"RGPD" : quelle protection pour vos données personnelles ?
Le RGPD renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données à caractère personnel.
Cette fiche de l'Institut national de la consommation décrypte ce qu'est le RGPD et quels droits peuvent exercer les consommateurs.
2 - Quel est le champ d'application territorial du RGPD ?
3 - Qu’est-ce qu’un traitement de données à caractère personnel ?
4 - Quels sont les grands principes du RGPD ?
5 - Quelles sont les informations auxquelles vous devez faire attention ?
6 - Quels sont vos droits sur les données à caractère personnel ?
7 - Quelles sont les obligations en termes de sécurité ?
1 - Qu’est-ce que le RGPD ?
Le RGPD est un règlement européen, assurant une protection des données à caractère personnel des personnes physiques. Il abroge la directive européenne 95/46/CE sur la protection des données à caractère personnel, qui était en vigueur jusqu'au 24 mai 2018.
Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données à caractère personnel. Le législateur européen a considéré que la directive 95/46/CE nécessitait une mise à jour car cette dernière avait été transposée différemment par les pays de l’Union Européenne. Le RGPD marque la volonté d’une harmonisation au niveau européen. Le RGPD vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les entreprises et organismes traitant des données à caractère personnel.
En plus du RGPD, l'Union européenne a adopté la directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après "Directive Police Justice") relative aux traitements de données à caractère personnel en matière pénale. Ces deux textes constituent "le paquet européen" sur la protection des données.
Jusqu’au 24 mai 2018, la protection des données à caractère personnel était encadrée en France par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après loi "Informatique et Libertés") qui avait intégré la directive européenne 95/46/CE.
La loi "Informatique et Libertés" est toujours en vigueur ; elle a été modifiée pour s'adapter aux dispositions du RGPD.
Sur ce sujet, consultez l'article de l'INC "Loi informatique et libertés : adaptation de la loi au Règlement Général sur la Protection des Données (RGPD)" et le tableau synthétique de la loi n° 2018-493 du 20 juin 2018. |
2 - Quel est le champ d'application territorial du RGPD ?
Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu'ils traitent de données à caractère personnel de citoyens européens.
Le critère d’applicabilité n’est plus celui du lieu d’établissement de l'entreprise ou de l'organisme responsable de traitement.
Depuis le 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données à caractère personnel d'utilisateurs européens (ex : Twitter, Facebook, etc.) est tout aussi concernée par le RGPD.
3 - Qu’est-ce qu’un traitement de données à caractère personnel ?
Données à caractère personnel
Ce sont toute information qui se rapporte directement ou indirectement à une personne physique (article 4 du RGPD).
Sont notamment considérées comme des données à caractère personnel, les :
- nom,
- prénom,
- date de naissance,
- numéro de téléphone personnel ou professionnel,
- adresse mail personnelle ou professionnelle,
- adresse postale personnelle ou professionnelle,
- cookies,
- adresse IP (lorsqu’elle est combinée à d’autres informations),
- identifiant numérique,
- numéro de carte de paiement,
- numéro de sécurité sociale,
- plaque d’immatriculation.
Traitement
Il existe un traitement de données à caractère personnel, dès lors qu’une donnée à caractère personnel est manipulée informatiquement ou manuellement par le biais d’opérations telle que la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement (article 4 du RGPD).
4 - Quels sont les grands principes du RGPD ?
Absence de formalités
Jusqu’au 24 mai 2018, la protection des données à caractère personnel reposait sur la mise en œuvre de formalités auprès de la CNIL, notamment par des déclarations ou demandes d’autorisations préalables.
Depuis le 25 mai 2018, le principe est celui de la responsabilisation du responsable de traitements et des sous-traitants. Le système de contrôle a posteriori, basé sur ces formalités, est remplacé par l’appréciation en amont des risques en matière de protection des données et la réflexion sur les mesures concrètes à mettre en œuvre.
Une entreprise qui souhaite lancer une application mobile doit réfléchir, avant sa mise sur le marché, aux données à caractère personnel qu'elle serait susceptible de traiter et documenter les mesures mises en place (durée de conservation des fichiers, mesures de sécurité en cas de faille de sécurité, etc.)
A titre exceptionnel, certains traitements de données à caractère personnel comportant des données sensibles nécessitent l’accomplissement de formalités préalables (ex : données biométriques).
Tenue d’un registre de traitements
Les entreprises et organismes comptabilisant plus de 250 salariés, doivent tenir un registre des traitements de données à caractère personnel, sous une forme écrite (papier ou électronique).
Cette obligation s’applique également à ceux qui comptabilisent moins de 250 salariés, s’ils traitent des données sensibles (ex : données de santé), ou des données comportant un risque pour les droits et libertés des personnes concernées (ex : système de vidéosurveillance), ou des données relatives à des condamnations et infractions pénales (article 30 du RGPD ; article 57 de la loi "Informatique et Libertés").
