Infos - Souscription

09 75 18 80 51

Le RGPD entre en vigueur

Illustration avec un ordinateur portable sur les genoux

Le Règlement Général européen sur la Protection des Données (RGPD) est entré en vigueur depuis le 25 mai. Les internautes européens obtiennent de nombreux droits autour de leur données personnelles.

Voté en 2016, le Règlement Général sur la Protection des Données personnelles (RGPD) et ses 99 articles entrent en vigueur pour tous les résidents de l'Union Européenne. Pour les particuliers, ce RGPD vient confirmer et améliorer les lois Informatiques et Libertés de 1978 et suivantes.

Les définitions

Le RGPD définit les données personnelles "toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Le RGPD s'applique "au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union". Il s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier". Il définit l'âge de majorité pour la gestion des données personnelles à 16 ans. En dessous, le traitement nécessite l'accord des parents ou du tuteur.

Dans les traitements, les données à caractère personnel doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré comme incompatible avec les finalités initiales (limitation des finalités) ;
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
  • exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
  • conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Le responsable du traitement se charge du respect du traitement et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Le traitement est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Les droits des utilisateurs

Les utilisateurs de services ayant un traitement des données personnelles profitent toujours des dispositions de la loi Informatiques et Libertés de 1978 avec leurs droits d'accès, de modification et de suppression de leurs données. Le RGPD apporte de nouveaux droits :

  • le droit à la portabilité, permettant de transférer ses données d'un service à un autre, "dans un format structuré, couramment utilisé et lisible par machine" (sauf pour les missions de services publics)
  • le droit à la limitation, permettant de bloquer le transfert des données personnelles vers des traitements illicites ou n'ayant pas la nécessité des données personnelles
  • le droit à l'oubli, permettant de retirer les données personnelles dans les meilleurs délais si le traitement est illicite, le traitement a eu un retrait du consentement ou l'opposition de l'utilisateur
  • le droit à l'information, permettant de connaître les finalités du traitement et doit faciliter le retrait d'un traitement que le consentement

Le RGPD introduit un nouvel acteur dans les entreprises et les associations : le Directeur des Données Personnelles (DPO). Ce dernier doit gérer toutes les données collectées, en tenant un registre des traitements des données personnelles, et les demandes venues des utilisateurs. Il est le responsable des traitements effectués par sa société et les sous-traitants de cette dernière. Les utilisateurs doivent pouvoir accéder aux moyens de contacter le DPO et/ou son équipe, que ce soit par mail, téléphone et/ou courrier.

La transposition française en attente

Les Etats membres de l'Union Européenne avait deux ans pour transposer le RGPD dans leur droit national. L'Assemblée Nationale et le Sénat ont débattu tardivement (durant l'hiver dernier) du RGPD. Mais 60 sénateurs ont demandé au Conseil Constitutionnel de vérifier la loi de transposition : la publication est retardée en attendant l'avis du Conseil qui devrait l'être à la mi-juin. Le texte français prévoit quelques modifications à la marge du RGPD : la majorité sera réduit à 15 ans. Des décrets vont aussi devoir être publiés pour la mise en application de certaines dispositions, avec l'avis de la CNIL à chaque décret.

En attendant la transposition française, le RGPD dans sa forme du Parlement Européen est la version valide.

 
Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :

En remplissant ce formulaire, j'accepte que les données renseignées soient collectées par Selectra, uniquement pour l'envoi de la newsletter. En savoir plus sur le traitement de mes données

×

Où vont mes données ?

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé, sous la supervision de notre responsable de traitement des données, dans le but de vous communiquer les newsletters de votre choix. Elles sont conservées jusqu’à trois ans après votre dernière interaction avec nos services et sont destinées au service marketing.

Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : contact@selectra.info. Nous ne communiquons jamais vos coordonnées à un tiers, sauf autorisation expresse de votre part.