Le nouveau Règlement général du 27 avril 2016 sur la protection des données, dit RGPD, sera applicable à compter du 25 mai 2018 par l’ensemble des pays membres de l’UE.

Les entreprises doivent donc dès maintenant commencer à se mettre en conformité avec celui-ci. Le Synpase fait le point pour vous aider à y avoir plus clair.

Champ d’application du Règlement

En France, ce Règlement, d’application directe, détrône la Loi informatique et liberté de 1978 et modifie le rôle de la CNIL (Commission national de l’informatique et des libertés).

Il délaisse le système de déclaration à la CNIL au profit d’un système qui fait la part belle à l’auto-responsabilité des acteurs économiques. Désormais, la CNIL sera davantage une autorité de contrôle capable de prononcer des sanctions.

Les acteurs deviennent donc responsables du traitement des données, et doivent désigner un « Délégué à la Protection des Données », DPD (ou DPO, « Data Protection Officer), lequel remplace le CIL (Correspondant Informatique et Libertés) avec toutefois un rôle plus étendu.

Ce délégué devra pouvoir justifier en cas de contrôle qu’il a pris toutes les mesures nécessaires pour que les données traitées soient correctement protégées.

Pour résumer, ce Règlement s’applique d’après son article 3 :

1. Au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

– A l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou

– Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Qu’est-ce qu’une donnée à caractère personnel ?

Le Règlement propose des définitions afin de permettre de cerner son champ d’application (très large au vu des définitions) :

Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, dite personne concernée. Définition très large, puisqu’une adresse IP ou des données de localisation sont considérées comme des données à caractère personnel.

Traitement de données : Toute opération de collecte, d’enregistrement, de conservation, de modification, de consultation, de communication par transmission, de verrouillage, d’effacement ou de destruction. Définition très large également, selon laquelle tout acteur traite de la donnée.

Responsable de traitement : Personne, autorité publique, service ou organisme qui détermine la finalité et les moyens du traitement. Pour une entreprise, il s’agit donc de la personne morale, représentée par son représentant légal. Dans le cadre d’une société mère et de ses filiales, on considère la société mère comme responsable du traitement de ses filiales.

Sous-traitant : « Toute personne traitant des données à caractère personnel pour le compte du responsable de traitement. »

Les grands principes de la protection des données

Les organismes qui traitent des données personnelles doivent garantir la sécurité de celles-ci en respectant les grands principes suivants :

  • Principe de licéité, loyauté et transparence, les données doivent être traitées de façon licite, loyale et transparente pour la personne concernée
  • Principe de limitation des finalités, les données doivent être traitées pour des finalités déterminés, explicites et légitimes uniquement
  • Principe d’exactitude des données, les données doivent être exactes et donc si nécessaires, tenues à jour
  • Principe de limitation de la conservation des données, les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée déterminée, n’excédant pas celle nécessaire pour les finalités pour lesquelles elles sont traitées
  • Principe d’intégrité et de confidentialité, les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel

Quelles obligations pour quelles entreprises ?

Si les entreprises doivent dès maintenant s’interroger sur leur démarche en matière de protection des données, les obligations instaurées par le Règlement ne sont toutefois pas les mêmes selon la taille de l’entreprise. Pour en savoir plus, consultez la fiche pratique dédiée ici.

Pour en savoir plus, retrouvez l’article de la CNIL à ce sujet : Règlement Européen sur la protection des données, ce qui change pour les professionnels