Loi Informatique et Libertés et RGPD en France

Le Règlement général sur la protection des données a tout d'abord été adopté en avril 2016 par le Parlement européen, puis est entré en vigueur au mois de mai de la même année.

La loi du 6 janvier 1978, dite Loi Informatique et Libertés, a été modifiée afin que la législation française soit en conformité avec le droit européen (1). Les dispositions du RGPD y ont été intégrées.

Qui est concerné par le Règlement Général sur la Protection des Données ?

Que signifie RGPD ou GDPR ?

RGPD signifie Règlement Général sur la Protection des Données. Il s'agit du texte organisant le traitement des données personnelles ainsi que leur protection.

Le GDPR est simplement l'équivalant anglophone. Il signifie "General Data protection Regulation".

Est-ce que le RGPD est obligatoire ?

Tout organisme peut être concerné quels que soient sa taille, son pays d'implantation, son activité, qu'il soit public ou privé.

Sous quelles conditions l'organisme doit être en conformité avec le Règlement Général sur la Protection des Données ?

Il doit traiter des données personnelles pour son compte ou le compte d'un tiers, dès lors :

  • qu'il est établi sur le territoire de l'Union européenne ;
  • ou que son activité cible directement des résidents européens.
💡A noter : les sous-traitants doivent également veiller au respect du RGPD s'ils traitent des données personnelles pour d'autres.

Qu'est-ce qu'un traitement de données personnelles ?

Il s'agit d'une opération ou d'un ensemble d'opérations qui portent sur des données personnelles. Peu importe le procédé utilisé.

Le traitement de données peut consister en :

  • une collecte ;
  • un enregistrement ;
  • la conservation ;
  • l'utilisation ;
  • etc.

📌Exemple : tenir un fichier clients constitue un traitement de données personnelles, au même titre que collecter des coordonnées de potentiels clients via un questionnaire, etc.

Important : collecter ou traiter des données personnelles uniquement dans l'éventualité de s'en servir un jour n'est pas possible. En effet, chaque opération doit avoir un objectif.

Qu'est-ce qu'une donnée personnelle ? 

Une "donnée personnelle" se définit comme "toute information se rapportant à une personne physique identifiée ou identifiable" (2).

Une personne peut être identifiée directement, par ses nom et prénoms par exemple, mais aussi indirectement par le biais, notamment, d'un numéro de téléphone, un numéro client, etc.

L'identification peut être faite, soit à partir d'une seule donnée (exemple : numéro de sécurité sociale), soit du fait du croisement de plusieurs données.

Le Règlement européen du 27 avril 2016 (3), entré en vigueur en mai 2018, exige une protection des données personnelles détenues, telles que :

  • les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant les salariés) ;

  • le numéro IBAN (compte bancaire) ;

  • les numéros de téléphone ;

  • les numéros individuels (numéro de Sécurité sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;

  • les identifiants, code d'accès, mot de passe ;

  • les données biométriques détenues ;

  • les données de géolocalisation GPS et IP (y compris celles des véhicules) ;

  • les enregistrements de caméras détenus ;

  • les pièces justificatives personnelles (photocopie carte identité, passeport, justificatif de domicile, relevé bancaire, carte vitale, etc.) ;

  • etc.

Besoin d'information juridique ? Abonnez-vous à notre service.

Les principes de la protection des données

Le RGPD pose plusieurs principes liés à la protection des données personnelles (4)

  • la finalité : il n'est pas possible de garder et utiliser des données personnelles sans objectif précis, légal et légitime ;
  • la proportionnalité et la pertinence : les données conservées doivent être nécessaires à la finalité, au but fixé ;
  • la durée de conservation limitée : une donnée personnelle ne doit pas être conservée de manière illimitée. La durée de conservation doit être fixée à l'avance et ensuite les données doivent être supprimées une fois la durée de conservation écoulée ;
  • la sécurité et la confidentialité : les données que l'on détient ne doivent pas pouvoir être accessibles à autrui et seules les personnes autorisées doivent y avoir accès.
  • la reconnaissance du droit des personnes : il s'agit du droit d'information, d'accès, de modification, de suppression.

