Entré en vigueur le 25 mai 2018 dans toute l’Union européenne, le Règlement général sur la protection des données (RGPD) instaure un nouveau cadre juridique pour la protection des données personnelles. Qu’est-ce que cela change pour vous ?
Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent de données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens
Ce sont toutes les informations se rapportant à une personne physique identifiée ou identifiable.
Par traitement des données, on entend toute opération effectuée sur des données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement des données à caractère personnel.
Vous avez le droit :
► de demander des informations sur le traitement de vos données à caractère personnel ; ► d’obtenir l’accès aux données à caractère personnel détenues à votre sujet ; ► de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées ; ► de demander que les données à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite ; ► de vous opposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière ; ► de demander la limitation du traitement de vos données à caractère personnel dans des cas précis ; ► de récupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme ; ► de demander que les décisions fondées sur untraitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d’exprimer votre avis et de contester lesdites décisions ; ► en cas de dommage matériel ou moral lié à la violation du RGPD, vous disposez d’un droit de recours. Vous pouvez déposer une réclamation auprès de la Commission nationale Informatique et libertés (CNIL) ou introduire une action collective en faisant notamment appel aux associations nationales agréées de défense des consommateurs.
Les entreprises ont l’obligation :
► de respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement, dès la conception de tout projet ; ► de recenser les traitements qu’elles mettent en œuvre dans un registre des traitements ; ► d’être en capacité de prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l’adhésion à des codes de conduite et l’obtention d’une certification ; ► de notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées ; ► de réaliser une étude d’impact sur la vie privée pour les traitements à risque ; ► de désigner un délégué à la protection des données pour les organismes publics et les entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore des organismes qui traitent des données dites « sensibles » ou relatives à des condamnations pénales et infractions ; ► de s’assurer que les personnes sont informées, de manière claire et concise, de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles ; ► de permettre aux personnes dont les données sont traitées d’exercer leurs droits (à l’oubli, à la portabilité des données, de limitation… etc.).
La CNIL, votre interlocuteur privilégié Le RGPD consacre le mécanisme de 'guichet unique'. En cas de transfert de données personnelles hors de l’Union européenne, la Commission nationale Informatique et libertés est l’interlocuteur unique pour tous les établissements du responsable de traitement de données, y compris ceux situés en dehors de l’Union européenne. La CNIL rend des décisions valables dans toute l’UE : ce mécanisme facilite les recours des consommateurs, la CNIL demeurant l’unique interlocuteur des personnes résidant sur le territoire français.