Le RGPD : l'essentiel à retenir

  • C’est quoi le « RGPD » ?

Adopté le 27 avril 2016 par le Conseil européen, le « RGPD » ou « Règlement Général sur la Protection des données » fixe la nouvelle réglementation au niveau européen sur la protection des données personnelles des personnes physiques lors de leur traitement et de leur circulation. Il est entré en vigueur le 25 mai 2018 et abroge la Directive 95/46/CE du 24 octobre 1995.

Le RGPD est d’application directe en droit français mais prévoit une cinquantaine de renvois vers la loi nationale, permettant une marge de membres d’adapter certaines de ces dispositions. Dans le même temps, la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénale, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données nécessite d’être transposée en droit français.

 C’est pourquoi la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles est venue modifiée la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés communément appelée « loi Informatique et Liberté ».

 fiche début fiche RGPD.PNG

Contrairement aux idées reçues, le RGPD ne représente pas un chamboulement dans la réglementation actuelle. La France avait déjà établi des principes importants sur la protection des données par le biais de la Loi Informatique et Libertés.
Depuis le 7 octobre 2016, la loi n°2016-1321 pour une République numérique s’applique elle aussi en matière de protection des données.

 

Le RGPD renforce le rôle de la CNIL (Commission Nationale de l’Informatique et des Libertés) en tant qu’autorité de contrôle. Cette autorité indépendante est chargée de surveiller l’application du RGPD pour protéger les droits et libertés fondamentaux des personnes (article 51 du RGPD).

La CNIL a de nombreuses missions (article 57 du RGPD et article 11 de la loi n°78-17), comme :

  • Contrôler l’application du RGPD et veiller à son respect ;
  • Favoriser la sensibilisation du public sur toutes les questions relatives au traitement de données ;
  • Conseiller les institutions et organismes au sujet de mesures législatives et administratives sur la protection des droits et libertés des personnes ;
  • Traiter les réclamations introduites par une personne concernée, un organisme ou toute autre institution ;
  • Tenir des registres internes des violations au RGPD ;

 

  • Quels sont les objectifs du RGPD ?

Le RGPD a notamment trois objectifs principaux :

  • Renforcer les droits des personnes et la protection de leur vie privée (création du droit à la portabilité, renforcement des autres droits) ;
  • Responsabiliser les acteurs intervenant dans le traitement des données (responsable du traitement, sous-traitant) ;
  • Assurer une protection efficace des données par une coopération renforcée et des sanctions pécuniaires plus importantes en cas de non-respect du Règlement.

 

  • Toutes les données sont-elles visées ?

Le RGPD vise les DCP (« données à caractère personnel »). Selon l’article 4 §1 du RGPD, une donnée désigne toute information sur une personne physique, identifiée ou identifiable, directement ou indirectement, en se référant à un numéro d’identification ou à tout autre élément propre à cette personne.
Exemples de DCP : nom, date de naissance, numéro de téléphone, etc.

Le RGPD vise également des données plus spécifiques dites « données sensibles » (article 9 du RGPD etarticle 8 de la loi n°78-17 ) qui nécessitent une attention plus particulière. Ces données ne peuvent en principe faire l’objet d’aucun traitement, or il existe de nombreuses exceptions.

Les données sensibles sont celles qui présentent un risque élevé pour les libertés et droits fondamentaux d’une personne. Parmi celles-ci, on retrouve : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale, données génétiques, données biométriques, données de santé, vie sexuelle ou orientation sexuelle.

 

  • Qui est concerné par le RGPD ?

Selon son article 2 du RGPD , il s’applique aux traitements de données, automatisés ou non (traitement papier), contenues ou appelées à figurer dans un fichier.

Le RGPD s’applique aux traitements effectués par un responsable du traitement ou sous-traitant établi sur le territoire de l’Union européenne (entreprises, associations, groupements d’entreprises, administrations, collectivités territoriales), que le traitement ait lieu ou non dans l’Union.

Pour le service public, le RGPD concerne toutes les entités juridiques du service public (établissements scolaires, hôpitaux, etc.).

  • Quels sont les principes à retenir ?

Le RGPD prévoit notamment plusieurs principes :

  • Principe d’Accountability (article 5 du RGPD - obligation de rendre compte) : le responsable du traitement doit démontrer qu’il respecte les règles du RGPD sur le traitement des données dont il a connaissance. On passe d’un régime de déclaration à un régime de preuve ;
  • Privacy by design (protection de la vie privée d’une personne dès la conception) : une nouvelle technologie traitant de DCP doit garantir leur protection dès sa conception et à chaque utilisation ;
  • Privacy by default (protection de la vie privée par défaut) : toute personne traitant de DCP doit permettre aux personnes concernées d’obtenir la protection de leurs données le plus rapidement possible ;
  • Passage de l’opt-out à l’opt-in: alors que l’on se contentait d’un consentement par défaut, le RGPD exige le consentement explicite de la part de la personne concernée.

Lorsque le responsable du traitement traite de DCP sensibles, il doit prévoir une analyse d’impact sur la vie privée (« Privacy Impact Assessment » (PIA) en anglais) et la mise en œuvre de mesures adaptées afin de garantir la sécurité des données (article 35 du RGPD ).

Si un traitement présente un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement doit également procéder à une analyse d’impact lorsque au moins deux des critères suivants sont réunis :

  • Evaluation: scoring, rendement de travail, profilage ;
  • Prise de décision automatisée avec effet juridique ou similaire significatif ;
  • Surveillance systématique: vidéosurveillance d’un centre commercial, etc. ;
  • Collecte de données sensibles;
  • Croisement de données;
  • Exclusion du bénéfice d’un droit ou d’un contrat;
  • Collecte de données personnelles à large échelle;
  • Données concernant des personnes vulnérables (personnes âgées, enfants, etc.) ;
  • Usage innovant(nouvelle technologie).

