Solutions logicielles pour les métiers de la santé et de l'hygiène

FRANCE
(+33)4 67 62 82 11

La RGPD

Introduction

La RGPD – pour Réglementation Générale sur la Protection des Données – est une directive européenne visant à protéger les personnes physiques quant au traitement de leurs données personnelles. Cette nouvelle réglementation abroge la directive de 1995 relative à la protection des données, et, en prenant en compte l’évolution de l’informatique, s’apparente à une mise à jour. Ce règlement est entré en vigueur le 24 mai 2016 et sera obligatoire pour toutes les entreprises, administrations ou organismes, à partir du 25 mai 2018. Après cette date, toute structure n’ayant pas fait le nécessaire sera soumise à sanctions par les autorités compétentes ; le CNIL.

L’objectif de cette réglementation est de protéger les citoyens européens contre l’utilisation malveillante de leurs données ; elle s’applique donc à toutes les structures traitants ce type d’éléments.

Qu’est-ce qu’une donnée à caractère personnel ?

Pour bien comprendre l’utilité et la nécessité d’une telle réglementation, il faut d’abord préciser ce qui entendu par "donnée à caractère personnel" .

Selon cette réglementation, le terme « donnée à caractère personnel » englobe toute donnée permettant d’identifier – directement ou indirectement – un citoyen européen. Ainsi les données permettant l’identification directe sont par exemple les noms et prénoms tandis que l’identification indirecte se fait par recoupement d’éléments. Il est à noter que certaines données sont interdites de traitement (notamment en cas de consentement ou de licéité non démontré), telles que :

  • les origines ;
  • les opinions et convictions (religieuses et politiques) ;
  • l’appartenance à un syndicat ;
  • l’orientation sexuelle ;
  • les données génétiques, biométriques ;
  • les condamnations pénales et infractions.

Les principes de la réglementation RGPD

La RGPD répond à plusieurs principes, finalement assez simples. Ainsi, pour n’en citer que quelques uns, il est dit dans le texte que les données doivent être traitées de manière « licite, loyale et transparente« , qu’elles doivent être collectées à des fins « déterminées et limitées » et être « exactes et tenues à jour » si besoin. De plus, afin que le traitement soit conforme à la loi, il faut que l’individu concerné ait consenti au traitement de ses données ou que celles-ci soient nécessaires (dans un cadre contractuel par exemple). Il peut également s’agir tout simplement d’une obligation légale à laquelle la structure est soumise.

Pour plus de renseignements et une liste complète des principes, vous pouvez vous référer au chapitre 2 de la réglementation sur le site du CNIL .

Qui sont les responsables du traitement des données à caractère personnel ?

Selon les définitions mêmes du texte, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou autre organisme qui, seul ou en relation avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant répond à la même définition mais traite les données pour le compte d’un responsable.

Champs d’application et droits des personnes

Les champs d’applications

Cette nouvelle réglementation s’applique au traitement automatisé, en intégralité ou en partie, ou non. Elle concerne tous les organes de l’Union Européenne, ainsi que les entreprises et administrations du territoire (que le traitement y ait lieu ou non).

Il s’applique également au traitement des données de personnes se trouvant dans l’Union par un responsable ou sous-traitant qui n’y est pas lui-même. Ce dernier cas s’applique lorsque les activités sont liées à :

  • l’offre de biens ou de services ;
  • [au] suivi du comportement de ces personnes.

Vous trouverez la liste exhaustive au chapitre 3 de la réglementation sur le site du CNIL.


Droits de la personne

Cette réglementation visant à protéger les citoyens européens, il est évident que ceux-ci ont un droit de regard sur leurs informations personnelles. Ainsi, la personne concernée peut demander la correction ou l’effacement de ses données et a le droit de ne pas faire l’objet d’un traitement automatisé – le responsable du traitement ou son sous-traitant devant tout mettre en œuvre pour préserver les droits et libertés du citoyen.

Concernant le traitant ou sous-traitant des « données à caractère personnel« , ces derniers doivent fournir un accès libre aux informations suivantes :

  • identité et coordonnées ;
  • coordonnées du délégué à la protection des données ;
  • finalité et base juridique du traitement ;
  • destinataires du traitement ;
  • durée de conservation des données ;
  • l’existence d’une prise de décision automatisée.