Aperçu du RGDP

Qu'est-ce que le RGPD ? Quelques questions/réponses simples sur des thèmes faisant l’objet d’un traitement détaillé dans le cadre du D.U.

Qu’est-ce que le RGPD ?

RGPD est un acronyme qui signifie « Règlement Général sur la Protection des Données », lequel désigne un texte dont l’intitulé exact est  « Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE » (lien vers la version francaise).
​Ce texte unifie dans une très large mesure les règles relatives à la protection des données à caractère personnel sur tout le territoire de l’Union européenne. Certains aspects restent toutefois soumis aux droits nationaux des États.

Qui doit respecter le RGPD ?

Le RGPD s'applique au traitement des données à caractère personnel effectué "dans le cadre des activités d'un établissement d'un responsable de traitement ou de l’un de ses sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union".
Il a également la particularité de devoir être respecté par des responsables de traitement ou des sous-traitants qui ne sont pas établis dans l’Union dès lors qu’ils offrent des biens ou services à des personnes situées sur le territoire de l’UE, que cela soit à titre payant ou gratuit, ou que leur activité de traitement est lié au suivi de leur comportement dès lors que ce comportement a lieu au sein de l’Union.

Qu’est-ce qu’une donnée à caractère personnel au sens du RPGD ?

 Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, cette dernière étant définie comme « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». La définition est donc très large : toute information se rapportant à une particularité d’une personne donnée.

Qu’est-ce qu’un responsable de traitement ?

Le RGPD a une conception très large de ce qu’est le traitement d’une donnée et, par conséquent, de la notion de responsable de traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».

Quels sont les grandes lignes des principes régissant le traitement des données à caractère personnel ? 

En simplifiant, le RGPD oblige en toute hypothèse à respecter certains principes généraux, à fonder un traitement sur l’un des bases légales de l’article 6, à respecter des règles supplémentaires pour certains traitements et à assurer le respect des droits des personnes dont les données à caractère personnel sont traitées.

Quels sont les grands principes généraux ?

L’article 5 du RGPD oblige à ce que les données soient collectées pour des finalités déterminées, explicites et légitimes. Le respect de ce principe est très important. Il est toutefois possible, dans certaines hypothèses, de réutiliser des données à des fins pour lesquelles elles n’ont pas strictement été collectées ; l'une d'entre elles est l'existence d'une "finalité compatible" avec la finalité initiale.
L’article 5 prévoit également que les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ; c'est ce qu'on appelle le principe de minimisation des données.
Le traitement des données n'est par ailleurs licite que s'il est effectué sur l'un des fondements légaux prévus à l'article 6 du RGPD (infra).
Les données doivent au demeurant être exactes et tenues à jour.
Elles doivent n’être conservées que pour le temps nécessaire à l’accomplissement des finalités pour lesquelles elles ont été collectées, sauf quelques exceptions.
Les personnes traitant des données à caractère personnel doivent à tout moment pouvoir rendre compte de la compatibilité de leur traitement avec l’ensemble des règles du RGPD.

Quels sont les fondements légaux de traitement prévus par le RGPD ?

Le RGPD prévoit qu’un traitement de données à caractère personnel n’est licite que s’il est fondé sur l’un des cas suivants : 

  1. Le consentement de la personne a été recueilli ; le recueil de ce consentement est entouré de multiples exigences se ramenant à l’idée qu’il doit être recueilli de manière claire, loyale et explicite ;
  2. La nécessité du traitement pour l’exécution d’un contrat auquel la personne est partie ou l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  3. ​Le respect d’une obligation légale ;
  4. La nécessité du traitement pour la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. La nécessité du traitement aux fins des intérêts légitimes poursuivi pas le responsable du traitement pour par un tiers. C’est l’un des fondements les plus délicats car il oblige à opérer un contrôle de proportionnalité entre la légitimité de l’intérêt du responsable de traitement et les droits et libertés fondamentaux de la personne concernée.