Avec le RGPD, les déclarations auprès de la CNIL prennent fin (sauf pour les données sensibles, le numéro d’inscription au répertoire national d'identification des personnes physiques (numéro de sécurité sociale – article 22 de la loi n°78-17 )). Désormais, chaque traitement de données exercé au sein d’un établissement, qu’il concerne les élèves ou les enseignants, doit être inscrit sur un registre, pouvant être tenu à jour par le délégué à la protection des données (DPO). La désignation du DPO est obligatoire pour les administrations.

 

Le RGPD institue notamment de nouveaux droits au profit des personnes physiques, tels que le droit à la limitation du traitement (article 18 du RGPD ) et le droit à la portabilité (article 19 du RGPD ).

Les sous-traitants ont désormais eux aussi une responsabilité propre, et le RGPD permet une meilleure répartition des responsabilités entre plusieurs responsables de traitement (responsabilité conjointe), et entre responsable du traitement et sous-traitant.

  • Qu’est-ce qu’un sous-traitant (ST) ?

Un sous-traitant est une personne, une autorité publique, un service ou un autre organisme, traitant des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable du traitement.

Pour déterminer si vous êtes un sous-traitant, la CNIL a donné quelques indices : niveau d’instruction donné par le client au prestataire, degré de contrôle de l’exécution de la prestation, valeur ajoutée fournie par le prestataire, degré de transparence sur le recours à un prestataire.

 

  • Qu’est-ce que le registre des données ?

Dans le cadre du RGPD, les organismes doivent tenir un registre complet retraçant les traitements des données personnelles ayant été opérés, et ils doivent s’assurer qu’ils respectent les exigences du règlement. Cette une obligation qui découle du principe d’Accountibility posé par le RGPD. Prévu à l’article 30 du RGPD , le registre

Le registre des activités de traitement est tenu par le responsable du traitement voire le représentant du responsable de traitement. Ce registre contient des informations précises (nom et coordonnées du responsable du traitement, finalités du traitement, etc.).

Les sous-traitants tiennent un registre de toutes les catégories d’activités de traitement réalisées pour le compte du responsable du traitement.

 

 fiche RGPD milieu.PNG

 

La loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles prévoit également l’ajout d’un nouvel article L. 121-4-2 dans le Code de l’Education selon lequel : « L’autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d’enseignement scolaire met à la disposition du public le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE comportant la liste de ces traitements. ». Les EPLE sont donc concernés par la tenue du registre et les obligations s’y rapportant.

 

  • Comment établir une cartographie des données ?

La cartographie des données est un processus impliquant le recensement de tous les traitements réalisés ou existants, mais également des traitements envisagés. Il faudra également procéder à une analyse d’impact sur la vie privée pour certains traitements.

Pour élaborer la cartographie, il faut recenser les différents traitements de données, les catégories de données concernées, les objectifs (finalités) poursuivis par les traitements de données ou encore les acteurs traitant de ces données.

Chaque traitement s’organise autour de six questions à se poser :

  • Indiquer celui qui gère le traitement: nom et coordonnées du responsable du traitement, voire ceux du DPO, les responsables des services opérationnels traitant des données, liste des sous-traitants ;
  • Identifier le type de données traitées: catégories de données traitées, données susceptibles de créer des risques (données sensibles, etc.) ;
  • Indiquer l’objectif du traitement de données: rechercher la finalité principale (voire les finalités) pour laquelle les données sont collectées ;
  • Indiquer la localisation des données: déterminer le lieu d’hébergement des données voire les pays dans lesquels elles peuvent être transférées ;
  • Préciser la durée de conservation des données pour chaque catégorie de données ;
  • Déterminer les mesures de sécurité mises en œuvre afin de minimiser les risques d’accès non autorisés aux données et les risques d’impact sur la vie privée des personnes concernées.

Bien que la cartographie et l’inscription au registre soient deux éléments distincts, ce sont deux des étapes nécessaires à la mise en conformité des traitements.

 

  • Que se passe-t-il en cas de violation du RGPD ?

Selon les articles 33 et 34 du RGPD, en principe, s’il y a une violation de données à caractère personnel, le responsable du traitement la notifie à la CNIL dans un délai de 72 heures au plus tard après en avoir pris connaissance. Lorsque la violation peut engendrer un risque élevé pour les droits et libertés de la personne, il en communique la violation à la personne concernée dans les meilleurs délais.

Selon l’article 58 du RGPD , la CNIL dispose de larges pouvoirs afin de protéger les droits et libertés des personnes concernées. Elle peut notamment rappeler à l’ordre un responsable du traitement ou un sous-traitant si les opérations de traitement ont entraîné une violation des règles du Règlement ou encore publier des avertissements infligés à des responsables du traitement.

Au regard de l’article 83 du RGPD – article 45 à 48 de la loi n°78-17, la CNIL peut prononcer des amendes administratives :

texte fin fiche RGPD.PNG

 

D’autres sanctions peuvent être prononcées par la CNIL comme la limitation du traitement de données, l’injonction de se mettre en conformité, le rappel à l’ordre …

 

Enfin, la Cnil peut en formation restreinte décider de rendre publique les mesures prises à l’encontre d’un responsable de traitement

procédure de sanction de la CNIL