Constance
Le 12 avril 2018
Constance

Les grandes lignes du RGPD

Retrouvez les grandes lignes du RGPD et les implications légales qu’il impose désormais à votre entreprise.

Les grandes lignes du RGPD

En ce moment, le terme “RGPD”, Règlement Général sur la Protection des Données, fait trembler pas mal d’entreprises. Cette loi qui va entrer en vigueur le 25 mai 2018, cherche à étoffer et solidifier la directive européenne sur la protection des données de 1995. On vous en dit plus dans cet article en quelques points clés. 


Quel est l’objectif de ce règlement ? 

Pour reprendre les termes de ce texte de loi, le RGPD a pour objectif de :

“redonner aux citoyens le contrôle de leurs données personnelles, 
tout en simplifiant l’environnement réglementaire des entreprises”

L’Union Européenne souhaite à la fois : 

  • consolider les droits des internautes qui concernent leurs données personnelles ;
  • responsabiliser toute entreprise publique ou privée qui collecte des données à caractères personnel sur des résidents de l’Union Européenne par un système d’auto-contrôle ; 
  • uniformiser la législation européenne sur la protection des données ; 

Donc, ne vous y trompez pas, si vous collectez des données qui permettent d’identifier une personne physique habitant dans un pays de l’Union Européenne, vous devez appliquer le RGPD. 


Quels sont les grandes lignes à retenir ? 

Afin de protéger les internautes, voici les six principales mesures à retenir si vous possédez une application web ou mobile : 

Le consentement

La demande de consentement sur votre application web ou mobile doit être claire, compréhensible et aisément accessible. Par ailleurs, retirer son consentement doit être aussi clair, compréhensible et accessible que de le donner. 

Il faut bien préciser à vos utilisateurs ce que vous comptez faire des données collectées, en particulier, s’il y a un transfert d’informations externe à votre entreprise. 

La transparence et droit à l’information

Par transparence, vous devez entendre communiquer sur : 

  • une liste d’informations obligatoires, notamment la finalité du traitement, les données concernées par ce traitement, la législation autour de ces données…
  • les “intérêts légitimes” de la collecte de donnée (en quoi vous avez besoin des informations demandées) ;
  • la durée de conservation des données ;
  • le droit à la modification, à l’opposition, à l’oubli, à l’autorité de contrôle, à l’effacement
  • les sources d’informations si les données n’ont pas été collectées sur votre application ;
  • le caractère du consentement (réglementaire ou contractuel) ; 

NB :
Consentement réglementaire : il y a deux cas de figures : (1)

  • au sens du droit public, le règlement est une disposition prise par certaines autorités administratives (notamment les décrets du Président de la République, les arrêtés ministériels, les arrêtés des préfets, sous-préférés, et des maires) ;
  • dans le cas du “règlement intérieur”, il s’agit d’un document par lequel une entreprise publique ou privée définit les règles de gestion ou d’administration qui s'appliquent aux salariés ; 
Consentement contractuel : (2) consentement stipulé par un contrat, autrement dit, une convention acceptée par les différents signataires. 
  • les mécanismes sous-jacents à un algorithme qui proposerait des résultats selon le profil de l’utilisateur ;  

Le droit à l’oubli

Le droit à l’oubli ou à l’effacement s’exerce, principalement, dans trois conditions : 

  1. les données collectées ne sont plus nécessaires ;
  2. l’utilisateur a fait une demande de suppression de ses données ;
  3. le traitement initial n’était pas conforme à la réglementation ;

Lorsqu’un utilisateur fait jouer son droit à l’oubli, il doit être notifié que vous avez bien pris en compte la demande et quand vous avez supprimé ses données personnelles. 

Le droit à la portabilité

Le droit à la portabilité fait référence à : 

  • L’autorisation d’accès aux informations personnelles qui ont été données. Autrement dit l’utilisateur peut réclamer toutes les informations que vous possédez sur son profil ; 
  • La transmission des données à un autre prestataire : l’utilisateur peut refuser le transfert de ses données à l’un de vos partenaires. 

Le droit d’opposition

L’utilisateur pourra, dès qu’il le souhaite, s’opposer aux traitements de ses données

Adieu profilage !

Le profilage automatisé était déjà interdit, mais le RGPD renforce ce point. Par exemple, il sera interdit de rejeter une demande de crédit en ligne si le profil de l’utilisateur a été profilé de manière algorithmique.  Bien sûr cette loi autorise quelques exceptions : traitement de données autorisé par la loi (pour lutter contre la fraude…), consentement explicite de l’utilisateur et consentement contractuel. 

Conclusion

Le RGPD est un gros chantier qu’il faudra mettre en place avant sa mise en vigueur (25 mai 2018). L’équipe Tymate se forme actuellement pour vous guider dans les bonnes pratiques à mettre en place pour les développements front et back. N’hésitez pas à lire notre article sur “L’impact du RGPD sur notre façon de développer” pour en savoir plus. 

Sources 

(1) https://www.dictionnaire-juridique.com/definition/reglement.php

(2) https://www.dictionnaire-juridique.com/definition/contrat.php

(3) https://digital-collab.com/rgpd-protection-des-donnees/

(4) https://www.nextinpact.com/news/106135-le-rgpd-explique-ligne-par-ligne-articles-1-a-23.htm