Comprendre le RGPD : Quels nouveaux enjeux pour l’UE ?

Partager c'est aimer !

Mails de rappel au consentement, fenêtres popup, depuis près de deux ans, vous vous posez certainement la question de savoir « qu’est-ce que le RGPD » ? Afin de comprendre ce qu’il en est réellement, il convient de revenir sur les dernières actualités s’agissant du nouveau Règlement général sur la protection des données personnelles qui consacre également un réel droit à l’oubli numérique.

  • Pour rappel

Il y a maintenant deux ans, le 27 avril 2016, le Parlement européen et le Conseil de l’Union européenne s’accordaient sur le nouveau cadre européen à mettre en place afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de celles-ci.

Le RGPD – ou GDPR pour General data protection regulation – est applicable depuis le 25 mai 2018 à l’ensemble des États membres de l’Union européenne et abroge, de ce fait,  la Directive sur la protection des données personnelles de 1995 relativement désuète eu égard à l’apparition de nouveaux modèles numériques et économiques. L’objectif du RGPD est d’être le nouveau texte de référence en matière de protection des données personnelles, il s’agit d’instaurer un cadre commun à l’ensemble des États membres de l’Union européenne afin d’harmoniser les législations.

  • Qu’est-ce qu’une donnée personnelle ?

Les données personnelles étaient bien évidemment définies dans la Loi « Informatique et Libertés » de 1978 comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments qui lui sont propres ». Le RGPD n’a pas substantiellement modifié cette définition, il est venu la préciser.

L’article 4 du Règlement indique que ces données à caractère personnel sont « toutes les informations se rapportant à une personne physique identifiée ou identifiable ». Pour cela, il suffit de pouvoir être identifié, directement ou indirectement, par référence à un identifiant tel que le nom, un numéro d’identification, des données de localisations, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale

Au sein de ces données, il convient de préciser qu’un traitement de données à caractère personnel qui concerne l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données concernant la santé, la vie ou l’orientation sexuelle d’une personne physique est un traitement de données dites « particulières » dans le Règlement et que la Loi de 1978, que le RGPD vient remplacer, dénommait données « sensibles ».

  • À qui s’adresse le RGPD ?

Le RGPD a vocation à s’appliquer à toute entité manipulant des données personnelles de citoyens européens. Ainsi, les entreprises européennes, ou encore les sous-traitants qui sont en contact avec nos chères données doivent effectuer un important travail de mise en conformité aux nouvelles règles européennes. Mais ce ne sont pas les seuls, les géants Américains tels que Facebook, Google ou encore Uber doivent eux aussi tenir compte des modalités du RGPD s’ils veulent continuer, sans risque, à fournir biens et services à la population européenne.

  • Et concernant la France ?

En France, le Règlement général sur la protection des données personnelles a été transposé dans la législation par le biais d’un projet de loi relatif à la protection des données personnelles, présenté le 13 décembre 2017 par la ministre de la justice, Nicole Belloubet.

  • Le droit à l’oubli numérique ?

Consacré par l’article 17 du RGPD, le droit à l’oubli – ou droit à l’effacement des données personnelles – paraît fondamental pour le respect de la vie privée de chacun. Cet article prévoit que toute personne peut obtenir d’un responsable de traitement l’effacement, dans les meilleurs délais et sous certaines conditions listées par le Règlement, de données personnelles.

Ce droit peut donc être exercé dans les cas où :

  1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  2. Le consentement était nécessaire lors de la collecte des données (ce qui vise les cas des données sensibles).
  3. La personne exerce son droit d’opposition «  pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
  4. Les données ont fait l’objet d’un traitement illicite.
  5. Elles concernent un mineur.
  6. L’effacement est prévu par une obligation légale.
  • Sanctions

Les organisations ont tout intérêt à respecter à la lettre les nouvelles exigences du RGPD, en effet, les plafonds des sanctions sont particulièrement élevés, surtout pour les multinationales. En effet en cas d’entrave au nouveau Règlement, des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel total mondial.

 

A propos de l'auteur

0 Commentaire

Laisser un commentaire