RGPD Kezako?
Aujourd'hui, vendredi 25 mai 2018, le RGPD (règlement général sur la protection des données, GDPR en anglais) entre en vigueur dans l'Union européenne.
Rappel des principes de base de ce nouveau règlement.
Le 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le "RGPD") entrera en vigueur.
Ce règlement vise à assurer une meilleure protection des libertés en contrôlant le traitement des données à caractère personnel des personnes physiques. En conséquence, les responsables du traitement des données personnelles et leurs sous-traitants potentiels seront soumis à de nombreuses obligations.
Portée du GDPR
- Le RGPD est destiné à superviser l'activité de traitement de données à caractère personnel, que cette activité soit exercée directement par le responsable du traitement ou par l'un de ses sous-traitants.
- Le "traitement des données personnelles". Afin de définir avec précision le champ d'application du RPGD, il est nécessaire de définir les concepts de "données à caractère personnel" et le concept de "traitement".
- L'article 4, paragraphe 1, de la RGPD définit les "données à caractère personnel" comme suit:
"Toute information concernant une personne physique identifiée ou identifiable; est considérée comme une" personne physique identifiable "une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification , des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale " - L'avis 4/2007 du groupe de travail "ARTICLE 29" sur la protection des données clarifie la notion de "personnes identifiables":
" La personne physique est donc "identifiable" lorsque, même sans avoir encore été identifiée, il est possible de le faire (comme indiqué par le suffixe "-able"). […] L’identification se fait normalement au moyen d’informations spécifiques pouvant être appelées "identifiants" et qui entretiennent une relation particulièrement privilégiée et étroite avec la personne concernée. Il peut s'agir, par exemple, de signes extérieurs concernant l'apparence de cette personne, tels que sa taille, la couleur de ses cheveux, ses vêtements, etc., ou d'une caractéristique de cette personne qui n'est pas immédiatement perceptible, telle qu'une profession, une fonction , un nom, etc. "
Exemples de données personnelles fournies par la Commission européenne:
- Un prénom et un nom;
- Une adresse personnelle
- Une adresse électronique telle que "pré[email protected]";
- Un numéro de carte d'identité;
- Données de localisation (par exemple: la fonction de localisation d'un téléphone portable)
- Une adresse de protocole (IP) Internet
- Un biscuit;
- L'identifiant publicitaire de votre téléphone
- Données détenues par un hôpital ou un médecin qui identifieraient une personne de manière unique.
Exemples de données non considérées comme des données personnelles:
- Le numéro d'enregistrement d'une entreprise;
- Une adresse électronique telle que "[email protected]";
- Données anonymisées
RGPD: la notion de "traitement"
L'article 4, paragraphe 2, du RGPD définit la notion de "traitement" comme suit:
" toute transaction ou ensemble de transactions effectuées ou non par des processus automatisés et appliquées à des données ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la transmission, la diffusion ou toute autre opération. autre forme de mise à disposition, de rapprochement ou d'interconnexion, de limitation, de suppression ou de destruction ".
La RGPD s'applique au traitement automatisé, en tout ou en partie, et au traitement non automatisé de données à caractère personnel, si celles-ci sont contenues dans un fichier structuré.
La notion de "traitement" couvre donc un domaine extrêmement vaste et la moindre opération, pour autant qu'elle concerne des données à caractère personnel, est susceptible d'être qualifiée de "traitement" au sens du RGPD.
Acteurs du traitement des données personnelles
Deux types de personnes peuvent traiter des données à caractère personnel au sens du GDPR: le responsable du traitement et ses éventuels sous-traitants.
L'article 4.7 du RGPD définit le "responsable du traitement" comme " la personne physique ou morale, l'autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ". La notion de contrôleur est une notion fonctionnelle, destinée à attribuer des responsabilités à ceux qui exercent une influence de facto, et repose donc sur une analyse factuelle plutôt que formelle.
Exemples de "traitement" fournis par la Commission européenne:
- la gestion et l'administration des salaires du personnel;
- Accès à / consultation d'une base de données de contacts contenant des données personnelles;
- Envoi d'e-mails promotionnels
- Déchiquetage de documents contenant des données personnelles;
- Publication / affichage d'une photo d'une personne sur un site Web;
- Préservez les adresses IP ou MAC.
- Enregistrement CCTV.
Pour toute question, n'hésitez pas à nous contacter à l'adresse suivante: [email protected]
