Paris 16ème
06 79 58 19 92
contact@legalbrain-avocats.fr

RGPD et données personnelles : de quoi parle-t-on ?

Numérique et juridique

RGPD et données personnelles : de quoi parle-t-on ?

RGPD et données personnelles

Avec les cyberattaques, les failles de sécurité, la lutte contre le terrorisme, le développement de l’IA ou de la reconnaissance facilale… la question de la protection des données personnelles des internautes qui sont renseignées et partagées sur Internet se retrouve de plus en plus souvent au coeur de l’actualité. Face aux nouveaux défis de l’ère numérique qui menacent de plus en plus d’exposer nos données et notre vie privée, Legal Brain Avocats répond aux questions RGPD les plus posées.

Qu’est ce qu’une donnée personnelle ? 

Une donnée personnelle  est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiable par le biais d’un nom, d’un identifiant en ligne ou autres éléments spécifiques.  Les données peuvent être créées, traitées et transférées dans le monde instantanément.      

Questions RGPD – Qu’est-une donnée sensible ?

Une donnée sensible est une donnée à caractère personnel qui révèle toute information concernant la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ainsi que ses données de santé. Ces données font l’objet d’une grande protection et il est interdit de de les recueillir ou de les utiliser sauf dans certains cas : consentement exprès de la personne concernée, dans un but médical, utilisation justifiée pour l’intérêt public et autorisée par la CNIL ou si cela concerne les membres ou adhérents d’une association. 

Questions RGPD – Qu’est-ce que le RGPD ? 

LUnion européenne (UE) a mis en place un régime juridique global relatif aux données à caractère personnel : le règlement général sur la protection des données (RGPD).  Il permet alors de réglementer l’utilisation des données personnelles des individus par les organisations établies dans l’UE (et les personnes extérieures qui fournissent des biens et des services aux résidents de l’UE). En pratique, un bon nombre d’entreprises utilisent et traitent des données personnelles sans forcément le remarquer.

Questions RGPD – Quel est l’objectif du RGPD ? Pourquoi cette législation en Europe ? 

S’inscrivant dans la continuité de la Loi française informatique et Libertés de 1978,  ce nouveau règlement européen permet de renforcer le contrôle par les citoyens de l’utilisation de leurs données personnelles qui peuvent être faites par des entreprises et/ou organisations. Il a également pour objectif d’assurer une certaine uniformité des règles à travers l’UE, adaptées à l’ère du numérique. Par ce règlement, il y a une réelle volonté d’améliorer la sécurité juridique et de renforcer la confiance des citoyens et des entreprises.  

Questions RGPD – Qui doit se mettre en conformité avec le RGPD ?

La conformité au RGPD concerne tous les organismes, qu’ils soient publics ou privés. A partir du moment où ces entités sont amenées à traiter des données personnelles, ils ont l’obligation de se mettre en conformité avec le règlement européen. Les entreprises, les administrations, mais aussi les associations ou les collectivités sont alors concernées.

Questions RGPD – Comment les entreprises doivent-elles se mettre en conformité avec la RGPD ? 

La mise en conformité au RGPD par les organismes, nécessite que ces derniers doivent suivre plusieurs étapes qui ont pour but d’assurer un niveau de protection suffisant et adéquat compte tenu des risques présents. Afin d’assurer une protection optimale des données à chaque instant, les organismes doivent :

  • Désigner un pilote au sein de l’organisme : les entreprises comptant plus de 250 personnes ont l’obligation de désigner un délégué à la protection des données (DPD) ou en anglais « Data Protection Officer », qui sera en charge de la mise en conformité au RGPD sur la protection des données. 
  • Cartographier les traitements de données personnelles : il faut recenser de manière précise l’ensemble des données personnelles traitées par votre organisme, afin de permettre une meilleure accessibilité et une meilleure compréhension de la part des collaborateurs. 
  • Prioriser les actions de mise en conformité à mener : cette étape importante impose aux organismes d’identifier, sur la base de leur registre de traitement, les actions à mener pour se conformer au RGPD.
  • Gérer les risques : les organismes doivent réaliser une analyse d’impact sur la protection des données (AIPD) pour chacun des traitements de données susceptibles de comporter des risques. 
  • Organiser le processus interne : afin d’assurer une protection maximale des données personnelles, les organismes doivent mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment, tout en prenant en compte l’ensemble des événements qui pourraient survenir. 
  • Documenter : les organismes doivent constituer et regrouper la documentation nécessaire afin de prouver leur conformité au RGPD.

Par ce projet de mise en conformité, les organismes n’auront donc aucun souci à pouvoir démontrer que toutes les mesures nécessaires ont été mises en œuvre contre les risques notamment en cas de contrôle ou incidents de sécurité.  

Questions RGPD – Quelle autorité est chargée de contrôler la conformité des organismes au RGPD en France?

En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargée de contrôler la conformité au  RGPD. 

Questions RGPD – Quels sont les six principes de protection des données  ?       

