Le Règlement Général sur la Protection des Données (RGPD), adopté par le Parlement Européen, est directement applicable en France depuis le 25 mai 2018. Il s’inscrit dans la continuité de la loi Française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles.
Le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles dès lors qu’elle est établie sur le territoire de l’Union Européenne ou que son activité cible directement des résidents Européens.
Une donnée personnelle est une information relative à une personne physique identifiée ou qui peut être identifiée :
Les données sensibles sont :
Le Règlement européen interdit de recueillir ou d’utiliser ces données sensibles, sauf dans certains cas :
Un traitement de données personnelles est une ou plusieurs opérations portant sur ces données (collecte, enregistrement, consultation, utilisation, modification, suppression, adaptation, extraction, conservation, communication, organisation)
Un traitement de données à caractère personnel doit avoir un objectif, une finalité légale et légitime au regard de l’activité professionnelle. La collecte des données doit être limitée aux besoins de cette finalité.
Un traitement n’est pas nécessairement informatisé ; les données « papier » sont également concernées.
Le responsable d’un traitement de données personnelles est en principe le représentant légal de l’autorité publique, la société ou l’organisme qui détermine les finalités et les moyens du traitement, qui décide de sa création.
L’obligation d’information existe déjà dans la loi Informatique et Libertés. Elle est renforcée par le RGPD : l’information doit être plus complète et plus précise, compréhensible et aisément accessible.
Cette information doit permettre aux personnes concernées :
Pour le responsable de traitement, elle contribue à un traitement loyal des données et permet d’instaurer une relation de confiance avec les personnes concernées.
Droit d’accès : la personne a un droit d’accès à ses données personnelles et peut demander à ce qu’elles lui soient communiquées.
Droit de rectification : la personne peut demander la modification de ses données si elles sont inexactes ou incomplètes.
Droit d’opposition : la personne peut demander à s’opposer au traitement de ses données personnelles.
Droit de suppression : la personne peut demander l’effacement de données personnelles la concernant.
Droit à la limitation : si certaines de ses données sont inexactes ou incomplètes, la personne peut demander temporairement le gel de leur utilisation, jusqu’à rectification et complétude.
Droit à la portabilité : la personne a le droit de demander à recevoir ses données personnelles dans un format structuré, couramment utilisé, lisible par machine, afin de pouvoir les transmettre à un autre responsable de traitement.
Cependant, et dans le respect des articles du RGPD, le responsable du traitement peut justifier que ses intérêts légitimes et impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.