Le règlement général sur la protection des données (RGPD)

Vidéos introductives

QWANT - spot pub TV : https://video.link/w/oOS5d

Source : https://video.link/w/BOS5d

Principes généraux

Le RGPD est applicable depuis le 25 mai 2018 dans tous les pays de l'Union Européenne pour tous les traitements de données à caractère personnel. Il concerne toutes les organisations (entreprises, associations et organisations publiques).

https://www.quiziniere.com/#/Exercice/ZW54RW

Objectifs du RGPD

  • Pour les citoyens  : donner davantage de contrôles et de visibilité sur les données personnelles notamment pour savoir quelles sont les données collectées à quelles fins et leur durée de conservation.

  • Pour les organisations : sur demande d'un citoyen, savoir de quelles données elle dispose sur lui et où elles sont stockées mais également connaître l'objectif de la collecte de données et la durée de conservation des données.

Définition

Une donnée à caractère personnel représente toute information qui permet d'identifier directement ou indirectement une personne : nom, adresse, numéro de téléphone, adresse électronique mais aussi les contenus qu'elle poste sur internet, sa voix , son image et les métadonnées de l'activité numérique (adresse IP, donnée de localisation, durée d'un message téléphonique...).

L'identification d'une personne physique peut être réalisée :

  • à partir d'une seule donnée ;

  • à partir du croisement d'un ensemble de données.

Les données sensibles sont les informations qui révèlent l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale mais également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Il est interdit de recueillir et d'utiliser ces données. Sauf dans certains cas précis :

  • Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;

  • Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;

  • Si leur utilisation est justifié par l'intérêt public et autorisé par la Commission Nationale de l'Informatique et des Libertés (CNIL) ;

  • Si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

Un traitement correspond à toute opération effectuée sur des données à caractère personnel : collecte, enregistrement, consultation, diffusion, extraction...

Les principales obligations applicables aux traitements des données

Texte légal

Plusieurs obligations sont applicables aux traitements des données :

  • Se fonder sur l'une des « bases légales » : le traitement de données doit reposer sur une des 6 bases légales :

    • le consentement : la personne a consenti au traitement de ses données ;

    • le contrat : le traitement est nécessaire à l'exécution ou à la préparation d'un contrat avec la personne concernée ;

    • l'obligation légale : le traitement est imposé par des textes légaux ;

    • la mission d'intérêt public : le traitement est nécessaire à l'exécution d'une mission d'intérêt public ;

    • l'intérêt légitime : le traitement est nécessaire à la poursuite d'intérêts légitimes de l'organisme qui traite les données ou d'un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

    • la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d'un tiers.

  • Constitution et maintien d'un registre : cela s'applique à tous les organismes qui traitent des données personnelles de façon régulière dans le cadre de leurs activités pour identifier notamment les parties prenantes, la finalité du traitement, la durée de conservation des données...

  • Responsabilisation (accountability) : l'organisation doit prendre toutes les mesures pour garantir la conformité au RGPD. Elle doit être capable de démontrer qu'elle a bien rempli ses obligations en termes de protection des données.

  • Minimisation des données : seules peuvent être collectées les données adéquates et pertinentes au regard de ce qui est nécessaire à la finalité du traitement.

  • Sécurité par défaut (Security by default) : l'organisation doit sécuriser son système d'information en proposant par exemple, un système de prévention contre les failles de sécurité.

  • Protection des données personnelles dès la conception (privacy by design) : la protection des données personnelles doit être prise en compte par une organisation dès la conception d'un produit ou d'un service.

  • Violation de données personnelles : les organisations doivent informer la personne concernée de toute violation de ses données à caractère personnel lors d'une attaque informatique, la perte ou le vol d'un support contenant les données personnelles ou encore la publication accidentelle des données.

  • Réalisation d'études d'impact : l'organisation doit réaliser une étude d'impact sur la protection des données personnelles avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d'atteintes aux droits et aux libertés individuelles.

Attention

En cas de non-respect du RGPD, les sanctions peuvent aller jusqu'à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros. Des dommages et intérêts pourront être versés pour non-respect du RGPD.

Exemple

En août 2022, la CNIL a prononcé une sanction de 600 000 euros à l’encontre de la société ACCOR (Ibis, Novotel, Mercure Sofitel...).

La CNIL a retenu à l’encontre de la société ACCOR un manquement à la législation française et quatre manquements au RGPD :

  • Un manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).

  • Un manquement à l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.

  • Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.

  • Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.

  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.

Source : CNIL - https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-daccor

Cookies et RGPD

Définition

Un cookie est un petit fichier texte transmis par un site web et déposé sur un terminal (ordinateur, tablette, smartphone...). Le navigateur web le conservera alors pendant une certaine durée, et renverra au serveur web les informations enregistrées chaque fois que le navigateur se connectera au site en question.

Texte légal

Les articles 82 de la loi « Informatique et Libertés » et 4 du RGPD imposent aux sites Web, d'obtenir le consentement des utilisateurs du site de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

Le délégué à la protection des données (DPO, Data Protection Officer)

La désignation d'un DPO est obligatoire dans trois cas seulement:

  • Les autorités et organismes publics (Ministères, collectivités territoriales, établissements publics...) ;

  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d'assurance, banques, les opérateurs téléphoniques ou les fournisseurs d'accès internet...) ;

  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (cliniques, laboratoires d'analyse...).

Pour les autres organisations, la désignation d'un DPO est encouragée.

Le rôle du DPO est principalement :

  • d'informer et de conseiller les dirigeants et les salariés de l'organisation sur la protection des données traitées;

  • de contrôler le respect du RGPD dans l'organisation ;

  • de coopérer avec la CNIL ;

  • d'être l'interlocuteur avec les acteurs extérieurs.

Source : CNIL - https://www.cnil.fr/sites/default/files/atoms/files/infographie_-_qui_sont_les_dpo.pdf

La Commission Nationale de l'Informatique et des Libertés (CNIL)

Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante qui a pour objectifs de protéger les données personnelles et de faire appliquer le RGPD.

Voir la vidéo de présentation : https://video.link/w/yPS5d