Le registre des traitements de données à caractère personnel recense les activités comportant un traitement de données à caractère personnel (ex : gestion des clients, etc.)
A noter que les sous-traitants doivent également tenir un registre des traitements pour le compte de l'entreprise ou de l'organisme responsable de traitement.
La CNIL propose sur son site internet un modèle de registre de traitements, destiné à être complété par toute entreprise ou organisme, ayant l’obligation de tenir ce registre.
Principe de responsabilisation ou "d’accountability"
Le système de responsabilisation recouvre principalement deux notions (article 25 du RGPD) :
- la protection des données dès la conception ou "Privacy by design" : Le responsable de traitement anticipe, dès l’étape de définition d’un projet, toutes les contraintes juridiques en matière de protection des données à caractère personnel ;
- la protection des données par défaut ou "Privacy by default" : Le responsable de traitement doit s’assurer de ne collecter que les données strictement nécessaires aux finalités poursuivies par le traitement de données à caractère personnel. On parle de principe de minimisation des données.
Formulaire d’achat sur un site internet de vente de vêtements ; la collecte de données de géolocalisation ne justifie pas la finalité du traitement (achat d’un bien). Le responsable du traitement n'a donc aucune raison de collecter des données de géolocalisation.
Information des personnes physiques
Informations à fournir lors de la collecte des données : Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Ces informations peuvent être fournies sur un site internet par le biais d'une politique de protection des données à caractère personnel et/ou des clauses contractuelles. Les articles 12 et 13 du RGPD précisent en détail la liste des informations que le responsable de traitement doit fournir.
Réponses à la demande d’accès aux droits : Le responsable de traitement a l’obligation de répondre dans un délai de 1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 1 mois si les demandes sont complexes et nombreuses) (article 12 du RGPD).
Le responsable de traitement doit fournir une information concise, transparente, compréhensible et aisément accessible en des termes clairs et simples. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. C’est au responsable de traitement de démontrer qu’il a bien respecté ses obligations.
Désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) (ci-après DPD) :
Le RGPD précise les conditions dans lesquelles le responsable du traitement et le sous-traitant désignent un DPD (article 37 du RGPD ; article 57 de la loi "Informatique et Libertés").
Les entreprises et les organismes, quelle soit leur taille et leur activité, doivent obligatoirement désigner un DPD si :
- le traitement est effectué par une autorité publique ou un organisme public, ou,
- les opérations de traitement, du fait de leur nature, de leur portée, et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (ex : profilage), ou,
- le traitement est basé sur des données sensibles ou des données relatives à des condamnations et infractions pénales effectué à grande échelle.
Le DPD a notamment pour mission d’informer et de conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur leurs obligations en matière de protection des données à caractère personnel. Il veille également au respect des lois relatives à la protection des données à caractère personnel.
Analyse d’impact
Le responsable de traitement effectue obligatoirement une analyse d’impact, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (ex : scoring, profilage, données sensibles) (article 35 du RGPD ; article 62 de la loi "Informatique et Libertés").
5 - Quelles sont les informations auxquelles vous devez faire attention ?
Finalités déterminées
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 5 du RGPD ; article 4 de la loi "Informatique et Libertés").
L’OPH de Rennes Métropole ARCHIPEL HABITAT s’est vu infliger une sanction par la CNIL pour avoir traité des données à caractère personnel pour des finalités autres que celles qui étaient prévues au départ. La CNIL a annoncé le 31 juillet 2018 avoir prononcé une sanction de 30.000 euros à l’encontre de l’organisme pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social. |
Durées de conservation
Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Dans certains cas, la durée est déterminée par la loi.
Un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.
Dans d'autres cas, la durée est définie par le responsable de traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis.
Suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.
Consentement
En principe, la personne doit consentir au traitement de ses données à caractère personnel. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne peut retirer son consentement à tout moment.
Le consentement n'est pas le seul fondement juridique valable. Le RGPD prévoit d'autres fondements juridiques permettant de valider un traitement : exécution d’un contrat, respect d’une obligation légale ou "intérêts légitimes" poursuivis par le responsable de traitement (articles 6 et 7 du RGPD).
La notion "d'intérêt légitime" est une notion floue qui permet de justifier l’absence de recueil de consentement. La jurisprudence viendra bientôt préciser la définition exacte de cette expression.
Le consentement d’un mineur à un traitement de données personnelles en ce qui concerne les offres du numérique (ex : réseaux sociaux) a été fixée à 15 ans par le législateur français. Pour les mineurs de moins de 15 ans, le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur (article 45 de la loi "Informatique et Libertés"). |
Données sensibles
Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit (article 9 du RGPD ; article 6 de la loi "Informatique et Libertés").
