Les obligations en matière de protection des données personnelles
La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone, photo, adresse IP, etc.) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles.
Depuis l’entrée en vigueur du Règlement Général de la Protection des Données1, le 25 mai 2018, de nouvelles obligations sont à la charge des entreprises, administrations, collectivités, associations ou autres organismes permettant d'accorder des droits plus étendus à leurs clients / usagers.
Qu'est-ce qu'une donnée personnelle ?
Il s'agit de toutes informations se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité. Il peut s'agir par exemple d'un nom, d'un prénom, d'une adresse électronique, d'une localisation, d'un numéro de carte d'identité, d'une adresse IP, d'une photo, d'un profil social ou culturel. Les règles s'appliquent lorsqu'elles sont utilisées, conservées ou collectées numériquement ou sur papier.
Qui est concerné ?
Le règlement s'applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale, par exemple). En pratique, le règlement s'applique donc à chaque fois qu'un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d'objets connectés (appareils domotiques, les objets mesurant l'activité physique, etc.).
Obligation générale de sécurité et de confidentialité
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès. Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelle dès la conception du produit ou du service. Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment. L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, par exemple.). Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles. Les obligations déclaratives sont toutes supprimées sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État).
Sanctions
En cas de violation du règlement, la Cnil peut prononcer des amendes administratives qui peuvent atteindre, selon la catégorie du manquement, 2 à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
1 Règlement général sur la protection des données (RGPD) : Le règlement européen n°2016/679 dit règlement général sur la protection des données (RGPD) renforce la protection des personnes concernées par un traitement de leurs données à caractère personnel.
Pour en savoir plus :
www.service-public.fr/professionnels-entreprises/vosdroits/F24270
