Le 25 mai 2016 est entré en vigueur la RGPD du Parlement européen – en anglais General Data Protection Regulation (GDPR) laquelle est devenue effective le 25 mai 2018 après s’avoir écoulé la période de transition.
Quel est le but de l’UE ?
Tout simplement de protéger le traitement des données personnelles de tous les citoyens de l’Europe afin d’éviter des violations à leur privacité. Par ailleurs, la RGPD établi des directives concernant la libre circulation de ces renseignements sensibles. En effet, la protection des données à caractère personnel est un droit fondamental selon la Carte des Droits Fondamentaux de l’Union Européenne dans son article 8, alinéa 1 ; et dans le Traité de Fonctionnement de l’UE dans son article 16, alinéa 1.
Qu’est-ce que cela veut dire le « traitement » des « données à caractère personnel » ?
Le Parlement Européen détermine très clairement que les données à caractère personnel sont « toute information sur une personne humaine identifiée ou identifiable ». Le point clé de la RGPD est la manière à être traitées ces données personnelles, laquelle a été définie de la suivante façon : « n’importe quelle opération ou ensemble d’opérations effectuées sur des données de personnes ou un ensemble de données de personnes ». Il faut donc noter que la RGPD est dirigée à des sociétés sises en Europe et ailleurs qui traitent des données à caractère personnel des ressortissants de l’UE.
Cette directive possède une longue portée, compte tenu que des sociétés domiciliées dans de pays hors l’UE et qui traitent des données à caractère personnel de citoyens européens devront également se soumettre à cette législation. En cas de manque de respect de ladite directive, les sociétés pourront être l’objet d’amendes atteignant jusqu’au 4% de leur facturation annuelle. Voilà les raisons par lesquelles l’UE a donné un délai de 2 (deux) ans pour « se mettre au diapason ».
Quels nouveaux droits ajoute la GDPR à la législation antérieure concernant les données à caractère personnel de pays membres de l’UE ?
Aux droits ARCO (droits d’Accès, Rectification, Annulation et Opposition) en vigueur dans la plupart des pays de l’UE avant la mise au jour de la GDPR, s’ajoutent les dénommés droits POL (droit à la Portabilité, droit à l’Oubli ou annulation des données et droit de Limitation). Par ailleurs, il est important de noter le droit à la transparence de l’information (art. 12).
Brièvement, que veulent-ils dirent chaque-un de ces droits personnels que le titulaire des données à caractère personnel possède pour réaliser un contrôle de celles-ci entre les mains de tiers?-
A- Accès: Droit au moyen duquel le titulaire des données peut accéder à son information personnelle se trouvant entre les mains de tiers. En outre, il peut demander information sur le mode d’obtention de ces données.
R- Rectification: Droit visant à permettre de rectifier des données à caractère personnel incomplètes ou erronées qui se trouvent entre les mains de tiers.
C- Annulation: Droit au moyen duquel le titulaire peut éliminer des données à caractère personnel en pouvoir d’un tiers lorsque les buts ne seront pas conforme à la loi.
O- Opposition: Droit avec lequel le titulaire des données à caractère personnel peut s’opposer à son usage, tout en demandant la cessation de son traitement.
P- Portabilité: Le titulaire ayant communiqué des données à caractère personnel à un tiers, bénéficie du droit de les demander à nouveau, dans un format couramment utilisé et facile à lire, afin d’être cédés à une nouvelle entité de traitement de données.
O- Oubli: Étroitement lié avec les Droits d’annulation ou d’opposition mais dans l’environnement numérique. Les titulaires pourront demander aux tiers (à savoir les moteurs de recherche) l’élimination immédiate de données personnelles au moyen de liens contenant d’information erronée, hors d’usage, ou de données que n’accomplissent plus son but de traitement originaire. Le droit à l’oubli ne peut pas être utilisé lorsqu’il agit à l’encontre de la liberté d’expression et d’information.
L- Limitation du traitement de données : Droit qui permet au titulaire des données à demander, dans les cas où l’on ne voit pas clairement si les données à caractère personnel doivent s’effacer, que ses données à caractère personnel ne soient que traitées sous son consentement et la limitation de son traitement dans l’avenir.
Grace à ces droits, le titulaire peut réaliser un contrôle sur ses données à caractère personnel en possession de tiers.
Qui est à charge du contrôle de l’exécution de la RGPD?
Le contrôle de la réglementation est réalisée par le biais des autorités de contrôle désignées pour chaque État – membre dans son territoire. Chaque autorité de contrôle surveillera l’application adéquate du règlement dans l’UE avec une totale indépendance dans l’exercice de ses fonctions. (art. 57).
En outre, les autorités de contrôle ont le pouvoir de recherche et de sanction sur les compagnies qui réalisent le traitement de données personnelles (art. 58).
Au-delà de l’autonomie de chaque autorité de contrôle principale de chaque État-membre, l’art. 60 établit qu’il devra avoir de la coopération et de l’assistance parmi les autorités de contrôle des différents pays dans l’UE.
Par ailleurs, la réglementation dispose d’un système de “guichet unique” pour les États-membres de l’UE, géré par chaque autorité de contrôle.
À guise de conclusion, vous avez sûrement averti la mise en œuvre de la RGPD moyennant la réception de courriels de Facebook, Twitter, Instagram au début de l’année 2018 sur la mise à jour des politiques de données à caractère personnel; ou lorsque vous avez navigué sur différents sites web où apparaît une section exigeant le consentement (ou pas) des “Termes et conditions d’usage”, “Politiques de privacité” et “Cookies” du site utilisé, lesquels sont établis en conformité avec la réglementation.
Au moyen de ce consentement, l’UE cherche de promouvoir un usage adéquat des données à caractère personnel, traitées avec transparence, protégeant le droit du titulaire sur ses données. En outre, face à l’existence d’un règlement commun qui devra être respecté pour les entreprises traitant les données des ressortissants européens, l’UE cherche à générer une meilleure responsabilité et égalité de conditions concernant les données à caractère personnel.
Gastón Alejandro Pisni
Abogado en Propiedad Intelectual y Derecho Informático
Links:
Reglamento General de Protección de datos (RGPD): https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=EN
General Data Protection Regulation (GDPR): https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
Règlement Général sur la Protection des Données (RGPD): https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=EN