La protection des données à caractère personnel n’est pas une notion récente. Ainsi, chacun a sûrement en tête la loi Informatique et Libertés du 6 janvier 1978 qui, depuis cette date, protège le citoyen dès lors qu’un organisme est amené à collecter, conserver et utiliser certaines informations le concernant (noms, numéros de téléphone, identifiants, etc.)

Si cette loi est toujours en vigueur aujourd’hui, même après avoir subi plusieurs modifications notables, notamment à des fins d’harmonisation européenne (application de la directive 1995/46/CE), il est apparu indispensable de la réviser en profondeur.

En effet, depuis l’entrée dans l’ère du Big Data et la multiplication des cyberattaques à grande échelle, la loi Informatiques et Libertés ne s’avère plus suffisamment protectrice. En se substituant à elle dès le 25 mai 2018, le RGPD, plus adapté au contexte actuel, va s’atteler à gommer ses insuffisances. Ainsi, tout en s’inscrivant dans la continuité de l’ancienne législation, le nouveau règlement européen compte renforcer, mais aussi étendre les droits des citoyens en matière de protection de leurs données personnelles.

Loi Informatique et Libertés / RGDP : ce qui perdure

Le RGPD conserve les bases fondamentales de la loi de 1978 :

  • Consentement obligatoire: avant toute récupération et traitement de données, le responsable de l’opération est obligé d’obtenir l’accord de la personne concernée.

Parallèlement à cette obligation de consentement, chaque individu ciblé est aussi couvert par des droits qu’il peut faire jouer si besoin :

  • Droit d’accès à ses données
  • Droit de rectification
  • Droit d’opposition (si le motif est légitime)

Un futur cadre réglementaire plus exigeant

Si les droits et obligations cités précédemment sont un héritage de l’ancienne loi Informatique et Libertés, le RGPD les a intégrés moyennant quelques durcissements.

Ainsi, avant d’obtenir le consentement d’un intéressé, ce dernier doit être parfaitement informé quant aux « finalités » de la démarche : quel est l’usage qui va être fait de ses données, pendant combien de temps seront-elles conservées, etc. ?

Par ailleurs, l’accord obtenu doit être sans ambiguïté. Il faut qu’il soit « matérialisé », pour pouvoir, si besoin, en apporter la preuve concrète. Aucun accord verbal ne peut être validé.

RGPD : les nouveaux droits pour les personnes

Transparence, confidentialité, sécurité, ou encore responsabilité sont autant de notions  largement mises en avant par le nouveau règlement européen. A ce titre, il accorde des droits supplémentaires aux individus dont on utilise les données personnelles :

  • Droit à une information claire et compréhensible, même pour les mineurs de moins de 16 ans.
  • Droit d’accès de la personne concernée.
  • Droit à l’effacement ou droit à l’oubli.
  • Droit à la limitation du traitement.
  • Droit à la portabilité des données.

RGPD : les nouvelles obligations pour les organismes

De leur côté, les organismes qui traitent les données personnelles n’auront plus à s’acquitter des formalités administratives auprès de la CNIL, comme aujourd’hui. En contrepartie, ils vont devoir se soumettre à de nouvelles obligations visant à les responsabiliser beaucoup plus (notion d’ « accountability »). On peut citer entre autres : 

  • Obligation de sécuriser les traitements
    • anonymisation, chiffrement, pseudonymisation
  • Obligation de prévoir en amont une sécurité adaptée au risque
    • à titre préventif (notion de « Privacy by design» ou « Protection des données dès la conception
  • Obligation de nommer un délégué à la protection des données (DPD ou DPO en anglais)
    • Pour veiller au bon respect du RGPD au sein de chaque organisme.
  • Obligation d’élaborer un registre des traitements.
    • Notion de traçabilité.
  • Obligation d’informer l’autorité de contrôle (CNIL pour le France)
    • en cas de piratages de données.
  • Obligation d’informer les intéressés dont les données ont été piratées.
  • Obligation de faire une étude d’impact
    • en cas de traitement de données sensibles.

A venir : Les grands objectifs du RGPD

Nathalie Dentico

Rédactrice Web Ylneo

%d blogueurs aiment cette page :