Sont considérées comme des données sensibles, les données se rapportant :
- à l’origine raciale ou ethnique,
- aux opinions politiques,
- aux convictions religieuses ou philosophiques,
- à l’appartenance syndicale,
- à la santé et à la vie sexuelle.
Il existe des exceptions à l’interdiction de traitement de données sensibles (ex : droit du travail, motifs d’intérêt public important, intérêts vitaux, etc.)
Cookies
Les cookies sont des traceurs de navigation pouvant analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.
Les cookies sont régis par la directive européenne 2002/58/CE "Vie privée et communications électroniques" du 12 juillet 2002.
La proposition de règlement européen "ePrivacy", en cours de discussion, viendra remplacer la directive 2002/58/CE et renforcer le régime applicable aux cookies.
La CNIL (Commission nationale de l'informatique et des libertés) a apporté des éléments de réponses sur l'encadrement des cookies en rendant plusieurs délibérations sur le sujet.
Pour plus d'informations, consultez l’article de la CNIL "Cookies & traceurs : que dit la loi ?"
La problématique des "cookies walls"
Le "cookie wall" est un procédé employé par certains sites internet pour bloquer l’accès à un site web ou à une application mobile pour l’utilisateur web qui ne donnerait pas son consentement.
Dans certains cas, l’accès est conditionné à une contrepartie financière (ex. abonnement).
La CNIL avait émis le 4 juillet 2019 des lignes directrices sur les cookies et autres traceurs. Dans ces lignes directrices, elle prohibait de façon générale et absolue la pratique des « cookies walls ».
Mais, le Conseil d’Etat dans un arrêt du 19 juin 2020 a par la suite annulé cette disposition sur les « cookies walls » contenue dans la ligne directrice de la CNIL. La haute juridiction disposant que la CNIL ne peut pas interdire, par principe, la pratique des "cookies walls".
Les lignes directrices de la CNIL du 4 juillet 2019 ont été ajustées le 17 septembre 2020 pour prendre en considération la décision rendue le 19 juin 2020 par le Conseil d'Etat.
En attendant une clarification claire du législateur européen, la CNIL effectuera une analyse au cas par cas. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé
Selon la CNIL, le CEPD (Comité européen de la protection des données) a publié une déclaration relative au projet de futur règlement ePrivacy dans laquelle il considère que les utilisateurs devraient toujours se voir proposer des alternatives équitables par le même fournisseur de service et ce, indépendamment du secteur d’activité et du modèle économique de l’éditeur.
Consultez l'article de la CNIL : "Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation" |
Profilage
Le profilage consiste à utiliser des données à caractère personnel afin de prédire le comportement d'une personne tel que ses futurs choix, sa localisation, ses habitudes de consommation, etc. (ex : envoi de publicité ciblée adapatée à un profil).
En principe, le consommateur a le droit de ne pas faire l'objet d'un profilage. Il existe des exceptions à ce principe lorsque le profilage :
- est nécessaire à la conclusion ou à l'exécution d'un contrat,
- est autorisé par le droit,
- est fondé sur le consentement explicite de la personne concernée. (Article 22 du RGPD).
Transfert de données hors Union européenne
Le consommateur doit être vigilant sur la question des transferts de données à caractère personnel hors Union européenne. Lorsqu’un responsable de traitement ou un sous-traitant transfère des données dans un pays étranger, ils doivent garantir un niveau de protection des données suffisant et approprié.
Sur ce sujet, consultez l’article de la CNIL "Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)" pour plus d’informations.
6 - Quels sont vos droits sur les données à caractère personnel ?
Droits |
Articles du RGPD |
Informations à fournir aux personnes dont les données à caractère personnel sont traitées |
Droit à l'information | Articles 13 et 14 du RGPD |
Le responsable de traitement doit vous fournir, au moment de la collecte de vos données à caractère personnel, les informations suivantes :
- l'identité et coordonnées du responsable de traitement ou de son représentant (ex : Entreprise A), - les coordonnées du DPD, le cas échéant (ex : Mme B, DPO de l'entreprise A, dpo@entrepriseA.com), - les finalités et base juridique du traitement (ex : traiter votre commande), - si le traitement est fondé sur les intérêts légitimes du responsable de traitement, la description des intérêts légitimes (ex : faire de la prospection commerciale), - les destinataires ou catégories de destinataires (ex : service commercial de l'entreprise A), - l'existence ou non d'un transfert de données à caractère personnel vers un pays étranger et les garanties de protection mises en place (ex : vos données sont stockées dans un serveur en Chine), - durée de conservation des données (ex : vos données sont conservées 3 ans), - possibilité d'exercer ses droits sur les données à caractère personnel (ex: droit d'accès, droit à l'oubli, etc.), - si le traitement est fondé sur un consentement explicite, information sur le droit de retirer son consentement à tout moment, - droit d'introduire une réclamation auprès de la CNIL, - caractère réglementaire ou contractuel et caractère obligatoire de la collecte des données, - existence d'un profilage, - si traitement ultérieur des données pour une finalité autre que celle pour laquelle les données ont été collectées, information sur les autres finalités. |
Droit d’accès |
Article 15 du RGPD ; article 49 de la loi "Informatique et Libertés" |
Vous avez le droit de demander au responsable de traitement la confirmation que vos données à caractère personnel sont ou ne sont pas traitées. Ainsi que l’accès aux informations concernant vos données (finalités, catégories de données, destinataires, durées de conservation, droit d’introduire une réclamation auprès de la CNIL, existence d’un profilage, garanties prises par le responsable de traitement en cas de transfert des données hors de l’Union européenne).
