire attention ? 6 - Quels sont vos droits sur les données à caractère personnel ? 7 - Quelles sont les obligations en termes de sécurité ? 1 - Qu’est-ce que le RGPD ?Le RGPD est un règlement européen, assurant une protection des données à caractère personnel des personnes physiques. Il abroge la directive européenne 95/46/CE sur la protection des données à caractère personnel, qui était en vigueur jusqu'au 24 mai 2018. Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données à caractère personnel. Le législateur européen a considéré que la directive 95/46/CE nécessitait une mise à jour car cette dernière avait été transposée différemment par les pays de l’Union Européenne. Le RGPD marque la volonté d’une harmonisation au niveau européen. Le RGPD vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les entreprises et organismes traitant des données à caractère personnel. En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données à caractère personnel en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données. Jusqu’au 24 mai 2018, la protection des données à caractère personnel était encadrée en France par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après loi "Informatique et Libertés") qui avait intégré la directive européenne 95/46/CE. 2 - Quel est le champ d'application territorial du RGPD ?Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu'ils traitent de données à caractère personnel de citoyens européens. Le critère d’applicabilité n’est plus celui du lieu d’établissement de l'entreprise ou de l'organisme responsable de traitement. Depuis le 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données à caractère personnel d'utilisateurs européens (ex : Twitter, Facebook, etc.) est tout aussi concernée par le RGPD. 3 - Qu’est-ce qu’un traitement de données à caractère personnel ?Données à caractère personnelCe sont toute information qui se rapporte directement ou indirectement à une personne physique (article 4 du RGPD). Sont notamment considérées comme des données à caractère personnel, les :
TraitementIl existe un traitement de données à caractère personnel, dès lors qu’une donnée à caractère personnel est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement (article 4 du RGPD). 4 - Quels sont les grands principes du RGPD ?Absence de formalitésJusqu’au 24 mai 2018, la protection des données à caractère personnel reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables. Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants. Le système de contrôle a posteriori, basé sur ces formalités, est remplacé par l’appréciation en amont des risques en matière de protection des données et la réflexion sur les mesures concrètes à mettre en œuvre. Une entreprise qui souhaite lancer une application mobile doit réfléchir, avant sa mise sur le marché, aux données à caractère personnel qu'elle serait susceptible de traiter et documenter les mesures mises en place (durée de conservation des fichiers, mesures de sécurité en cas de faille de sécurité, etc.) A titre exceptionnel, certains traitements de données à caractère personnel comportant des données sensibles nécessitent l’accomplissement de formalités préalables (ex : données biométriques).Tenue d’un registre de traitementsLes entreprises et organismes comptabilisant plus de 250 salariés, doivent tenir un registre des traitements de données à caractère personnel, sous une forme écrite (papier ou électronique). Cette obligation s’applique également à ceux qui comptabilisent moins de 250 salariés, s’ils traitent des données sensibles (ex : données de santé), ou des données comportant un risque pour les droits et libertés des personnes concernées (ex : système de vidéosurveillance), ou des données relatives à des condamnations et infractions pénales (article 30 du RGPD ; article 57 de la loi "Informatique et Libertés"). Le registre des traitements de données à caractère personnel recense les activités comportant un traitement de données à caractère personnel (ex : gestion des clients, etc.) A noter que les sous-traitants doivent également tenir un registre des traitements pour le compte de l'entreprise ou de l'organisme responsable de traitement. La CNIL propose sur son site internet un modèle de registre de traitements, destiné à être complété par toute entreprise ou organisme, ayant l’obligation de tenir ce registre. Principe de responsabilisation ou "d’accountability"Le système de responsabilisation recouvre principalement deux notions (article 25 du RGPD) :
Information des personnes physiquesInformations à fournir lors de la collecte des données : Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Ces informations peuvent être fournies sur un site internet par le biais d'une politique de protection des données à caractère personnel et/ou des clauses contractuelles. Les articles 12 et 13 du RGPD précisent en détail la liste des informations que le responsable de traitement doit fournir. Réponses à la demande d’accès aux droits : Le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 1 mois si les demandes sont complexes et nombreuses) (article 12 du RGPD). Le responsable de traitement doit fournir une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. C’est au responsable de traitement de démontrer qu’il a bien respecté ses obligations.Désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) (ci-après DPD) :Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD (article 37 du RGPD ; article 57 de la loi "Informatique et Libertés"). Les entreprises et les organismes, quelle soit leur taille et leur activité, doivent obligatoirement désigner un DPD si :
Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données à caractère personnel. Il veille également au respect des lois relatives à la protection des données à caractère personnel. Analyse d’impactLe responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (ex : scoring, profilage, données sensibles) (article 35 du RGPD ; article 62 de la loi "Informatique et Libertés"). 5 - Quelles sont les informations auxquelles vous devez faire attention ?Finalités déterminéesLes données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD ; article 4 de la loi "Informatique et Libertés"). L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données à caractère personnel pour des finalités autres que celles qui étaient prévues au départ.La CNIL a annoncé le 31 juillet 2018 avoir prononcé une sanction de 30.000 euros à l’encontre de l’organisme pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. Durées de conservationLes données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Dans certains cas, la durée est déterminée par la loi. Un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.Dans d'autres cas, la durée est définie par le responsable de traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis. Suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.ConsentementEn principe, la personne doit consentir au traitement de ses données à caractère personnel. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne peut retirer son consentement à tout moment. Le consentement n'est pas le seul fondement juridique valable. Le RGPD prévoit d'autres fondements juridiques permettant de valider un traitement : exécution d’un contrat, respect d’une obligation légale ou "intérêts légitimes" poursuivis par le responsable de traitement (articles 6 et 7 du RGPD).Données sensiblesLe traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit (article 9 du RGPD ; article 6 de la loi "Informatique et Libertés"). Sont considérées comme des données sensibles, les données se rapportant :
