Adopté en avril 2016 par le Parlement Européen, le Règlement Général sur la Protection des Données (RGPD) est le dispositif légal qui remplace la Directive sur la Protection des Données Personnelles. Cette loi s’applique directement au sein des 27 États membres de l’Union Européenne (UE). Elle est prioritaire et au-dessus de toutes les législations nationales relatives à la protection des données dans tous les pays concernés. Le RGPD ou GDPR (en anglais, General Data Protection Regulation) s’avère une disposition juridique extraterritoriale. Cette réglementation donne aux citoyens plusieurs droits et aux responsables de traitements de données, des devoirs. Que faut-il comprendre à propos du RGPD ?
Plan de l'article
Traitement de données personnelles : une notion à cerner
Pour la Commission Nationale de l’Informatique et des Libertés (CNIL), un traitement de données personnelles désigne : « une opération, ou un ensemble d‘opérations, portant sur des données personnelles, quel que soit le procédé utilisé », c’est ainsi que vous pourrez comprendre le rgpd. Cette autorité de surveillance numérique basée en France précise que « les fichiers papier sont également concernés ». Ainsi, sont catégorisées comme opérations de traitement de données, toutes actions, manœuvre ou procédure en lien avec :
A lire également : Résidence étudiante Aix-en-Provence : quelle résidence choisir ?
- la collecte,
- la conservation,
- l’enregistrement organisation,
- la modification,
- l’adaptation ou
- l’extraction consultation des données de toute personne physique.
Sont également concernées, toutes actions liées à l’utilisation, la diffusion, la communication par transmission ou tout autre procédé de rapprochement ou de mise à disposition des informations dites personnelles. De ce fait, on parlera de traitement de données dès qu’une personne, une entreprise ou toute forme d’organisation intervient sur au moins une donnée personnelle.
Qu’appelle-t-on donnée personnelle ?
Est considérée comme données personnelles, toute information pouvant directement ou indirectement servir à identifier une personne physique. Il s’agit ainsi du nom et du prénom (information directe) ainsi que des informations indirectes comme le numéro de téléphone, le numéro de client, le numéro de la carte d’identité ou du passeport et le numéro de la sécurité sociale. Les adresses MAC et IP sont ainsi des données personnelles au même titre que les informations des salariés, des sous-traitants et des clients, tant qu’il s’agit de personnes physiques.
A lire également : Le handicap est-il un frein à l'emploi ?
Qu’en est-il des données sensibles ?
Constitue une donnée sensible, toute information qui renseigne sur la santé, les données génétiques, les origines, les opinions et l’orientation sexuelle. L’appartenance à un syndicat et les potentielles condamnations pénales y sont aussi incluses. Ces informations dites sensibles sont encore plus protégées du fait de leur grande sensibilité.
RGPD : quelques principes importants
Outre l’harmonisation de la réglementation dans les pays de l’UE, le RGPD régit certains principes à connaître et à respecter. L’extra-territorialité de cette loi en est un exemple. En réalité, le RGPD stipule que les entreprises établies hors du territoire de l’UE, mais qui procèdent au traitement des données relatives aux résidents ou aux activités de l’espace Euro sont tenues de respecter ladite loi. Quant au principe du consentement explicite et positif, il s’agit d’une disposition qui oblige les entreprises à donner plus de contrôle aux citoyens, salariés et clients, sur leurs données personnelles.
Par exemple, les sites internet doivent forcément et explicitement demander l’autorisation des visiteurs de leurs plateformes sur l’utilisation et le stockage de leurs informations. De plus, avec le droit à l’effacement, toute personne peut demander la suppression de ces données dans les meilleurs délais. Elle pourra également réclamer que l’entreprise lui fournisse les données traitées dans un format lisible (droit à la portabilité). La sécurité des informations personnelles doit aussi être assurée.
L’entreprise désormais actrice de sa mise en conformité avec le RGPD
Les entreprises ou les organisations doivent mettre au point des moyens et stratégies afin d’assurer leurs conformités avec le RGPD. Ladite conformité devra être prouvée, à tout moment, à travers une documentation justificative. Le registre des activités de traitement en est un exemple. Ce document présente l’ensemble des traitements effectués sur les données personnelles des utilisateurs, des clients ou des employés.
La liste des données devant figurer dans le registre de traitement dépend de la nature et de la taille de l’entreprise. Pour être en conformité avec cette réglementation, il est recommandé de désigner une personne ou une structure chargée de suivre les procédures et de s’assurer de l’existence et de la disponibilité des documents justificatifs. Il s’agit du délégué à la protection des données ou Data Protection Officier (DPO).
Le RGPD est un dispositif de réglementation qui s’applique tant aux sites internet, à toute plateforme en ligne, ainsi qu’à toute structure gouvernementale ou privée qui collectent et traitent des données relatives aux résidents de l’Union Européenne. Pour se conformer à cette loi, il est important d’avoir un registre de traitement. Travailler avec un délégué à la protection des données est aussi recommandé.
