Nouvelle réglementation de protection des données personnelles : le 25 mai 2018
Depuis quelques temps, sur les ordinateurs et autres, des écrans s’affichent de la part de Google, Facebook pour la mise aux normes de vos données possédées par eux. Cela provient de l’obligation de se mettre en conformité avec la nouvelle législation européenne.
La législation européenne se dote du Règlement Général sur la Protection des Données remplaçant le texte de 1995. En France la législation dans ce domaine date de 1978.
Le RGDP introduit des règles plus sévères, une responsabilité accrue des gestionnaires de données (GD) (employeurs, e-commerce, réseaux sociaux, organismes divers publics ou privés, etc.), et des sanctions plus lourdes en cas de non-respect.
Le principe de base est simple : assurer la protection des citoyens et la transparence sur ce qui est fait avec leurs données personnelles.
Les GD doivent informer et obtenir le consentement des personnes lorsqu’elles récoltent des données les concernant, les informer via une ‘Charte vie privée’ qui explique, dans un langage clair et compréhensible, quels types de données sont récoltées, à quelles fins, combien de temps elles seront conservées et à qui elles seront éventuellement transmises.
Ceci implique le maintien du consentement préalable du citoyen en ajoutant la notion de consentement éclairé et univoque.
Les GD devront conserver la preuve de ce consentement car, en cas de plainte, ils devront prouver à l’autorité de contrôle qu’ils les ont obtenus. Ils auront obligation aussi de tenir un registre mentionnant le type de données, les finalités de ce traitement, les personnes concernées, la durée de conservation, les mesures de sécurité mises en place, etc.
Une obligation de sécurisation des données est imposée avec là aussi nécessité de preuves des mesures suffisantes prises.
Deux nouveaux droits et obligations sont ajoutés :
Droit à l’oubli : suppression des données sur demande des personnes qu’elles concernent, même si consentement préalable.
Portabilité des données : obligation de transmettre, gratuitement dans les 30 jours qui suivent la demande d’un citoyen, toutes les données personnelles fournies par lui « dans un format structuré, couramment utilisé et lisible par une machine », pour qu’elles soient réutilisables automatiquement par un autre service.
En outre le RGDP introduit pour les organismes visés deux nouveaux concepts : la protection des données dès la conception (privacy by design) et la protection des données par défaut (privacy by default). Obligation de respect de la vie privée et de la protection des données dès la conception d’un nouveau produit ou service.
La question qui se pose est « qu’est-ce qu’une donnée personnelle visée dans le RGDP ? »
Toute information qui permet d’identifier directement ou indirectement une personne physique : nom, prénom, adresse, numéro de téléphone, numéro de compte en banque ou de carte de crédit, numéro de Registre national, adresse IP, plaque d’immatriculation, dossier médical, login et mot de passe, etc.
Ça va loin : fichier abonnés bibliothèque communale ou centre culturel, inscrits en crèches ou activités extra-scolaires, dossiers de patients d’une maison médicale, données de Ressources Humaines, liste de vos correspondants newsletter électronique ou papier, coordonnées de candidats à un logement social, etc.
Le RGDP sera d’application le 25 mai 2018 de manière identique dans tous les pays membres de l’Union européenne sans exception, sans transposition dans le droit national.
Gilles DESNOIX