Le Règlement européen s’accentue autour de six principes de protection des données que les entreprises doivent impérativement suivre afin de collecter, traiter et conserver les données personnelles des citoyens. 

  • Les données doivent être traitées légalement, de manière équitable et transparente par rapport à la personne concernée.
  • Limitation de finalité : les données ne doivent être collectées qu’à des fins spécifiées, explicites et légitimes et ne doivent pas être utilisées de manière incompatible avec ces finalités. 
  • Minimisation des données : les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire aux objectifs pour lesquels elles ont été collectées.
  • Exactitude : Les données doivent être exactes et à jour et le responsable du traitement ou le sous-traitant doit prendre « toutes les mesures raisonnables » pour corriger ou effacer rapidement les données inexactes.
  • Stockage : les données ne doivent être conservées qu’aussi longtemps que nécessaire pour l’usage initial. 
  • L’obligation de sécurité des données : le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour se protéger contre les traitements non autorisés ou illicites et les pertes, dommages accidentels aux données personnelles.       

Le responsable du traitement doit respecter ces principes, pour ensuite pouvoir démontrer avoir mis en place des pratiques de mise en conformité au sein de son entreprise.

Questions RGPD – Quelles sont les conséquences pratiques du RGPD ?

Le RGPD vise dans un premier temps à renforcer l’idée d’une “responsabilisation” des entreprises qui possèdent ou traitent les données personnelles des citoyens européens, mais permet de l’autre, d’accorder aux individus un contrôle de leurs données. 

Ces derniers, par les droits qui leurs sont accordés, doivent pouvoir demander d’accéder, de changer, de supprimer les informations personnelles que peuvent détenir les entreprises à leur égard. 

Questions RGPD – Quels sont les droits des personnes dont les données sont traitées  ? 

Au cœur du régime du RGPD, se trouvent les droits accordés aux personnes concernées ; c’est-à-dire les individus, d’obtenir un certain contrôle sur la façon dont leurs données sont utilisées. Toute organisation doit être consciente de la capacité des personnes concernées à exercer ces droits.                          

Il existe trois droits clé à l’égard des individus  :               

  • Demandes d’accès aux données : il s’agit du droit d’une personne de connaître les « données personnelles » qu’un responsable du traitement détient à son sujet. Toutes les informations ne doivent pas être fournies par un responsable du traitement ; la loi prévoit un certain nombre d’exceptions telles que des références confidentielles et des informations légalement privilégiées.            
  • Droit à l’oubli ou à l’effacement  : ceci est particulièrement pertinent pour les informations qui peuvent être affichées publiquement via les résultats de recherche. 

Une personne concernée peut :  

  • Etre en mesure d’exiger du moteur de recherche qu’il supprime ces résultats dans certains cas, mais pas tous (c’est un droit qualifié). 
  • S’opposer à tout moment, à l’utilisation de ses données à des fins de marketing direct et, dans ce cas, le responsable du traitement doit cesser de traiter ces données. 
  • Droit à la portabilité des données : le droit de « transférer » vos données à un autre fournisseur; par exemple, transférer vos données de performance sur un appareil portable. Encore une fois, il s’agit d’un droit qualifié qui ne s’applique que lorsque le consentement ou l’exécution d’un contrat constituent la base légale du traitement.         

Questions RGPD – Comment assurer la sécurité des  données personnelles ?                  

Afin d’assurer la sécurité des informations personnelles, les responsables du traitement prennent des mesures organisationnelles appropriées pour se protéger contre le traitement non autorisé ou illégal et la perte accidentelle de données à caractère personnel.   

Pour ce faire, la CNIL recommande d’adopter certaines précautions telles que : protéger le réseau informatique interne, sécuriser les serveurs et les sites web, archiver de manière sécurisée , gérer les habilitations et bien plus encore, le but principal étant de permettre une véritable protection des données personnelles collectées et d’éviter leur divulgation à des tiers non autorisés.                                     

Questions RGPD – Quelles sont les sanctions encourues en cas de violation du RGPD ? 

La formation restreinte de la CNIL peut être amenée à prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas les dispositions du RGPD ou de la loi. 

En cas de violation des règles imposées par le RGPD, deux types de sanctions peuvent être envisageables : des sanctions administratives, mais aussi des sanctions pénales.

L’article 83 du RGPD est centré autour de la promotion des sanctions administratives prévoyant des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. 

La CNIL a même été amenée à prononcer à une sanction de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Des sanctions pénales nationales peuvent être adoptées par les États membres en plus des amendes administratives.

Si cet article vous a été utile, nous espérons que vous le partagerez ou que vous l’intégrerez à une de vos publications en nous citant grâce à un hyperlien. 

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuellele droit des relations numériques de travailla blockchainle droit pénal du numériquele droit de l’e-sport, protection des données personnelles et bien d’autres.

Nos services :

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr

 

One Response

  1. meridjen dit :

    article tres clair. Merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.