L'essentiel du RGPD : définition, périmètre et grands principes

LinkedIn
RGPD résumé

Accepter ou refuser des cookies sur le site que vous êtes en train de visiter, accepter ou refuser que Google accède à votre position lorsque vous cherchez un point relais près de chez vous, lire rapidement que vous avez un droit d’accès, de rectification et de suppression des données vous concernant… Là est votre quotidien depuis plus de cinq ans. Un quotidien découlant en grande partie de l’arrivée d’un Règlement Européen : le Règlement Général sur la Protection des Données, plus communément appelé « RGPD » - ou « GDPR » pour nos amis anglo-saxons.

Qu’est-ce que le « RGPD » ? Quel est son périmètre ? Quels grands principes ressortent de ce texte de 88 pages, 73 Considérants et 99 articles (ça en fait de la lecture !) ? Découvrez dans cet article l'essentiel du RGPD.

RGPD : introduction

Avant toute chose, il faut savoir que le RGPD est un Règlement Européen – c’est d’ailleurs pour cela qu’il convient d’utiliser l’article défini « le » et non pas « la ». Un Règlement est un acte juridique européen qui a une portée générale et obligatoire. Concrètement, il a été créé par les institutions européennes et s’applique dans tous les Etat-membres de l’Union Européenne, et ce, dès sa signature - sauf dispositions contraires prévues par le texte, et le RGPD en prévoit quelques-unes.

Ce texte, très inspiré de la loi française « Informatique et libertés » de 1978, permet l’encadrement et la protection des données des citoyens européens et souhaite renforcer le contrôle que ces derniers ont sur l’utilisation de leurs données, tout en protégeant leur vie privée. Depuis le 25 mai 2018 (date de son entrée en vigueur) chaque organisme concerné par le RGPD doit se conformer lui-même au RGPD et devra en apporter la preuve. 

Du fait de son caractère contraignant, le RGPD prévoit plusieurs sanctions en cas de manquements des organismes traitant des données personnelles : rappel à l’ordre ; injonction de se mettre en conformité, accompagné généralement d’une astreinte par jour de retard ; amende administrative - certaines pouvant aller jusqu’à 4% du chiffre d’affaire mondial ou 20 millions d’euros (le plus gros montant étant retenu) ; etc. En France, ces sanctions sont prononcées par l’autorité de contrôle française : la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »). 

RGPD : périmètre 

Le RGPD va s’appliquer à toute organisme qui remplit deux conditions : 

⦁ une condition matérielle : elle doit réaliser un traitement de données à caractère personnel

⦁ une condition territoriale : elle doit être établie dans l’Union Européenne ou cibler une personne qui se situe dans l’Union Européenne

1. Condition matérielle : traitement et données personnelles

Mais qu’est-ce qu’un traitement et qu’est-ce qu’une donnée personnelle ? 

Dans un premier temps, une donnée personnelle est une information qui permet d’identifier une personne, directement ou indirectement. Si cette notion vous semble encore floue, voici quelques exemples.

Directement : Nom, prénom, Photographie, E-mail nominatif, Numéro de sécurité sociale, etc.

Indirectement : Localisation, Numéro de téléphone, Identifiants, Plaque d’immatriculation, Adresse IP, etc.

Par combinaisons d’informations : Lieu de naissance, Date de naissance, Lieu de résidence, Sexe, Loisirs, Etc.

En se fondant sur deux localisations, comme le trajet récurrent domicile-travail, 50% des gens seraient identifiables.

Dans un second temps, un traitement de données personnelles est une opération informatisée (tableau Excel, applications), ou non (fichier papier organisé), appliquée à des données. A titre d’exemples, un traitement peut être : une collecte, un enregistrement, une modification, une destruction, une consultation, etc.

2. Condition territoriale : établissement en Europe ou ciblage de résidents européens

Le RGPD s'applique d’une part, à tout organisme établi sur le territoire de l’Union Européenne qui traite des données à caractère personnel (i.e toute structure ayant son siège social, succursale, ou filiale établie en Europe.). D’autre part, tout organisme, qui n’est pas établi en Europe, mais qui offre des biens ou des services à des résidents européens, et/ou qui réalise leur profilage, est soumis au RGPD.

En définitive, le service RH d’une entreprise française [condition territoriale] qui collecte [traitement] le numéro de sécurité sociale, le nom, le prénom, l’adresse, les diplômes, etc. [données] d’un salarié, est soumis au RGPD et doit se mettre en conformité avec celui-ci et en apporter la preuve (c.f. Le principe d’accountability).

Principes fondamentaux du RGPD

Traiter des données personnelles n’est pas interdit. Il suffit simplement que le responsable du traitement respecte les principes fondamentaux établis par le RGPD, à savoir, la licéité du traitement, la finalité du traitement, la minimisation des données, la conservation des données, la transparence du traitement, l’obligation de sécurité des données et le principe d’accountability.

Attention toutefois, le traitement de données dites « sensibles » est par principe interdit car elles pourraient entraîner des discriminations envers la personne concernée. Ainsi il est formellement interdit de traiter des données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » (article 9 RGPD). 

Néanmoins, la suite de cet article prévoit des exceptions à ce principe, qui permettent de collecter des données “sensibles” – mais il serait fastidieux de toutes les citer ici. A titre d'exemple, le traitement de données de santé d’un salarié est nécessaire aux fins de la médecine du travail, et est donc autorisé. Si vous êtes une association ou un établissement public traitant des données de santé ou des données relatives aux personnes vulnérables, cet article pourrait vous intéresser : Introduction au RGPD dans le secteur social et médico-social.

