Droits des individus en vertu du RGPD : ce qu’il faut savoir
Adopté par le Parlement européen en 2016, le RGPD (règlement général sur la protection des données) a remplacé l’ancienne directive sur la protection des données personnelles de 1995. Il est applicable dans les États membres de l’UE depuis 2018 et a pour principal objectif de mieux protéger les personnes concernant le traitement de leurs informations personnelles et de responsabiliser les entreprises, ainsi que tout autre acteur, public ou privé, effectuant les traitements.
Table des matières
Qu’est-ce que le RGPD pour les entreprises ?
Les entreprises comptent parmi les principaux acteurs visés par le règlement général sur la protection des données. Elles doivent se plier à de nombreuses règles et obligations pour garantir leur conformité au RGPD et éviter les sanctions.
L’obligation de demander le consentement des consommateurs
Une entreprise ne peut recevoir et traiter des données personnelles, sans le consentement de la personne concernée.
D’autre part, elle doit s’assurer que le consentement soit « éclairé » en expliquant entre autres la raison pour laquelle elle a besoin des informations et la manière dont celles-ci vont être traitées.
Pour information, cette obligation s’applique quelle que soit la méthode utilisée pour la collecte des données personnelles :
- Formulaire
- Cookies, etc.
À noter que le RGPD oblige une entreprise à collecter essentiellement les données dont elle a besoin, afin de limiter les risques et d’éviter l’infobésité.
Dans le cadre d’une collecte directe, elle doit fournir :
- Des informations relatives au responsable du traitement des données personnelles, son représentant ou les informations concernant son DPO
- Des informations sur la durée de conservation des données
- Des informations sur la possibilité d’accéder et de rectifier les données personnelles fournies par la personne concernée, etc.
L’obligation de garantir la sécurité des données personnelles
Outre le consentement « éclairé », le RGPD oblige les entreprises à mettre en place des dispositifs et des mesures de sécurité pour protéger efficacement les données personnelles des consommateurs.
Parmi les nombreux dispositifs de protection, nous pouvons citer :
- L’anonymisation
- Le cryptage des données
- Les tests d’intrusion
En cas de vol ou de violation de données, des procédures spécifiques doivent être réalisées. Les entreprises doivent entre autres contacter rapidement la CNIL, ou Commission Nationale de l’Informatique et des Libertés.
À titre d’information, la présence d’un DPO (Data Protection Officer) est obligatoire dans certaines structures professionnelles. Elles peuvent nommer un salarié pour occuper ce poste ou faire appel à un prestataire.
Par ailleurs, les entreprises doivent respecter le principe du Privacy by Design, en garantissant la protection des données personnelles, dès la conception de leur produit ou de leur service.
L’obligation de mettre en place un registre de traitements des données
Quelle que soit sa taille, une entreprise doit mettre en place un registre recensant les traitements des données personnelles et le mettre à jour régulièrement.
Dans le cas d’une entreprise de moins de 250 salariés, le registre doit uniquement comporter les traitements dits « non occasionnels », les traitements à risque et ceux de données sensibles.
Les sanctions en cas de non-conformité au RGPD
En cas de non-conformité au RGPD, une entreprise peut être amenée à payer une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires annuel mondial.
Pour garantir le respect des règles liées à la protection des données, mais aussi se concentrer davantage sur son cœur de métier, une entreprise peut confier les différentes tâches telles que la mise en place de registre de traitements, à des prestataires. Pour ce faire, elle peut, par exemple, opter pour un logiciel RGPD comme Witik.
Quelles sont les droits des personnes concernées ?
Hormis ses nombreuses obligations, une entreprise doit respecter les droits des personnes pour garantir sa conformité au RGPD.
Le droit d’accès aux données personnelles
À tout moment, une entreprise doit permettre à une personne qui lui a fourni des informations personnelles d’accéder à ses données.
Elle doit également fournir d’autres informations telles que :
- Les destinataires des données
- Les sources des données, dans le cas où celles-ci n’ont pas été collectées directement auprès de la personne
- Le droit de faire une réclamation auprès des autorités
- Les catégories d’informations personnelles concernées, etc.
