RGPD, Késako ?

Obligations en matière de protection des données personnelles

Vous avez peut être entendu parler du RGPD : le règlement général sur la protection des données ?

Le RGPD c’est le règlement européen du 27 avril 2016 qui pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens.

Cette disposition est applicable depuis le 25 mai 2018 dans tous les pays de l’Union européenne (UE).

Elle concerne les responsables de traitement (entreprises, administrations, associations…) et leurs sous-traitants (hébergeurs, agences de communication, etc.) établis dans l’UE et quel que soit le lieu de traitement des données. Elle s’étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler (profilage notamment pour prédire leurs préférences ou comportements, etc.). L’enjeu est de rehausser les standards de protection au-delà des frontières européennes.

Le RGPD reprend les grands principes déjà inscrits dans le droit européen et dans la loi “Informatique et libertés” du 6 janvier 1978, dite loi CNIL.

Cette loi établie que les données personnelles doivent être conservées de façon réduite dans le temps et dans des conditions de “sécurité appropriée”.

De plus, les personnes disposent du droit d’accéder à leurs données et peuvent demander à les rectifier. Nous pouvons tous prétendre au droit à l’oubli, c’est-à-dire à l’effacement de nos données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms).

Le RGPD renforce les droits des personnes

Il élargit les informations qui doivent être fournies par les responsables de traitement et leur impose de mettre à disposition des personnes concernées une information claire, simple et facilement accessible. Les personnes doivent, sauf exceptions, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon “éclairée et univoque”.

Enfin, le consentement des enfants est pour la première fois encadré. Le RGDP fixe à 16 ans l’âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles pour utiliser un service sur internet, typiquement les réseaux sociaux. On parle de majorité numérique. En deçà de 16 ans, l’autorisation des parents est nécessaire. Les États membres peuvent toutefois abaisser ce seuil jusqu’à 13 ans et la France l’a fixé à 15 ans.