Le responsable de traitement doit vous fournir une copie lisible de vos données à caractère personnel faisant l'objet d'un traitement. |
Droit de rectification |
Article 16 du RGPD ; article 50 de la loi "Informatique et Libertés" |
Vous avez le droit de demander la rectification de vos données à caractère personnel qui sont inexactes ou incomplètes, et ce dans les meilleurs délais. |
Droit d’opposition |
Article 21 du RGPD ; article 56 de la loi "Informatique et Libertés" |
Vous avez le droit de vous opposer à tout moment au traitement de vos données à caractère personnel, notamment lorsqu’elles sont utilisées à des fins de prospection commerciale. |
Droit à la portabilité |
Article 20 du RGPD ; article 55 de la loi "Informatique et Libertés" |
Vous avez la possibilité de récupérer vos données à caractère personnel, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme. Il s’agit d’un nouveau droit consacré par le RGPD (ex : transfert de vos données à caractère personnel à un réseau social, à une plateforme de musique en ligne, etc.) |
Droit à la limitation du traitement |
Article 18 du RGPD ; article 53 de la loi "Informatique et Libertés" |
Vous pouvez demander la limitation du traitement de vos données lorsque :
|
Droit d’effacement des données (« droit à l’oubli » |
Article 17 du RGPD ; article 51 de la loi "Informatique et Libertés" |
Vous avez le droit d'obtenir l’effacement, dans les meilleurs délais, de vos données à caractère personnel. A noter que le responsable de traitement peut, dans certaines situations, refuser d’accéder à votre demande lorsque le traitement est justifié par :
|
Saisine directe du DPD |
Article 38.4 du RGPD |
Vous pouvez saisir directement le DPD d’une entreprise ou d’un organisme, s'il en a été désigné un, afin d'exercer vos droits : Les coordonnées du DPD se trouvent :
|
Droit d’introduire une réclamation auprès de la CNIL |
Article 77 du RGPD |
Vous pouvez introduire une réclamation auprès de la CNIL si vous considérez que le traitement de vos données à caractère personnel constitue une violation du RGPD.
Le RGPD consacre le mécanisme de "Guichet unique". En cas de transfert de données à caractère personnel hors de l’Union européenne, la CNIL est l’interlocuteur unique pour tous les établissements du responsable de traitements, y compris ceux situés en dehors de l’Union européenne. La CNIL rend, également, une décision unique valable dans toute l’Union européenne. Ce mécanisme facilite les recours des consommateurs qui pourront continuer à adresser leurs plaintes à la CNIL, qui reste l’unique interlocuteur des personnes résidant sur le territoire français. |
Droit d’introduire une action de groupe |
Article 80 du RGPD |
Vous avez la possibilité d'introduire une action de groupe et de mandater un organisme, une organisation ou une association à but non lucratif, dont les associations nationales agréées de défense des consommateurs, pour :
|
Droit d’accès après la mort
La loi n° 2016-1321 du 7 octobre 2016 (loi pour une République Numérique) a consacré le droit d’organiser le sort de ses données à caractère personnel après la mort. Ce droit permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à leur communication de leurs données à caractère personnel après leur décès. Ce droit codifié à l’article 40-1 de la Loi Informatique et Libertés n’a pas été repris par le RGPD mais il est bien applicable en droit français.
7 - Quelles sont les obligations en termes de sécurité ?
Sécurité physique ou informatique des données
Le responsable de traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : fermeture à clef des portes, chiffrement de données personnelles), (article 32 du RGPD).
Notification en cas de faille de sécurité
En cas de faille de sécurité portant atteinte aux libertés individuelles des personnes, le responsable de traitement a l’obligation d'en notifier à la CNIL, dans les meilleurs délais, et si possible 72 heures au plus tard après en avoir pris connaissance.
Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne (ex : usurpation d'identité), le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais (articles 33 et 34 du RGPD).
Samia M'HAMDI,
Juriste à l'Institut national de la consommation