Le Règlement Général sur la Protection des Données est un règlement européen sur la protection des données. Amis de La Palice, bonjour. Mais encore ? Je vais faire un résumé de la très bonne explication fournie par NextInpact sur le sujet.
En quelques mots, c’est quoi ?
Ce règlement vise à harmoniser la protection des données des citoyens européens. Il s’applique partout (pas uniquement en Europe), et doit aider à contrôler l’utilisation qui est faite de nos données personnelles.
Microsoft a fait un assez bon résumé sur son site TrustCenter.
Un règlement
Le règlement, c’est le règlement. Sauf qu’en matière de droit européen, un règlement a force de loi : il est applicable en l’état, sans avoir besoin d’attendre d’être transposé dans le droit national, à l’inverse d’une directive. En pratique, cela fait donc une sacrée différence.
Ce règlement a été discuté pendant une longue période, il a reçu de très nombreuses modifications (amendements) ce qui laisse présager d’une certaine maturité, ce qui est plutôt appréciable pour un texte devant s’appliquer sans transposition.
Qui et quoi est concerné ?
Du côté des responsables de traitements : tout le monde ou presque. Il suffit que des données concernent des ressortissants européens pour être soumis au RGPD. Donc des entreprises américaines traitant sur le sol américain des données ciblant des personnes de l’Union Européenne doivent donc s’y conformer. On rend ainsi (un peu) la monnaie de leur pièce aux américains. Ainsi, si on traite des données comprenant des adresses en Europe, ou dont la monnaie est l’Euro, etc. on pourra présumer d’un ciblage de personnes européennes.
Qu’est-ce qu’une donnée personnelle
Une donnée a un caractère personnel quand elle permet d’identifier directement ou indirectement un individu. Ainsi, un identifiant de connexion, une adresse mail ou IP, une adresse mac peuvent identifier une personne, parfois très indirectement. Et donc la pseudonymisation ne suffit pas, selon ce règlement, à sortir du périmètre du règlement1 ; si on prend le cas de certaines blockchains, comme celle du bitcoin, on reste dans dans le périmètre car l’identifiant de portefeuille est une forme de pseudonymisation : elle est clairement rattachée à un seul individu, qui n’est pas identifié directement mais qui peut l’être en croisant les données le concernant avec d’autres.
Une remarque importante en passant : les minuties biométriques (par exemple une empreinte digitale) sont des données personnelles. Un mot de passe : non.
Encore des déclarations à faire ?
Ben non, mais c’est pas pour autant que ça sera plus simple : on sort d’une logique de déclaration et de centralisation, mais en imposant en retour l’obligation pour le responsable du traitement de prouver qu’il respecte bien ce règlement. Ainsi un responsable pourra être sanctionné non seulement quand il y a un incident de sécurité sur les données qu’il traite mais aussi quand il ne respecte pas le règlement (ou même qu’il n’arrive pas à prouver qu’il respecte le règlement).
A l’inverse, du côté de l’utilisateur, l’accord doit être clairement recueilli par le responsable de traitement. Pas noyé dans la masse, mais facilement visible ! Cela nous paraît évident, mais c’est une orientation qui n’est pas partagée par tous. Et revenir sur sa décision doit être tout aussi simple et rapide. Il ne s’agit que de principes mais ils sont importants.
Quelques particularités
La sécurité est un domaine ayant droit à un traitement particulier ; la lutte contre la fraude est un motif légitime permettant de conserver plus facilement des données personnelles. Sans être un blanc-seing, la sécurité n’est pas considéré comme un détournement manifeste de l’usage des données personnelles.
De la place pour l’interprétation
Tout comme la loi française de 1978 qui avait été très bien écrite en laissant ce qu’il faut de marge pour la mise en balance de droits et pour l’évolution des techniques, l’esprit de ce règlement est également de laisser de la marge aux Etats dans certaines circonstances. La sécurité et la sûreté d’une Nation dépassant le cadre du règlement, certaines dispositions relèveront toujours de la législation nationale, et non du règlement.
De même, un responsable de traitement peut transmettre des données personnelles aux autorités publiques quand la sécurité publique est en jeu, quand cela reste compatible avec d’autres enjeux (par exemple le secret médical).
Sources
- Texte légal : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
- Analyse NextInpact : https://www.nextinpact.com/news/106135-le-rgpd-explique-ligne-par-ligne-articles-1-a-23.htm
Liens utiles
- Privacy Shield
- Outil PIA (CNIL) : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
- http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm