Loi RGPD et protection des données : 6 points essentiels à retenir

Signification du sigle RGPD : Règlement Général de la Protection des Données. 

Définition

Le « Règlement n°2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », adopté le 8 avril 2016 par le Conseil de l’Europe, puis le 16 avril par le Parlement Européen, sera présenté officiellement début 2018, et s’appliquera directement dans les États Membres à compter du 25 mai 2018, avec des adaptations aux différentes législations nationales.

Mais que faut-il retenir de cette loi dans le cadre des Internet ?

Les 6 points essentiels de la loi RGPD:

1 – Redéfinition du consentement

Rappelons que d’après le onzième point de l’article 4 du Règlement, le consentement se définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Par ailleurs, le consentement doit être express ; la personne doit avoir réellement été mise devant la nécessité de donner son consentement. Le silence, une case cochée par défaut ou une inactivité ne sauraient être reçus comme une preuve de consentement. Enfin, la personne ayant donné son consentement peut le retirer à tout moment.

Il existe toutefois des cas pour lesquels, les données peuvent être traitées sans consentement de la personne concernée :

• l’exécution d’un contrat accepté par la personne
• le traitement découle d’une obligation légale
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne
• le traitement est nécessaire à l’exécution d’une mission d’intérêt public
• Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.

2 – Des données supprimées lorsqu’elles deviennent obsolètes

Les données lorsqu’elles ne sont plus utiles, doivent être supprimées de la base de données de l’entreprise dans un délai raisonnable. Reste à savoir comment déterminer l’utilité, ou justement la non utilité des données pour une entreprise ?!

La suppression devient également obligatoire, lorsque l’individu retire son consentement, ce qu’il peut faire à tout moment.

3 – Minimisation et restriction du traitement des données

D’après l’article 18 du Règlement, la personne concernée peut demander la limitation du traitement des données :

• Lorsque l’exactitude des données recueillies est contestée par la personne elle-même
• Lorsque le traitement est illicite, mais que la personne s’oppose à l’effacement
• Lorsque le responsable du traitement n’a plus besoin des données personnelles pour celui-ci, mais que la personne en a encore besoin pour un constat, un exercice, ou une défense de droits juridique
• Lorsque la personne s’est opposée au traitement (article 21, paragraphe 1), pendant la vérification pour savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

Si le traitement a été limité selon les conditions énoncées ci-dessus, celui-ci ne peut s’effectuer et les données ne peuvent être conservées que pour la constatation, l’exercice ou la défense de droits en justice, pour la protection d’une autre personne physique ou morale, ou selon un intérêt d’un Etat membre. Le traitement quant à lui, nécessite le consentement de la personne. De plus, une personne dont le traitement des données a été limité, sera informée de cette limitation avant qu’elle ne soit levée.

4 – Intégrité des données

En France, l’article 40 stipule que “Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.”

5 – Confidentialité

Les entreprises sont incitées à utiliser des pseudonymes avant et pendant le traitement des données, afin de garantir leur protection. Ainsi, l’identification de l’individu concerné est impossible, sans informations supplémentaires. Il en va de même, « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » (Article 35 du Règlement).

6 – Les risques encourus en cas de non respect du Règlement

La directive 1995/46/CE prévoyait jusqu’ici simplement la possibilité, pour la personne dont les droits ont été violés, de recourir aux tribunaux et d’obtenir du responsable du traitement réparation de son préjudice. Dorénavant, il existe plusieurs solutions :

• “droit à un recours effectif”
• “droit à réparation”
• simple avertissement
• injonction de se mettre à la norme
• amendes, pouvant aller jusqu’à 20M d’euros.

Pour conclure, on a ici de nombreux points qui mettent en lumière le regain de pouvoir de l’internaute concernant le traitement de ses données. Que ce soit au niveau de l’accessibilité, ou la quantité de données récoltées par les entreprises, le but est avant tout de protéger sa vie privée.

Un bref rappel des risques, concernant la collecte des données ; parfois dans un formulaire, un tiers malveillant peut récupérer vos données en insérant du JavaScript dans les champs à remplir. Pensez donc à vérifier la provenance des formulaires avant de les remplir !! 

Pour aller plus loin :

• Comprendre vos droits
• Le site de la CNIL