La RGPD – pour Réglementation Générale sur la Protection des Données – est une directive européenne visant à protéger les personnes physiques quant au traitement de leurs données personnelles. Cette nouvelle réglementation abroge la directive de 1995 relative à la protection des données, et, en prenant en compte l’évolution de l’informatique, s’apparente à une mise à jour. Ce règlement est entré en vigueur le 24 mai 2016 et sera obligatoire pour toutes les entreprises, administrations ou organismes, à partir du 25 mai 2018. Après cette date, toute structure n’ayant pas fait le nécessaire sera soumise à sanctions par les autorités compétentes ; le CNIL.
L’objectif de cette réglementation est de protéger les citoyens européens contre l’utilisation malveillante de leurs données ; elle s’applique donc à toutes les structures traitants ce type d’éléments.
Pour bien comprendre l’utilité et la nécessité d’une telle réglementation, il faut d’abord préciser ce qui entendu par "donnée à caractère personnel" .
Selon cette réglementation, le terme « donnée à caractère personnel » englobe toute donnée permettant d’identifier – directement ou indirectement – un citoyen européen. Ainsi les données permettant l’identification directe sont par exemple les noms et prénoms tandis que l’identification indirecte se fait par recoupement d’éléments. Il est à noter que certaines données sont interdites de traitement (notamment en cas de consentement ou de licéité non démontré), telles que :
La RGPD répond à plusieurs principes, finalement assez simples. Ainsi, pour n’en citer que quelques uns, il est dit dans le texte que les données doivent être traitées de manière « licite, loyale et transparente« , qu’elles doivent être collectées à des fins « déterminées et limitées » et être « exactes et tenues à jour » si besoin. De plus, afin que le traitement soit conforme à la loi, il faut que l’individu concerné ait consenti au traitement de ses données ou que celles-ci soient nécessaires (dans un cadre contractuel par exemple). Il peut également s’agir tout simplement d’une obligation légale à laquelle la structure est soumise.
Pour plus de renseignements et une liste complète des principes, vous pouvez vous référer au chapitre 2 de la réglementation sur le site du CNIL .
Selon les définitions mêmes du texte, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou en relation avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant répond à la même définition mais traite les données pour le compte d’un responsable.
Cette nouvelle réglementation s’applique au traitement automatisé, en intégralité ou en partie, ou non. Elle concerne tous les organes de l’Union Européenne, ainsi que les entreprises et administrations du territoire (que le traitement y ait lieu ou non).
Il s’applique également au traitement des données de personnes se trouvant dans l’Union par un responsable ou sous-traitant qui n’y est pas lui-même. Ce dernier cas s’applique lorsque les activités sont liées à :
Vous trouverez la liste exhaustive au chapitre 3 de la réglementation sur le site du CNIL.
Cette réglementation visant à protéger les citoyens européens, il est évident que ceux-ci ont un droit de regard sur leurs informations personnelles. Ainsi, la personne concernée peut demander la correction ou l’effacement de ses données et a le droit de ne pas faire l’objet d’un traitement automatisé – le responsable du traitement ou son sous-traitant devant tout mettre en œuvre pour préserver les droits et libertés du citoyen.
Concernant le traitant ou sous-traitant des « données à caractère personnel« , ces derniers doivent fournir un accès libre aux informations suivantes :