Veille juridique

Les données à caractère personnel et le RGPD.

Le RGPD remplace la directive sur la protection des données personnelles adoptée en 1995. Le RGPD sera applicable à partir du 25 mai 2018 et remplacera de nombreuses formalités auparavant apparenté à la CNIL.

La responsabilité des organismes sera renforcée par le RGPD, ces derniers devront en effet assurer une protection optimale et devront pouvoir attester, via des documents, de cette protection. Dans le cadre de la profession d’administrateur réseau, le RGPD est très important.

Qu’est-ce que le RGPD et quelles sont les implications du RGPD pour une entreprise ?

Pour répondre à cette question, nous commencerons par présenter le RGPD (les exigences de ce nouveau règlement) puis nous analyserons les droits et les obligations des parties prenantes.

 

     La CNIL, La Commission Nationale de l’Informatique et des Libertés, crée en 1978 et modifié en 2004 est une autorité administrative indépendante (AAI), elle doit veiller à ce que l’informatique ne porte pas atteinte à la vie privée des individus.

     Le RGPD (Règlement Européen sur la Protection des Données) est un texte de référence européen en matière de protection des données à caractère personnel qui entrera en vigueur les 25 mai 2018. Ce règlement supprime la déclaration préalable à la CNIL et il introduit de nouveaux principes visant à : « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises. »

Le RGPD repose sur 4 grands principe :

  1. La responsabilisation.

L’organisation doit prendre les mesures pour garantir la conformité des traitements de données personnelles et doit pouvoir démontrer, à tout moment, en tenant un registre, à jour, des traitements.

  1. La coresponsabilité des sous-traitant.

Les sous-traitants ont les mêmes obligations que l’organisation qui fait appel à eux.

  1. Le « privacy by design ».

Le responsable doit intégrer une protection de la vie privée dès la conception d’un service ou d’un produit et ce tout au long du cycle de vie des données (de la collecte à la suppression)

Le principe de « privacy by default » complète le précédent en obligeant le responsable du traitement à mettre en place, par défaut, le plus haut niveau de confidentialité.

  1. La notion de notification.

En cas de violations de données à caractère personnel l’organisation à l’obligation de notifier ces violations aux autorités nationales compétentes, et dans certains cas, aux personnes concernées.

Le responsable du traitement garantit qu’il ne traite que les informations nécessaires à la finalité poursuivie et seulement celles-ci, c’est la notion de minimisation.

Les données à caractère personnel sont des informations qui permettent d’identifier une personne physique, directement ou indirectement.

      Pour bénéficier de la protection des données à caractère personnel, il faut trois éléments cumulatif :

  1. Des données à caractère personnel, définis un peu plus haut.
  2. Un traitement, c’est-à-dire, une opération ou un ensemble d’opération effectuées sur des données.
  3. Un fichier, un fichier est un ensemble structuré et stable de données.

 

Le RGPD exige une préparation des entreprises pour répondre à minima aux enjeux suivants : sécuriser, garantir la disponibilité, assurer la confidentialité et garantir l’accessibilité aux données. Pour répondre à ces 4 enjeux les entreprises vont devoir :

  1. Notifier à la CNIL tout incident sur une donnée personnelle dans un délai de 72h après la constatation de l’incident. Pour ça il faut que l’entreprise mette en place une centralisation des événements ainsi qu’une surveillance permanente.
  2. Pour répondre aux exigence de portabilité, les entreprises doivent mettre en place un système d’authentification et d’autorisation fort ainsi que la standardisation du format des données échangées.
  3. Les entreprises doivent conserver les données dans une certaine limite de temps, elles devront mettre en place une surveillance permanente de l’ancienneté des données ainsi que l’intégration d’une date de péremption.
  4. Pour finir les entreprises devront pouvoir supprimer les données d’un individu sur commande, l’entreprise doit pour ça mettre en place un recensement complet et rapide des données et elle devra évaluer la recevabilité de chaque demande de suppression.

Après avoir vu 4 exigence du RGPD, nous allons voir les droits et obligations des parties prenantes. Le responsable du traitement à, comme obligation, la sécurité et la confidentialité des données, c’est-à-dire, que le responsable du traitement assure une certaine sécurité des données même en cas de violation, en les rendant illisible par exemple, et il est tenu de ne pas révéler ces informations à quiconque, il les garde totalement confidentiel. Il a également une obligation de transparence et de loyauté qui l’oblige à communiquer sur l’utilisation des données collectés et de n’utiliser ces données que pour la raison pour laquelle elles ont été collectées. Et il doit recueillir le consentement explicite et éclairé des personnes concernées.

La personne dont les données sont collectées dispose de nombreux droits, ils ont tout d’abord le droit d’opposition qui leurs permet de refuse la collecte de certaines données. Ils disposent d’un droits d’accès pour accéder à leurs données à n’importe quel moment et le droit de rectification leurs permettent de corriger si besoin est, ils peuvent également limiter le traitement de leurs données. Un des droits les plus importants est le droit à l’oubli qui permet aux personnes dont les données sont collectées de demander à ce que ces données soit effacées. Le droit à la notification est un droit dont dispose les personnes dont sont collecté les données pour être prévenu en cas de violation ou de modification de leurs données. Enfin le droit à la portabilité oblige les entreprises à être capable de porter toutes les données d’un utilisateur de leur service vers un autre service et une autre entreprise.

 

     Par exemple l’arrêt de la cour de cassation du 3 novembre 2016 dit : « Les adresses IP, qui permettent d’identifier indirectement une personne physique sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »

L’article 34bis de la loi informatique et libertés est un article obligeant les entreprises à notifier toutes violation de donnée.

En 2002, le TGI de Versailles a condamné le responsable du traitement des données d’une entreprise car il avait constitué un fichier de gestion du personnel dont une partie avait été transmise à la presse. La cour a dit : « il appartenait à X qui dirigeait la constitution du fichier d’assurer la totale confidentialité des opérations. La fuite des 38 documents communiqués à la presse montre qu’il n’a pas pris toute les précautions utiles, il sera donc déclaré coupable de ces faits. »

14 mars 2006, cour de cassation. Un professionnel de l’informatique est arrêté pour avoir « aspiré », au moyen de logiciels, des adresses électroniques de personnes physique en vue de diffuser des messages publicitaires. C’est une collecte de données à caractère personnel et même si ces informations étaient visibles (public) sur un site, la finalité de leur mise en ligne n’était pas ce pourquoi il les a utilisés, de plus les personnes concernées n’étaient pas consentantes.

23 mars 2018, les Etats-Unis ont signé de nouvelles lois pour l’accès aux données, la lois CLOUD (Clarifying Lawful Overseas Use Of Data Act). Cette loi permet aux USA d’accéder plus facilement (sans passer par le sénat) aux données des entreprises américaines, même si ces données sont stockées dans un autre pays.

Le 17 mars 2018 la société Cambridge Analytica, une société qui à récupérer les données de 50 millions d’utilisateurs de Facebook via des quiz fallacieux qui récupéraient les données des utilisateurs. Suite à cette révélation on a appris que l’application Android Facebook récupérait les SMS et les appels téléphonique sans l’accord des utilisateurs.

sources : wikipedia ; cnrs.fr ; donneespersonnelles.fr ; nextinpact.com ; courdecassation.fr ; jurisexpert.net ; cnil.frkulturegeek.fr ; agefi.comfandroid.com ; siecledigital.fr ; lemonde.fr (1, 2) ; courrierinternational.com