Cinq ans après l’entrée en application du RGPD, nous pouvons toujours lire de nombreuses idées fausses à propos du RGPD. Voici un petit florilège avec les références pour comprendre pourquoi il s’agit d’une idée fausse, pour remettre les pendules à l’heure.
« Le RGPD est une loi sur la vie privée »
Le Règlement Général sur la Protection des Données est le nom raccourci donné au très formel « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ». Il est important de bien lire le nom du texte car celui-ci résume déjà bien son contenu. A cet égard, il est intéressant de noter que la « libre circulation des données [personnelles] » est un des objectifs du texte. Bien sûr la protection des personnes physique l’est aussi. En revanche, nous voyons aucune mention de la vie privée.
La vie privée est tout de même mentionnée dans le RGPD. Plus précisément, cela est mentionné dans le considérant 4, une partie avant le texte de loi qui pose des interprétations générales sur le texte de loi :
Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
Il est intéressant de noter que le respect à la vie privée est mis en avant dans ce considérant, mais en même temps noyé dans un certain nombre d’autres droits. Ainsi, il serait faux de dire que le RGPD est une loi sur la vie privée, ou qui permet le respect de la vie privée, au vu des très nombreux droits énumérés dans le texte. C’est aussi pour cela que de nombreuses personnes vont mettre davantage en avant la protection des données ou la confidentialité des données, des notions plus précises et moins subjectives à l’inverse du respect de la vie privée dont la définition peut varier en fonction des personnes et des situations.
« Le RGPD oblige à demander le consentement »
Le RGPD pose un cadre pour permettre le traitement de données personnelles. C’est une régulation qui tente d’influencer de nombreuses facettes des traitements de données informatisés. Certains dispositions interdisent certaines pratiques mais celles-ci sont rares. Bien souvent, il est demandé aux acteurs de procéder à des formalités pour permettre de traiter des données personnelles et ainsi limiter les risques liés à ces traitements.
L’article 6 oblige les personnes qui traitent des données (qu’on nomme « responsable de traitement ») a choisir parmi six moyens pour traiter des données. Le consentement est l’un des six moyens, mais cinq autres moyens sont possibles. L’intérêt légitime, lorsque le responsable de traitement considère qu’il possède cet intérêt et qu’il ne prévaut pas sur les intérêts ou les libertés et droits fondamentaux de la personne concernée ; le contrat, lorsqu’un contrat est conclu avec la personne concernée ; l’obligation légale, lorsqu’une loi oblige le responsable de traitement à faire le traitement ; la mission d’intérêt publique, surtout pour les autorités publiques ; et la sauvegarde des intérêts vitaux de personnes.
Ces moyens sont également appelés « bases légales » ou « bases juridiques » et sont prévus par l’article 6 du RGPD. En savoir plus sur le site de la CNIL…
« J’ai fait une déclaration à la CNIL, donc je suis conforme au RGPD »
Déclarer son fichier à la CNIL était une formalité prévue par la loi informatique et libertés. Cette formalité a été supprimée de la loi informatique et libertés lorsque le RGPD est arrivé (en 2018). Nous sommes passé d’un régime déclaratif à un régime dit « de responsabilité ».
Depuis 2018, il est donc impossible de déclarer un fichier à la CNIL. Toute personne qui indique que son fichier est déclaré à la CNIL, en conséquence, porte à la connaissance du public n’avoir réalisé aucune formalité juridique sur ses traitements de données personnelles depuis 2018 alors que le RGPD en impose (comme choisir une base légale tel que vu au précédent point). En savoir plus sur le site de la CNIL…
« Le RGPD ne s’applique pas aux entreprises étrangères »
Le RGPD est un texte de loi européen. C’est un règlement donc il s’applique à tous les citoyens de l’Union Européenne. Toutes les entreprises de l’Union sont également concernées et le RGPD prévoit également des dispositions pour les entreprises hors de l’Union. C’est l’extraterritorialité du RGPD.
L’article 3 du RGPD précise que « lorsque les activités de traitement sont liées (a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou (b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union » alors le RGPD s’applique. Donc oui, dans ces cas, le RGPD s’appliquera même aux entreprises étrangères.
« Un identifiant n’est pas une donnée personnelle »
Les données à caractère personnel est « toute information se rapportant à une personne physique identifiée ou identifiable » selon l’article 4 du RGPD. Si un identifiant identifie une personne physique, alors il s’agit de données personnelles puisqu’on peut tout simplement identifier la personne physique.
Cela s’applique même si vous ne pouvez pas vous-même identifier la personne. Par exemple, si vous avez une liste d’identifiants associés à une liste de salaires. Même si vous ne pouvez pas identifier vous-même chaque personne, le service des ressources humaines possède une autre liste avec les même identifiants et les noms/prénoms. Ainsi, les personnes sont bien identifiables. En revanche, si vous avez la liste des salaires et qu’aucun salaire ne correspond à une seule personne (plusieurs personnes ont le même salaire ou alors les salaires sont arrondis pour cela), alors cette liste est réputée anonymisée car personne ne pourra jamais dire quel salaire correspond à quelle personne (pour connaitre les salaires des personnes il faut avoir l’information directement grâce à d’autres données personnelles). Dans ce dernier cas, on parle alors d’anonymisation et sinon il s’agit de pseudonymisation. En savoir plus sur le site de la CNIL…
Et vous, avez-vous déjà entendu d’autres idées reçues sur le RGPD ?
Une réponse à “5 idées reçues sur le RGPD”
Bonjour M.Libeau, idée reçue : le RGPD c’est la mort de la mémoire individuelle et collective car il oblige à effacer les données