Fiche de Révision de questions contemporaines: Le Règlement Général sur la Protection des Données (RGPD)

Je vous propose aujourd’hui une fiche de révision sur le thème du Règlement Général sur la Protection des Données (RGPD). Celle-ci pourra vous être utile pour préparer l’épreuve de questions contemporaines du concours commun des IEPs (thèmes « Le Numérique« , mais aussi « Le secret« ).

Bref historique sur le thème de la protection des données personnelles.

La France a été un pays précurseur sur la protection des données personnelles avec la « loi Informatique et Liberté » adoptée en 1978. A l’époque, l’élément déclencheur de cette loi est un projet de l’INSEE visant à interconnecter des bases de données à partir du numéro de Sécurité Sociale (le NIR) qui soulève des débats autour de la liberté individuelle et le « flicage » des citoyens. Cette loi aboutit également à la création de la CNIL.

En 1995, la protection des données fait l’objet d’une directive européenne (voir ici).

En 2016, un règlement européen, le RGPD est adopté.

Les principaux changements apportés par le RGPD.

1. Le principe d’ « accountability » qui consiste en un changement de paradigme majeur dans la mesure où les entreprises et institutions devront mettre en œuvre un cadre de conformité lié à la protection des données. Celles-ci devront prouver qu’elles sont en conformité au niveau de la protection des données personnelles (et ce n’est pas le plaignant qui devra prouver que l’institution est en cause). on parle donc « d’inversion de la charge de la preuve ».
2. RGPD intègre également de nouvelles obligations (exemple : nommer un Data Protection Officer, exemple tenir un registre des traitements).
3. RGPD augmente le niveau des sanctions en cas de manquements. Avant son adoption, les sanctions étaient de 300 000€ maximum. Avec RGPD, elles peuvent atteindre 4% du chiffre d’affaires.
4. RGPD met en place de nouveaux droits pour les personnes (droit à l’effacement, droit à l’oubli, droit à la portabilité).

Les règles et obligations introduites par RGPD.

Les règles concernent :

• l’interdiction de récolter des données personnelles sans raison
• l’obligation de définir une durée de conservation des données (à l’expiration, celles-ci doivent être soit anonymisées, soit supprimées, soit archivées).
• Le respect des droits des personnes
• La sécurité du traitement des données

Les obligations détaillées sont les suivantes :

• La tenue d’un registre des traitements : celui ci doit lister l’ensemble des traitements de données de personnes en indiquant notamment la finalité du traitement (pour quoi est-ce que j’utilise cette donnée?), les personnes concernées, la durée de conservation etc.
• La gestion des droits des personnes : via la mise en place de procédures et d’outils.
• La désignation d’un DPO dont le rôle est précisément de veiller au respect du droit des personnes.
• L’obligation d’engager les sous-traitants gérant pour son compte des données personnelles (via des clauses par exemple).
• L’analyse des risque en terme de sécurité des données
• La notification obligatoire des violations constatées sous 72 heures.

Les nouveaux droits créés avec le RGPD

Droit à l’oubli : suppression de certaines données personnelles (par exemple des moteurs de recherche)

Droit à la portabilité des données

Droit d’obtenir réparation en cas de préjudice : les citoyens concernés par un manquement d’un organisme gérant des données personnelles pourront demander une indemnisation

Droit de ne pas faire l’objet d’une « décision individuelle automatisée » (= droit qu’un robot ne prenne pas de décision à notre sujet).