Show
Presque tous les jours, vous révélez des informations personnelles au monde extérieur : lorsque vous demandez une carte client au supermarché, lorsque vous vous inscrivez à un cours de danse ou lorsque vous participez à un concours ... Par le passé, vous n’aviez, en général, aucun contrôle sur ce qu'il advenait de toutes ces données. Depuis mai 2018, il existe une loi qui établit la manière dont les personnes et les services doivent traiter vos données, le Règlement général sur la protection des données (RGPD). Ce règlement apporte plus de transparence et de contrôle concernant vos données. La loi qui existait auparavant s’appelait « Loi vie privée ». Loi Informatique et Libertés et RGPD en FranceLe Règlement général sur la protection des données a tout d'abord été adopté en avril 2016 par le Parlement européen, puis est entré en vigueur au mois de mai de la même année. La loi du 6 janvier 1978, dite Loi Informatique et Libertés, a été modifiée afin que la législation française soit en conformité avec le droit européen (1). Les dispositions du RGPD y ont été intégrées. Qui est concerné par le Règlement Général sur la Protection des Données ?Que signifie RGPD ou GDPR ?RGPD signifie Règlement Général sur la Protection des Données. Il s'agit du texte organisant le traitement des données personnelles ainsi que leur protection. Le GDPR est simplement l'équivalant anglophone. Il signifie "General Data protection Regulation". Est-ce que le RGPD est obligatoire ?Tout organisme peut être concerné quels que soient sa taille, son pays d'implantation, son activité, qu'il soit public ou privé. Sous quelles conditions l'organisme doit être en conformité avec le Règlement Général sur la Protection des Données ? Il doit traiter des données personnelles pour son compte ou le compte d'un tiers, dès lors :
💡A noter : les sous-traitants doivent également veiller au respect du RGPD s'ils traitent des données personnelles pour d'autres. Qu'est-ce qu'un traitement de données personnelles ?Il s'agit d'une opération ou d'un ensemble d'opérations qui portent sur des données personnelles. Peu importe le procédé utilisé. Le traitement de données peut consister en :
📌Exemple : tenir un fichier clients constitue un traitement de données personnelles, au même titre que collecter des coordonnées de potentiels clients via un questionnaire, etc. ⚠ Important : collecter ou traiter des données personnelles uniquement dans l'éventualité de s'en servir un jour n'est pas possible. En effet, chaque opération doit avoir un objectif. Qu'est-ce qu'une donnée personnelle ?Une "donnée personnelle" se définit comme "toute information se rapportant à une personne physique identifiée ou identifiable" (2). Une personne peut être identifiée directement, par ses nom et prénoms par exemple, mais aussi indirectement par le biais, notamment, d'un numéro de téléphone, un numéro client, etc. L'identification peut être faite, soit à partir d'une seule donnée (exemple : numéro de sécurité sociale), soit du fait du croisement de plusieurs données. Le Règlement européen du 27 avril 2016 (3), entré en vigueur en mai 2018, exige une protection des données personnelles détenues, telles que :
Besoin d'information juridique ? Abonnez-vous à notre service. Les principes de la protection des donnéesLe RGPD pose plusieurs principes liés à la protection des données personnelles (4) :
Quelle institution contrôle le traitement des informations personnelles?La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites. La CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles. Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :
La Commission nationale de l'informatique et des peut contrôler toute entreprise qui, sans nécessairement être établie en France, recourt à des moyens de traitement de données personnelles sur le territoire français (5). La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en oeuvre le traitement des données à caractère personnel. 1 an d'emprisonnement et 15 000 euros d'amendeEntrave à la CNIL La délégation de la CNIL peut demander :
💡Entraver une action de la CNIL est puni d'un an d'emprisonnement et de 15 000 euros d'amende (6). Quelle application faire du RGPD en cas de collecte de données personnelles ?A chaque fois que des informations personnelles sont demandées, l'organisme collecteur doit informer les personnes dont les données sont collectées (7) de :
1 moisPour fournir les informations Si la collecte des données est faite auprès d'un tiers et non pas de l'intéressé, le responsable du traitement dispose d'un délai d'un mois pour fournir les informations à la personne dont les données sont collectées (8). Chaque personne qui fait l'objet d'une collecte de données personnelles, doit être informée de son droit :
✍ Données personnelles et Comité social et économique (CSE) Le RGPD suppose également de s'assurer de la protection des données en entreprise. La gestion des activités sociales et culturelles (exemple : chèques cadeaux, sport ou loisirs, activités de voyage, etc.) par le CSE suppose la collecte et le traitement d'informations sur les salariés qui en bénéficient. Dans un tel cas de figure, le CSE doit respecter les mêmes obligations que tout collecteur, comme l'entreprise. De plus, pour les établissements ou entreprises dont l'effectif atteint au moins 50 salariés, l'employeur met en place une Base de Données Economiques, Sociales et Environnementales (BDESE) destinée au CSE/IRP. En principe, la BDESE ne comporte pas d'informations nominatives qui permettent l'identification d'une personne, directement ou indirectement. Néanmoins, si l'employeur inclut de telles données, il doit, de son côté, établir un registre de traitement des données personnelles collectées. Le CSE quant à lui, en raison de cette collecte de données auprès d'un tiers (l'employeur), doit en informer le salarié dans un délai d'un mois. Si vous êtes un particulier, cet article peut vous intéresser : Protection des données par le RGPD : quel intérêt pour le particulier ? Comment s'appelle la loi à respecter dans le traitement des données ?En effet, le RGPD s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu'elle est établie sur le territoire de l'Union européenne, ou que son activité cible directement des résidents européens.
C'est quoi la loi RGPD ?Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union Européenne.
Comment s'appelle la loi du 20 juin 2018 ?La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi "Informatique et libertés" du 6 janvier 1978 au "paquet européen de protection des données".
Quelle est la différence entre la CNIL et la RGPD ?Il n'y a donc pas de différences à proprement parler entre le Règlement Général sur la Protection des Données et la loi Informatique et Libertés, le premier complétant désormais la seconde.
|