Il existe des exceptions à l’interdiction de traitement de données sensibles (ex : droit du travail, motifs d’intérêt public important, intérêts vitaux, etc.) CookiesLes cookies sont des traceurs de navigation pouvant analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité. Les cookies sont régis par la directive européenne 2002/58/CE "Vie privée et communications électroniques" du 12 juillet 2002. La proposition de règlement européen "ePrivacy", en cours de discussion, viendra remplacer la directive 2002/58/CE et renforcer le régime applicable aux cookies. La CNIL (Commission nationale de l'informatique et des libertés) a apporté des éléments de réponses sur l'encadrement des cookies en rendant plusieurs délibérations sur le sujet. Pour plus d'informations, consultez l’article de la CNIL "Cookies & traceurs : que dit la loi ?"La problématique des "cookies walls" Le "cookie wall" est un procédé employé par certains sites internet pour bloquer l’accès à un site web ou à une application mobile pour l’utilisateur web qui ne donnerait pas son consentement. Dans certains cas, l’accès est conditionné à une contrepartie financière (ex. abonnement). La CNIL avait émis le 4 juillet 2019 des lignes directrices sur les cookies et autres traceurs. Dans ces lignes directrices, elle prohibait de façon générale et absolue la pratique des « cookies walls ». Mais, le Conseil d’Etat dans un arrêt du 19 juin 2020 a par la suite annulé cette disposition sur les « cookies walls » contenue dans la ligne directrice de la CNIL. La haute juridiction disposant que la CNIL ne peut pas interdire, par principe, la pratique des "cookies walls". Les lignes directrices de la CNIL du 4 juillet 2019 ont été ajustées le 17 septembre 2020 pour prendre en considération la décision rendue le 19 juin 2020 par le Conseil d'Etat. En attendant une clarification claire du législateur européen, la CNIL effectuera une analyse au cas par cas. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé Selon la CNIL, le CEPD (Comité européen de la protection des données) a publié une déclaration relative au projet de futur règlement ePrivacy dans laquelle il considère que les utilisateurs devraient toujours se voir proposer des alternatives équitables par le même fournisseur de service et ce, indépendamment du secteur d’activité et du modèle économique de l’éditeur. Consultez l'article de la CNIL : "Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation"ProfilageLe profilage consiste à utiliser des données à caractère personnel afin de prédire le comportement d'une personne tel que ses futurs choix, sa localisation, ses habitudes de consommation, etc. (ex : envoi de publicité ciblée adapatée à un profil). En principe, le consommateur a le droit de ne pas faire l'objet d'un profilage. Il existe des exceptions à ce principe lorsque le profilage :
Transfert de données hors Union européenneLe consommateur doit être vigilant sur la question des transferts de données à caractère personnel hors Union européenne. Lorsqu’un responsable de traitement ou un sous-traitant transfère des données dans un pays étranger, ils doivent garantir un niveau de protection des données suffisant et approprié. Sur ce sujet, consultez l’article de la CNIL "Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)" pour plus d’informations.6 - Quels sont vos droits sur les données à caractère personnel ?
La loi n° 2016-1321 du 7 octobre 2016 (loi pour une République Numérique) a consacré le droit d’organiser le sort de ses données à caractère personnel après la mort. Ce droit permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à leur communication de leurs données à caractère personnel après leur décès. Ce droit codifié à l’article 40-1 de la Loi Informatique et Libertés n’a pas été repris par le RGPD mais il est bien applicable en droit français. 7 - Quelles sont les obligations en termes de sécurité ?Sécurité physique ou informatique des donnéesLe responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : fermeture à clef des portes, chiffrement de données personnelles), (article 32 du RGPD). Notification en cas de faille de sécuritéEn cas de faille de sécurité portant atteinte aux libertés individuelles des personnes, le responsable de traitement a l’obligation d'en notifier à la CNIL, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance. Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (ex : usurpation d'identité), le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais (articles 33 et 34 du RGPD). Samia M'HAMDI, Juriste à l'Institut national de la consommation Quelles sont les données personnelles ?Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Quelles données sont plus particulièrement visées par la RGPD ?Le règlement stipule qu'il s'agit de "toute information concernant une personne physique identifiée ou identifiable", directement ou indirectement. Des données indirectement identifiantes, telles qu'un numéro de téléphone, ou un identifiant, sont donc concernées.
Quelles sont les données à protéger ?Exemples :. nom, prénom ;. adresse personnelle ;. adresse de courriel telle que pré[email protected] ;. numéro de carte d'identité ;. adresse de protocole internet (IP) ;. cookie[1] ;. données détenues par un hôpital ou un médecin, qui permettraient d'identifier de manière unique une personne.. Quelles sont les données non personnelles ?Qu'entend-on par données non personnelles ? Ce sont les données qui ne permettent pas d'identifier les personnes. Cela peut être par exemple les données de l'agriculture sur l'utilisation des pesticides, celles des industriels sur les besoins de maintenance d'un appareil, etc.
|