Quelle institution contrôle le traitement des informations personnelles?

La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites.

La CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles.
Elle dispose de moyens lui permettant de veiller à la bonne application du RGPD.

Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :

  • sur pièces ;
  • sur convocation ;
  • sur place ;
  • en ligne.

La Commission nationale de l'informatique et des peut contrôler toute entreprise qui, sans nécessairement être établie en France, recourt à des moyens de traitement de données personnelles sur le territoire français (5).

La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en oeuvre le traitement des données à caractère personnel.

1 an d'emprisonnement et 15 000 euros d'amendeEntrave à la CNIL

La délégation de la CNIL peut demander :

  • tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;
  • l'accès aux programmes informatiques et aux données ;
  • la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc.

💡Entraver une action de la CNIL est puni d'un an d'emprisonnement et de 15 000 euros d'amende (6).

Quelle application faire du RGPD en cas de collecte de données personnelles ? 

A chaque fois que des informations personnelles sont demandées, l'organisme collecteur doit informer les personnes dont les données sont collectées (7) de :

  • l'identité et des coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • les catégories de données personnelles concernées ;
  • l'intention ou non de transférer les données à l'étranger ;
  • la durée de conservation des données.

1 moisPour fournir les informations

Si la collecte des données est faite auprès d'un tiers et non pas de l'intéressé, le responsable du traitement dispose d'un délai d'un mois pour fournir les informations à la personne dont les données sont collectées (8).

Chaque personne qui fait l'objet d'une collecte de données personnelles, doit être informée de son droit :

  • d'obtenir gratuitement une copie des données la concernant (9) ;
  • de faire rectifier les données qui se révèleraient inexactes ou de les compléter (10) ;
  • à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement (11) ;
  • de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement (12).

Données personnelles et Comité social et économique (CSE)

Le RGPD suppose également de s'assurer de la protection des données en entreprise. La gestion des activités sociales et culturelles (exemple : chèques cadeaux, sport ou loisirs, activités de voyage, etc.) par le CSE suppose la collecte et le traitement d'informations sur les salariés qui en bénéficient. Dans un tel cas de figure, le CSE doit respecter les mêmes obligations que tout collecteur, comme l'entreprise.

De plus, pour les établissements ou entreprises dont l'effectif atteint au moins 50 salariés, l'employeur met en place une Base de Données Economiques, Sociales et Environnementales (BDESE) destinée au CSE/IRP. En principe, la BDESE ne comporte pas d'informations nominatives qui permettent l'identification d'une personne, directement ou indirectement. Néanmoins, si l'employeur inclut de telles données, il doit, de son côté, établir un registre de traitement des données personnelles collectées. Le CSE quant à lui, en raison de cette collecte de données auprès d'un tiers (l'employeur), doit en informer le salarié dans un délai d'un mois.

Si vous êtes un particulier, cet article peut vous intéresser : Protection des données par le RGPD : quel intérêt pour le particulier ?
Pour aller plus loin : RGPD : Quel consentement sur Internet ?
                              Comprendre et expliquer le RGPD aux salariés

Références :

(1) Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
(2) Règlement (UE) 2016/679 du 27 avril 2016, article 4
(3) Règlement (UE) 2016-679 du 27 avril 2016
(4) Règlement (UE) 2016-679 du 27 avril 2016, article 5
(5) Articles 11-2°-f et 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(6) Article 226-22-2 du Code pénal
(7) Règlement (UE) 2016/679 du 27 avril 2016, article 13 
(8) Règlement (UE) 2016/679 du 27 avril 2016, article 14
(9) Règlement (UE) 2016/679 du 27 avril 2016, article 15
(10) Règlement (UE) 2016/679 du 27 avril 2016, article 16
(11) Règlement (UE) 2016/679 du 27 avril 2016, article 17
(12) Règlement (UE) 2016/679 du 27 avril 2016, article 21