Note : Une mise en situation sera présentée à la fin de chaque principe ci-dessous. Elle reprendra en grande partie l’Activité 6.1. – Recrutement des personnels figurant dans le Registre des activités de traitement de la CNIL, consultable en ligne.

Le principe de licéité du traitement

Le traitement sera licite, et donc autorisé, s’il remplit l’une de ces conditions suivantes :

⦁ Que la personne concernée ait consenti pour une finalité précise. Ce consentement devra être : 

- Libre : ni contraint, ni influencé

- Spécifique : pour chaque finalité, il faut consentir

- Éclairé : la personne concernée doit avoir connaissance de toutes les informations sur le traitement avant de donner son accord, présentées dans un langage claire, compréhensible, et accessible à tous

- Univoque : consentement doit être recueilli par un acte positif claire (déclaration) sans aucune ambiguïté

⦁ Que le traitement soit nécessaire à l’exécution d’un contrat

⦁ Que le traitement soit nécessaire au respect d’une obligation légale

⦁ Que le traitement soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée

⦁ Que le traitement soit nécessaire à l’exécution d’une mission d’intérêt public

⦁ Que le traitement soit nécessaire à l’intérêt légitime de son responsable (i.e. assurer la sécurité des biens/personnes au sein de son établissement au moyen de vidéosurveillance, protection des systèmes d’information, etc.)

La finalité du traitement

Ce principe signifie simplement que les données doivent être collectées pour des objectifs précis et légitimes, et ne doivent pas être traitées ultérieurement pour un autre objectif. Il peut donc exister plusieurs finalités pour un même traitement.

Mise en situation : vous aurez besoin des données concernant les candidats afin de gérer les procédures de recrutement et de répondre aux candidats par exemple.

La minimisation des données

C’est un principe qui va de pair avec la/les finalité(s) que l’on a déterminé(es). En effet, le principe de minimisation exige de ne collecter que les données dont l’organisme a strictement besoin pour atteindre la finalité du traitement. C’est un principe qui va permettre de réduire les risques en limitant la collecte de certaines données. 

Mise en situation : collecter le statut marital du candidat n’apparaît pas nécessaire pour effectuer le recrutement.

La conservation des données

Les données personnelles pourront être conservées jusqu’à ce que l’objectif fixé soit atteint. Ainsi, une fois que l’objectif sera satisfait, les données devront être effacées, anonymisées ou le cas échéant, transférées aux archives publiques. Néanmoins, certaines durées de conservation sont prévues par les textes (Code du travail, Code civil, Code de commerce, etc.).

Mise en situation : d’une part, pour les candidatures retenues, il conviendra de conserver leurs données tout le long de la relation contractuelle + 5 ans à compter de sa rupture en vertu du code du travail. D’autre part, pour les candidatures non retenues, vous devrez informer le candidat que vous souhaitez conserver son dossier afin de lui laisser le temps d’en demander la destruction, mais s’il n’en fait pas la demande, celles-ci devront être conservées 2 ans à compter du dernier contact (durée recommandée et appliquée par la CNIL).

Pour aller plus loin :

La transparence du traitement

Comme son nom l’indique, tout traitement doit être transparent aux yeux de la personne concernée qui doit être informée de tout traitement la concernant. Ainsi, cette dernière doit connaître la raison de la collecte de ses données, comprendre le traitement qui est mis en place et rester maître de ses données en voyant l’exercice de ses droits facilité.

Mise en situation : en envoyant sa candidature, le candidat envoie lui-même ses données et il en a conscience. Néanmoins, et ce afin d’être sûr que vous respectez ce principe, vous pouvez mentionner dans le mail accusant réception de la candidature a minima votre identité, les finalités de ce traitement et les droits dont le candidat dispose. Vous pouvez également le lui rappeler lors de votre entretien téléphonique, entretien d’embauche, contrat de travail si celui-ci est retenu, etc.

Astuces RGPD : Top 7 des erreurs RH sur le RGPD

L’obligation de sécurité des données

Des mesures de sécurité, aussi bien techniques que organisationnelles, doivent être prises pour prévenir les risques liés aux données (perte d’intégrité, confidentialité). Pour aller plus loin, découvrez notre article sur 3 pratiques simples pour améliorer la sécurité des données personnelles.

Le principe d’accountability

Ce principe nécessite de rendre compte de sa conformité. Il sera ainsi nécessaire de prouver, aux moyens de preuves réelles, que l’on a mis en place des mesures techniques et organisationnelles appropriées respectant le RGPD – par exemple, un registre des activités de traitement, un registre des incidents, des contrats avec les sous-traitants, les analyses d’impact effectuées, la charte informatique, etc. 

Mise en situation : rapprochez-vous de votre DPO ou de la personne chargée de la mise en conformité concernant l’obligation de sécurité des données et le principe d’accountability.

Pour aller plus loin :

Si les plus grands principes ont été évoqués dans cet article, celui-ci n’a fait que vous introduire au RGPD qui regorge d’autres principes, notions et exceptions. Ces articles pourraient vous intéresser :

Lien vers le LinkedIn de l'autrice : Méline DALL'ALBA