Entrée en vigueur le 25 mai 2018 dans toute l'Union européenne, le Règlement général sur la protection des donnée (RGPD) instaure un cadre juridique pour la protection des données personnelles.

En France, la protection des données personnelles est encadrée par la loi du 6 janvier 1978 dite " Informatique et Libertés ".

La loi du 20 juin 2018 relative à la protection des données a modifié la loi " Informatique et Liberté " pour l'adapter aux dispositions du RGPD, applicable partout en Europe depuis le 25 mai 2018.

Ce nouveau cadre juridique renforce les droits les droits de chaque européen sur la protection de ses données personnelles et responsabilise les acteurs traitant ces données.

1. Champ d'application du RGPD

Le RGPD s'applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu'ils traitent des données de personnes physiques se trouvant sur le territoire de l'Union européenne. Il s'applique également aux entreprises ayant leur siège en dehors de l'UE qui traitent les données de citoyens européens.

2. Les droits des personnes concernées sur le traitement de leurs données

Ces droits sont consacrés par le Chapitre III du RGPD (Article 12 à 23 du RGPD). Il s'agit du droit :

- de demander des informations sur le traitement des données à caractère personnel (Article 12 à article 14 du RGPD);

- d'obtenir l'accès aux données à caractère personnel détenues par le responsable de traitement ( Article 15 du RGPD) ;

- de demander que les données à caractère personnel soient rectifiées lorsqu'elles sont inexactes (Article 16 du RGPD) ;

- de demander que les données à caractère soient effacées lorsqu'elles ne sont plus nécessaires ou si leur traitement est illicite etc. (Article 17 du RGPD) ;

- de demander la limitation du traitement des données à caractère personnel dans des cas précis (Article 18 du RGPD) ;

- de récupérer les données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un organisme (Article 20 du RGPD sur le droit à la portabilité des données) ;

- de s'opposer au traitement des données à caractère personnel à des fins de prospection ou pour des raisons liées à des situations particulières (Article 21 du RGPD) :

- de demander que les décisions fondées sur un traitement automatisé, y compris le profilage soient prises par des personnes physiques et non uniquement par des ordinateurs etc. (Article 22 du RGPD).

3. Les obligations des entreprises

Les entreprises ont l'obligation :

- de respecter le principe de protection des données et de la vie privée imposées par le RGPD, dès la conception de tout projet ;

- de recenser les traitements qu'elles mettent en œuvre dans un registre des traitements ;

- d'avoir la capacité de prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l'adhésion à des codes de conduite et l'obtention d'une certification ;

- de notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées ;

- de réaliser une étude d'impact sur la vie privée pour les traitements à risque ;

- de désigner un délégué protection des données (DPD ou DPO en anglais) pour les organismes et les entreprises dont l'activité principale les amène réaliser un suivi régulier et systématique des personnes à grande échelle ou encore des organismes qui traitent des données dites " sensibles " ou relatives à des condamnations pénales et infractions ;

- de s'assurer que les personnes sont informées, de manière claire et concise, de la durée de conservation des données, de l'existence de profilage, de leurs droits et des voies de recours disponibles ;

- de permettre aux personnes dont les données sont traitées d'exercer leur droits ( à l'accès, à l'oubli, à la portabilité des données, de rectification, de limitation, etc.)

Pour clore, rappelons que ce sont les autorités indépendantes de chaque Etat qui contrôlent l'application de la législation relative à la protection des données. Elles sont dotées de pouvoirs d'enquête et peuvent imposer des mesures correctrices, en cas de manquement aux exigences du RGPD. En outre, elles fournissent des conseils d'experts sur les questions liées à la protection des données et traitent les réclamations introduites relatives à des violations du RGPD et des législations nationales en la matière.
En France, il s'agit de la Commission Nationale Informatique et Liberté (CNIL) qui est chargée de veiller au respect du RGPD.