Du fait d’une accentuation des échanges sur le marché européen et en vue d’une plus grande intégration des économies des Etats-membres, l’Union Européenne a trouvé pertinent de régir à son niveau la problématique relative à la protection des données personnelle.
Approuvé en 2016 et entré en vigueur le 25 mai 2018 dans toute l’Union européenne, le Règlement Général sur la Protection des Données (RGPD), s’inscrit dans la pérennité de la loi française Informatique et Libertés de 1978 qui a établi des règles sur la collecte et le traitement des données sur le territoire français.
Il faut noter que le RGPD concerne aussi les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données personnelles pour le compte d’une autre entité. Toutes les entreprises gérant les données de citoyens européens doivent donc désormais respecter les règlements du RGPD, sous peine de verser une amende allant jusqu’à 4% de leur chiffre d’affaires annuel.
A quoi correspondent les données à caractère personnel ?
D’après une définition de la CNIL , une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable.
- Identification directe (nom, prénom etc.)
- Identification indirecte (identifiant, numéro etc.)
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles, c’est-à-dire toute opération effectuée sur les données à caractère personnel, de manière automatisée ou manuelle à l’exemple de collecte de l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de ces données.
A titre d’exemple du traitement des données, la CNIL cite les actions ci-dessous :
- Qu’un fichier de ses clients soit tenu ;
- Qu’il soit collectées toutes coordonnées de prospects par le biais d’un questionnaire ;
- Qu’il soit mis à jour un fichier des fournisseurs
Quels sont nos droits sur nos données personnelles ?
- De demander des informations sur le traitement de nos données à caractère personnel ;
- D’obtenir l’accès aux données détenues à notre sujet ;
- De demander que nos données personnelles incorrectes, non exactes ou non incomplètes soient corrigées ;
- De demander que nos données personnelles soient effacées quand elles ne sont plus nécessaires ou lorsque leur traitement n’est pas licite ;
- De nous opposer au traitement de nos données à caractère personnel à des fins de prospection ;
- De récupérer nos données personnelles, dans un format lisible par machine pour un usage personnel ou pour les transférer à un autre organisme ;
- En cas de dommage matériel ou moral lié à la violation du RGPD, nous disposons d’un droit de recours ;
- Déposer une réclamation auprès de la CNIL ou introduire une action collective en faisant notamment appel aux associations nationales agréées de défense de consommateurs
- « La réforme de la protection des données renforce les droits des personnes, responsabilise les acteurs traitant des données et crédibilise la régulation grâce à une coopération renforcée entre les autorités de protection des données »
Les sous-traitants quant à eux sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent obligatoirement prendre en compte la protection des données dès la conception du service ou du produit et par défaut mettre en place des mesures permettant de préserver une protection optimale des données.
Ils ont pour ce faire une obligation de conseiller les clients pour le compte desquels ils traitent et gèrent leurs données.
Sources :
https://www.economie.gouv.fr/entreprises/obligations-donnees-personnelles-rgpd
https://medical-systems.ch/protection-des-donnees.php
https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/protection-des-donnees-personnelles-quels-sont-droits
https://www.cnil.fr/fr/comprendre-le-rgpd
