Selon divers calculateurs de temps de lecture, le texte du RGPD se lirait en un peu plus de deux heures (sans les considérants). Pourtant, j’ai tenté ici de faire un rapide résumé des grands points pour les novices du droit du numérique.

Définitions

Le premier point est le plus important selon moi : les définitions. Bien souvent quand je discute avec des personnes n’ayant pas forcément beaucoup de connaissances du sujet, la simple définition d’une donnée personnelle n’est pas comprise. On me sort qu’une information « rattachée » à une personne est une donnée à caractère personnel. En soit, ce n’est pas forcément faux, mais pourquoi ne pas reprendre la définition du RGPD (qui elle n’utilise pas la notion vague de « rattachement ») ?

L’article 4 du RGPD définit une trentaine de termes utilisés dans le texte. Les données à caractère personnel sont le premier. Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

La deuxième définition, aussi très importante, est celle du traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Grâce à ces deux définitions, on peut déjà cerner le périmètre du RGPD. Car il est vrai que j’ai commencé l’article in medias res, directement dans l’action, sans présenter le RGPD ni qui était concerné par ce texte. Le Règlement Général pour la Protection des Données est le nom raccourci d’un texte européen de 2016. Le RGPD s’applique à toute personne soit qui est en Europe, soit qui traite des données de personnes en Europe. Le RGPD est extraterritorial !

Le RGPD concerne beaucoup de monde. Il ne s’agit pas d’un texte uniquement pour les entreprises, ni uniquement un texte pour l’informatique, et pas non plus un texte uniquement sur la vie privée (le nom complet du RGPD donne d’ailleurs la part belle à la libre circulation des données). Toute personne qui traite des données personnelles ou toute personne qui est concerné par un traitement de données personnelles a des droits et des obligations.

Principaux droits

On cite souvent les article 15 à 22 du RGPD, lorsqu’on parle des droits prévus par le RGPD. En réalité, les droits sont disséminés un peu partout dans le texte. Voici tout de même une liste à connaitre :

  • le droit de demander au responsable du traitement l’accès aux données à caractère personnel (vous pouvez obtenir une copie des données personnelles que quelqu’un détient sur vous),
  • le droit de demander la rectification ou l’effacement de celles-ci (si les données sont incorrectes ou si vous voulez qu’on oubli une information sur vous),
  • le droit de s’opposer au traitement ou de le limiter (si vous n’êtes pas d’accord avec comment vos données sont traitées),
  • le droit à la portabilité des données (si vous souhaitez récupérer les données que vous avez mis chez quelqu’un pour les mettre chez un concurrent),
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle (si vous pensez qu’il y a un manquement au RGPD, vous pouvez déposer une plainte auprès de la CNIL en France).

On ne va pas rentrer dans les détails mais il faut savoir que vous pouvez exercer ces droits (sauf le dernier) auprès de toute personnes qui traite vos données. Pour certaines organisations, un délégué à la protection des données (DPO) est nommé et c’est lui qui gère vos demandes. Il doit vous donner une réponse en un mois, sauf si votre demande est très complexe alors il peut rallonger le délai de deux mois supplémentaires.

Un autre droit qu’on range souvent avec le droit d’accès, est le droit à l’information : vous pouvez demander au responsable de traitement des informations sur les traitements qu’il fait. Dans tous les cas, si vous n’obtenez pas de réponse lorsque vous tentez d’exercer vos droits, vous pouvez saisir la CNIL.

Principales obligations

Si vous traitez des données personnelles d’autres individus, un certain nombre de règles ont été mises en place. Premier conseil, ne divulguez pas les données personnelles de vos clients sans savoir ce que vous faites ! Il y a des précautions à prendre. Pour savoir ce que vous avez le droit de faire, le plus simple est de commencer par le registre de traitement.

Toute personne qui traite des données personnelles doit tenir un registre des « activités de traitement », une sorte de liste des traitements. C’est très important. L’idée est de répertorier à chaque fois que vous faites quelque chose avec des données personnelles. La CNIL a publié son registre, je vous conseille d’aller jeter un œil, c’est un bon exemple. Voici la liste des éléments qu’il faut renseigner :

  • le nom et les coordonnées du responsable du traitement (vous, et si vous avez un DPO il faut aussi l’indiquer),
  • les finalités du traitement (pourquoi vous traitez des données personnelles, c’est quoi l’objectif)
  • les catégories de personnes concernées (c’est qui les personnes qui sont concernées),
  • les catégories de données à caractère personnel (c’est quoi les données que vous traitez),
  • les catégories de destinataires (à qui vous allez transmettre les données),
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers (si les données ne restent pas en France, où vont-elle et comment sont-elle protégées),
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données (combien de temps les données sont conservées).

Dans cette liste, il faudra prêter une attention particulière aux transferts de données à l’international (tout n’est pas autorisé et pour certain pays il faut faire des démarches spécifiques) et également la sécurisation des données. La meilleur protection, c’est la sécurisation !

Ensuite, ce qu’il est primordial de faire, c’est de définir ce que beaucoup appellent une « base légale ». Vous ne trouverez pas ces termes dans le RGPD mais c’est comme ça que beaucoup appellent l’une des six manières prévues par le RGPD pour qu’un traitement soit licite. Voici la liste :

  1. le consentement (la personnes a donné son accord, par exemple en cochant une case sur un formulaire),
  2. l’exécution d’un contrat (vous avez conclu un contrat avec une personne et dans ce contrat il est prévu un traitement de données personnelles),
  3. l’obligation légale (une loi prévoit que vous avez l’obligation de faire ce traitement),
  4. la sauvegarde des intérêts vitaux (si vous devez faire un traitement de données pour sauver quelqu’un),
  5. l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (principalement pour les organismes publics),
  6. l’intérêt légitime (si le service que vous proposez doit forcément induire un traitement de données).

Bien souvent on se tourne vers l’intérêt légitime car c’est celui qui permet de réaliser un traitement sans trop de formalité. Mais attention, le choix d’une base légale n’est pas anodin et divers critères doivent être pris en compte. Si vous choisissez l’intérêt légitime, faites le test d’arrêter ce traitement pour voir si votre service peut toujours fonctionner. Si oui, alors vous n’avez pas choisi la bonne base légale, et il faudra sûrement se tourner vers le consentement.

D’autres règles transverses existent. Le traitement doit être loyal pour la personne concernée et vous ne devez traiter uniquement les données nécessaires (minimisation des données) par exemple.

A vous de jouer !

Voilà un court résumé des très grandes lignes du RGPD. Bien évidement, pour réellement connaitre le RGPD, il faut le lire ou alors se faire conseiller ! Il existe de nombreuses ressources en ligne. Je vous conseillerais de surtout vous renseigner sur le site de la CNIL. Beaucoup de personnes pensent maitriser le RGPD mais font de grossières erreurs (dont moi, si vous en voyez faites les remonter !).

Il est important de noter que le RGPD n’est pas une fin en soit. Il existe d’autres dispositions dans d’autres textes, comme la loi informatique et libertés par exemple. De nombreuses subtilités existent dans le droit du numérique mais rien n’est insurmontable. La plus grosse erreur serait de mettre le problème sous le tapi et d’ignorer les règles. De nombreuses personnes saisissent la CNIL qui peut infliger des amendes si elle constate des manquements.