Règlement général sur la protection des données (RGPD) publié le 15/11/2018

L’explosion du numérique et l’apparition de nouveaux usages, ont imposé une réactualisation de la législation concernant le traitement et la circulation des données à caractère personnel, législation qui datait de 1995.

Qu’est-ce que le RGPD ?

Le RGPD = une réglementation européenne avec de nouveaux droits et de nouvelles obligations

Le GDPR (General Data Protection Regulation), en anglais, ou RGPD (Règlement général sur la protection des données) est donc un texte de référence qui est entré en vigueur dans l’Union européenne depuis le 25 mai 2018. Ce règlement nᵒ 2016/679 s’applique à l’ensemble des résidents de l’Union européenne (28 pays membres) et permet d’harmoniser les lois, en matière de circulation et de protection des données personnelles.

Le RGDP prône une meilleure maitrise par l’individu de l’utilisation de ses données personnelles. Les droits existants sont renforcés (droit à la formation, droit à l’oubli, consentement pour traiter des données personnelles) et des droits nouveaux sont apparus, comme le droit à la portabilité et le droit des mineurs à s’opposer à l’utilisation de ses données personnelles dans la société de l’information. Les associations peuvent également introduire des recours collectifs.

Le RGPD est un règlement d’application directe : les démarches sont simplifiées, il n’y a plus d’obligation pour tout individu de faire des déclarations à la CNIL(Commission Nationale de l’Informatique et des Libertés), mais tout repose sur la responsabilisation des responsables de traitement, qui doivent s’assurer au préalable, de la conformité de l’usage qu’ils font des données personnelles, au RGPD.

Comment sont protégées les données personnelles en France ?

La France n’a pas attendu 2018 pour protéger ses données personnelles : dès 2016, le vote de la Loi pour la République Numérique a anticipé le règlement en instaurant le droit à l’oubli, le droit au déréférencement et en augmentant les sanctions pécuniaires par la CNIL.

La protection des données personnelles en France est à ce jour encadrée par deux textes :

  • le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen et le Conseil Européen le 27 avril 2016, et publié au Journal Officiel de l’Union Européenne le 4 mai 2017 : texte européen ;
  • la loi n°2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui modifie la loi Informatique et Libertés du 6 janvier 1978, et qui est à la fois complémentaire et compatible avec le Règlement européen RGPD.

Qu’est-ce qu’une donnée personnelle ?

L’article 4 du règlement général sur la protection des données stipule qu’une donnée personnelle (ou donnée à caractère personnel) c’est

toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

 
Une personne est identifiable lorsqu’un fichier comporte :
 

  • un nom, un sexe, un âge, une date de naissance
  • une photographie
  • une adresse IP (Internet Protocol)
  • des traces informatiques (un identifiant de connexion informatique...)
  • un numéro de téléphone, un numéro d’immatriculation, un numéro de sécurité sociale
  • une adresse postale
  • des données socio-économiques (habitudes de consommation)
  • une empreinte digitale, l’ADN (Acide DésoxyriboNucléique)
  • un enregistrement vocal
  • un numéro d’Identification
  • un mail, etc.

Certaines données personnelles sont dites sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :
 

  • une opinion politique
  • une sensibilité religieuse
  • un engagement syndical
  • une appartenance ethnique
  • une orientation sexuelle
  • les données relatives à la santé (maladies, handicaps, antécédents médicaux, traitements médicaux)
  • avec le RGPD s’ajoutent aux données sensibles les données biométriques et génétiques collectées aux fins d’identifier une personne de manière unique.

En principe, les données sensibles ne peuvent être recueillies et exploités qu’avec le consentement explicite des personnes. Il existe cependant des exceptions définie à l’article 9 du RGPD.

 

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des données collectées, en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.