Il faut savoir que lors d’un transfert de données personnelles vers un pays tiers, la personne concernée a le droit de demander des informations relatives sur les garanties de protection.
Le droit de limiter le traitement des données personnelles
Mis à part l’accès aux données, une personne peut s’opposer au traitement de ses informations à caractère personnel, dans le cas où :
- Elle conteste l’exactitude des données collectées par l’entreprise
- Les données à caractère personnel sont utilisées de manière illicite
- Le responsable de traitement n’a pas plus besoin des informations relatives à la personne, etc.
Toutefois, il faut savoir que, malgré son opposition, ses données peuvent être utilisées pour différentes raisons :
- Constatation
- Protection des droits d’une autre personne
- Motifs d’intérêt public
Il est important de noter qu’une personne a également le droit d’empêcher les traitements et les décisions individuelles et automatisées sur ses informations personnelles, parmi lesquelles nous pouvons citer le profilage.
Ce droit était déjà présent dans l’article 15 de la directive européenne 95/46/CE qui a été abrogée en mai 2018.
Les décisions automatisées peuvent cependant avoir lieu dans le cas où :
- Elles sont nécessaires à l’exécution d’un contrat signé entre la personne détentrice des informations et le responsable de leur traitement
- Le responsable du traitement est soumis à l’Union européenne ou un pays membre et l’union ou l’État autorise les décisions automatisées sur les données personnelles
- La personne concernée a donné son consentement explicite concernant les décisions automatisées liées à ses informations personnelles
Le droit de rectifier ou de supprimer les données personnelles
Dans le cas où une personne identifie des erreurs dans ses informations personnelles, elle peut demander au responsable du traitement de les rectifier dans les plus brefs délais.
D’autre part, pour diverses raisons, elle peut demander la suppression de ses données. Ce droit d’effacement, aussi connu sous l’appellation « droit à l’oubli », peut être appliqué si :
- Les informations à caractère personnel ne sont plus utiles à l’entreprise
- Le consentement relatif à la collecte et au traitement est retiré par la personne concernée
- La personne ne souhaite plus que ses données soient conservées, traitées et qu’aucun motif légitime ne s’oppose à l’effacement des données
- Les informations à caractère personnel doivent être supprimées pour garantir le respect d’une obligation légale prévue par un État membre de l’UE ou par l’UE, etc.
Le droit à la portabilité des informations personnelles
Si les personnes ayant fourni des données personnelles à une entreprise peuvent les rectifier, les supprimer, limiter leurs traitements, elles ont aussi le droit de les gérer et les réutiliser.
Elles ont la possibilité de demander au responsable du traitement un fichier réalisé dans un format structuré, comprenant leurs informations à caractère personnel. Une fois les données entre leurs mains, elles peuvent les transmettre à d’autres entreprises librement.
Les limites des droits des personnes concernées
Bien que le RGPD renforce le contrôle des informations personnelles par leurs détenteurs, ceux-ci ne peuvent s’opposer aux traitements et à la conservation de leurs données, si ces opérations sont nécessaires pour :
- Garantir la sécurité nationale
- Garantir la sécurité publique
- Prévenir ou détecter des infractions
- Protéger l’indépendance de la justice
- Protéger les intérêts économiques ou financiers de l’Union européenne ou d’un État membre
- Prévenir ou identifier des manquements aux déontologie de certaines professions, etc.
Indemnités kilométriques : présentation et calculPar Philippe, le 2 juin 2022-
Organisation d’un événement : les différentes étapesPar Philippe, le 29 décembre 2022
-
Vivre de sa passion : est-ce possible ?Par Philippe, le 11 février 2022
-
SMS professionnel : qu’en dit la loi ?Par Manuel, le 15 septembre 2021
-
Inventaires tournant, permanent et annuelPar Julie, le 27 novembre 2019
-
Les tendances e-commerce pour 2023Par Julie, le 24 novembre 2022
-
Entreprendre et comprendre la psychologie du choix pour plus de ventes !Par Julie, le 16 juillet 2019
-
Comment équiper ses salariés en télétravail ?Par Marc, le 21 septembre 2020
