rgpd-1

Qu’est-ce que le RGPD ?

Le RGPD Kézako?

Aujourd’hui, vendredi 25 Mai 2018, le RGPD (Règlement Général sur la Protection des Données; GDPR en anglais) rentre en vigueur au sein de l’Union Européenne.

Petit rappel des grands principes de cette nouvelle réglementation.

Le 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD ») entrera en vigueur.
Ce règlement vise à assurer une meilleure protection des libertés en contrôlant le traitement des données personnelles des personnes physiques. Par conséquent, les responsables de traitement de données personnelles ainsi que leurs éventuels sous-traitants seront assujettis à de nombreuses obligations.

Champ d’application du RGPD

  • Le RGPD a vocation à encadrer l’activité de traitement de données personnelles, que cette activité soit exercée directement par le responsable du traitement ou par un de ses sous-traitants
  • Le « traitement de données à caractère personnel ». Pour cerner précisément le champ d’application du RGPD, il convient de définir les notions de « données à caractère personnel ainsi que la notion de « traitement » ».
  • L’article 4.1) du RGPD définit les « données à caractère personnel » comme :
    « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
  • L’avis 4/2007 du groupe de travail « ARTICLE 29 » sur la protection des données vient préciser la notion de personne « identifiable » :
    « La personne physique est donc « identifiable » lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme l’exprime le suffixe «-able»). […] L’identification se fait normalement au moyen d’informations spécifiques que l’on peut appeler « identifiants » et qui présentent une relation particulièrement privilégiée et étroite avec la personne physique concernée. Il peut s’agir, par exemple, de signes extérieurs concernant l’apparence de cette personne comme sa taille, la couleur de ses cheveux, ses vêtements, etc. ou d’une caractéristique de cette personne qui n’est pas immédiatement perceptible, comme une profession, une fonction, un nom, etc. »

Exemples de données personnelles fournis par la Commission européenne :

  • Un prénom et un nom ;
  • Une adresse personnelle ;
  • Une adresse e-mail telle que « prénom.nom@entreprise.com » ;
  • Un numéro de carte d’identité ;
  • Des données de localisation (par exemple : la fonction de localisation d’un téléphone portable)
  • Une adresse de protocole internet (IP) ;
  • Un cookie ;
  • L’identifiant publicitaire de votre téléphone ;
  • Des données détenues par un hôpital ou un médecin, qui permettraient d’identifier de manière unique une personne.

Exemples de données non considérées comme des données personnelles :

  • Le numéro d’enregistrement d’une société ;
  • Une adresse e-mail telle que « info@société.com » ;
  • Des données anonymisées

RGPD : la notion de « traitement »

L’article 4.2) du RGPD définit la notion de « traitement » comme :
« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Le RGPD s’applique au traitement automatisé en tout ou en partie, et au traitement non automatisé, des données à caractère personnel, si elles figurent dans un fichier structuré.
La notion de « traitement » couvre donc un champ extrêmement large et la moindre opération, dès lors qu’elle concerne des données personnelles, est susceptible d’être qualifiée de « traitement » au sens du RGPD.

Les acteurs du traitement de données à caractère personnel

Deux types de personnes sont susceptibles de traiter des données personnelles au sens du RGPD : le responsable du traitement et ses sous-traitants éventuels.

L’article 4.7) du RGPD définit le « responsable du traitement » comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Exemples de « traitement » fournis par la Commission européenne :

  • Gestion du personnel et administration des salaires ;
  • Accès à/consultation d’une base de données de contacts contenant des données à caractère personnel ;
  • Envoi d’e-mails promotionnels ;
  • Déchiquetage de documents contenant des données à caractère personnel ;
  • Publication/affichage d’une photo d’une personne sur un site internet ;
  • Conservation d’adresses IP ou d’adresses MAC ;
  • Enregistrement de vidéosurveillance.

Pour toute question n’hésitez pas à nous contacter à l’adresse suivante : contact@enjin.fr

Leave a Reply