Quelles règles supplémentaires devant parfois être respectées au titre de la licéité du traitement ?

Ces règles sont très variées et vont dépendre du cas de figure considéré. On peut citer, à titre exemple :

  • Le traitement de données que l’on qualifie usuellement de sensibles (ainsi: origine raciale ou ethnique, données de santé, données concernant la vie sexuelle) est assujetti au respect additionnel de l’un des fondements figurant à l’article 9 du RGPD ;
  • La prise de décision fondée exclusivement sur un traitement automatisé de données se rapportant à une personne, comme le profilage, est par principe interdite dès lors qu’elle produit des effets juridiques la concernant ou l’affecte de manière significative ou de façon similaire ; des exceptions sont toutefois prévues ;
  • Des règles spéciales régissent le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • Le RGPD est secondé, dans chaque pays de l’Union, par une loi nationale le complétant et prenant notamment parti sur les options laissées par le RGPD aux Etats membres ; par exemple, le consentement des mineurs pour ce qui concerne l’offre directe de services de la société de l’information aux enfants. En France, cette loi est la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée par l’ordonnance du 12 décembre 2018 à quoi il faut ajouter le décret n° 2019-536 du 29 mai 2019 ;
  • Le traitement de certains types de données fait également l’objet de lois nationales plus précises et propres à un secteur ; par exemple, le traitement des données de santé.

Il appartient à chaque responsable de traitement de déterminer quelles sont les règles spécifiques et propres à son domaine d'activité qui doivent être respectées au-delà du RGPD.

Quels sont les droits que donne le RGPD aux personnes dont les données à caractère personnel sont traitées ?

Ces droits figurent principalement dans le chapitre III du RGPD. Les plus remarquables sont :

  • Le droit à la transparence des informations sur les données traitées et sur les droits des personnes concernées ;
  • Le droit à l’information sur le traitement, son auteur, ses modalités ;
  • Le droit d’accès, qui permet à une personne de savoir si ses données à caractère personnel sont ou ne sont pas traitées et, le cas échéant, l’accès à ces données ainsi qu'à un certain nombre d’informations sur leur traitement ;
  • Le droit de rectification et d’effacement des données (qui n’est pas absolu) ;
  • Le droit de rectification des données ;
  • Le droit à l’effacement (« droit à l’oubli ») (qui lui aussi n’est pas absolu) ;
  • Le droit à la limitation du traitement, qui permet dans certaines circonstances à une personne de demander le « gel » du traitement de ses données ;
  • Le droit à la portabilité des données.

Il est important de comprendre que l’ensemble de ces droits ne sont pas soumis aux mêmes conditions d’exercice, le responsable du traitement pouvant légitimement s’opposer à la demande qui lui est faite dans un certain nombre de circonstances.

Qu'est-ce qu'on appelle des "BCR" ? 

"BCR" est un acronyme se rapportant à l'expression anglaise "Binding Corporate Rules" ; en français, on parle de "règles d'entreprises contraignantes" mais il est usuel de les désigner en employant l'acronyme anglais.

Les BCR sont principalement un outil à destination des grands groupes implantés dans différents pays dont certains ne sont pas membres de l'UE. Il s'agit de règles internes au groupe visant à permettre le transfert de données à caractère personnel vers l'entité du groupe qui n'est pas membre de l'UE dans un cadre qui respecte les principes du RGPD. Les principes régissant les BCR figurent à l'article 47 du RGPD, mais leur élaboration doit être faite en tenant compte des documents de travail  WP 256 et WP 257 émis par l'ancien Groupe de Travail de l'article 29 ainsi que, de manière générale, les recommandations des autorités de contrôle. Pour produire l'effet juridique que leur confère le RGPD, les BCR doivent en effet être soumises à une procédure d'approbation impliquant plusieurs autorités de contrôle et en dernier lieu le CEPD (Comité Européen de la Protection des Données)

 

À suivre…

D.U. DPO

Partager cette page