Dans la continuité de l’article « Le RGPD et les lois sur les données personnelles en France », nous allons nous focaliser sur les dispositions précises du RGPD. Le présent article se propose donc de détailler les principaux points du RGPD, essentiels à la compréhension de l’architecture de son dispositif et de son esprit, dans l’optique de leur mise en application opérationnelle en entreprise ; ainsi, toutes les dispositions ne seront pas reprises ici.
L’analyse se fera par ordre chronologique, avec mention des articles, des paragraphes et points concernés (sous forme abrégée), dans un souci de bonne compréhension et de précision des dispositions analysées.
L’article 3 du RGPD pose le champ d’application territorial du RGPD. Il concerne ainsi tout organisme (responsable de traitement ou sous-traitant) établi au sein de l’UE (que le traitement ait lieu ou non au sein de l’UE), mais également à tout organisme hors de l’UE traitant des données personnelles d’individus européens.
Bases juridiques du traitement
Le traitement est licite si consentement (paragraphe 1, point a) de la personne, si contrat (1b) ou intérêt légitime (1f) avec entre autres comme condition un lien de finalités compatible avec celles de la collecte, établi par le responsable du traitement (4a) (article 6)
Devoir d’information
La collecte directe oblige principalement le responsable du traitement à indiquer les finalités (1c), l’intérêt légitime lorsqu’il est la base juridique du traitement (1d) et les droits d’accès, de modification, d’opposition et d’effacement qui peuvent être exercés par la personne concernée (2b) (article 13)
Pour les données non collectées directement auprès de la personne, des informations sont à lui fournir individuellement (identité du responsable du traitement, les finalités du traitement, etc) sauf si cela représente un effort disproportionné (article 14 (5b)) ; ceci n’empêchant pas de devoir informer publiquement les personnes concernées des mesures de protection de leurs droits prises par l’entreprise (via site web, par exemple).
Le responsable de traitement a obligation de notifier à chaque destinataire des rectifications ou des effacements de données requis par un individu (article 19), sauf effort disproportionné.
Droits des personnes concernées
Toute personne dont les données sont traitées possède un droit d’accès (article 15), un droit de rectification (article 16), un droit à l’effacement (sur demande de la personne, l’effacement est obligatoire si finalités marketing, ou pour toutes autres raisons sauf si intérêt légitime et impérieux (1c) du responsable du traitement (article 17)), un droit à la limitation du traitement (article 18).
La personne concernée peut également exercer son droit d’opposition au traitement : sur demande de la personne et absolu si marketing. Pour toutes autres finalités, possible également sauf intérêt légitime et impérieux du responsable du traitement (article 21).
Toute personne physique a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques sur elle ou l’affectant de manière significative de manière similaire (article 22).
Obligations générales
Les données doivent être protégées dès leur conception et par défaut (article 25).
Le responsable de traitement doit tenir un registre des activités du traitement (article 30), dans lequel doivent être indiqués, entre autres, les finalités du traitement, les catégories de destinataires, les durées de conservation des données, etc.
L’article 32 impose que le responsable du traitement et son sous-traitant éventuel mettent en œuvre des mesures de sécurité techniques et opérationnelles appropriées (telles que pseudonymisation, cryptage, confidentialité, tests, code de conduite).
Le règlement pose le principe d’une notification à la CNIL dans les 72h d’une violation des données personnelles (nature, conséquences, mesures prises, trace documentaire), si risque pour les droits et libertés des personnes concernées (article 33). Communication de ces informations aux personnes concernées, si risque élevé pour les droits et libertés de celles-ci (article 34), sauf si celle-ci représenterait un effort disproportionné (3c).
Une analyse d’impact est obligatoire, entre autres si le traitement est à grande échelle ou est automatisé, avec profilage ou non (article 35).
Une consultation préalable de la CNIL par le responsable du traitement est nécessaire si le traitement exige une analyse d’impact car présentant des risques élevés pour les droits des personnes concernées (article 36).
La désignation d’un délégué à la protection des données (DPO) est entre autres obligatoires si traitement de grande échelle avec suivi régulier de personnes physiques (article 37).
Dispositions diverses
L’adoption d’un code de conduite est recommandée (par entreprise ou associations, fédérations) (article 40), de même qu’est encouragée la certification (volontaire) (article 42).
Les transferts extra européens sont encadrés (article 44 à 50).
Les amendes administratives de la CNIL peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’Euros (le montant le plus élevé est retenu, en fonction des infractions sanctionnées) (article 83).
Le règlement laisse la possibilité aux Etats membres d’adopter des mesures nationales spécifiques destinées à concilier droit d’accès du public aux documents officiels et droit à la protection des données personnelles) (article 86).
Le prochain article traitera du règlement européen sur les communications électroniques, nommé ePrivacy, en cours d’élaboration.