Livres blancs Webinars

Problématique incontournable du domaine du Data et du Digital, la protection des données personnelles a vu son importance croitre avec l’adoption récente du Règlement Général sur la Protection des Données Personnelles (GDPR). Adopté en avril 2016, il remplace la directive européenne de 1995 relative à la protection des données personnelles (directive 95/46/CE), et devient le nouveau texte de référence en la matière.

GDPR - Règlement sur la protection des données personnelles

GDPR renforce et précise les droits des personnes physiques dont les données personnelles sont traitées, ainsi que les obligations des entités qui assurent le traitement de ces données. Pour en comprendre l’essentiel, nous vous invitons à visionner notre vidéo « GDPR : 1 minute pour comprendre et passer à l’action ». Il devra être appliqué par les Etats membres de l’UE à compter du 25 mai 2018.

Les nouvelles exigences en matière de consentement

Lorsque le traitement des données est fondé sur le consentement de la personne concernée, la demande de consentement doit être formulée en des termes clairs et simples, en particulier lorsqu’elle est adressée à un enfant. Le consentement quant à lui doit résulter d’un acte positif. Le silence, l’inactivité ou une case cochée par défaut ne peuvent donc pas être considérés comme un accord. De plus, le consentement peut être retiré à tout moment.

Livre blanc - GDPR : en route pour la conformité

Le renforcement des droits des personnes dont les données sont collectées

Le règlement précise les droits existants, et en crée de nouveaux. Ainsi la personne dont les données sont traitées dispose des droits suivants :

Information

Information (Art 13 et 14) : lorsque les données sont collectées auprès d’elle ou d’une autre personne, plusieurs informations doivent lui être communiquées. Il s’agit notamment des finalités du traitement ou des encore droits dont elle dispose.

Droit d’accès

Droit d’accès (Art 15) : elle a le droit d’obtenir la confirmation que les données sont traitées ou non, et si oui, l’accès à ces données ainsi que certaines informations telles que celles susmentionnées.

Droit de rectification

Droit de rectification (Art 16) : elle a le droit d’obtenir, dans les meilleurs délais, que les données inexactes soient rectifiées, et que les données incomplètes soient complétées.

Droit à l’effacement

Droit à l’effacement (Art 17) : elle a le droit d’obtenir, dans les meilleurs délais, l’effacement de ses données, lorsqu’elle a retiré son consentement au traitement, lorsqu’elle s’y oppose, lorsque les données ne sont plus nécessaires au regard des finalités du traitement, lorsqu’elles ont fait l’objet d’un traitement illicite, ou lorsqu’elles doivent être effacées en vertu d’une obligation légale, sauf dans certains cas.  Si le responsable du traitement a rendu publiques les données, il devra informer les autres responsables du traitement qui les traitent qu’il faille effacer ces données ainsi que toutes reproductions de celles-ci.

Droit à la limitation du traitement

Droit à la limitation du traitement (Art 18) : elle a le droit d’obtenir la limitation du traitement lorsqu’elle s’y est opposée, lorsqu’elle conteste l’exactitude des données, lorsque leur traitement est illicite, ou lorsqu’elle en a besoin pour la constatation, l’exercice ou la défense de ses droits en justice.

Droit à la portabilité

Droit à la portabilité (Art 20) : lorsque le traitement est fondé sur le consentement ou sur un contrat, et effectué à l’aide de procédés automatisés, la personne concernée a le droit de recevoir les données dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement sans que le responsable du traitement initial y fasse obstacle.

Droit d’opposition

Droit d’opposition (Art 21) : la personne concernée a le droit de s’opposer à tout moment au traitement des données, lorsque celui-ci est nécessaire à l’exécution d’une mission d’intérêt public ou aux fins des intérêts légitimes du responsable du traitement. Elle peut également s’opposer au traitement fait à des fins de prospection.

Prise de décision automatisée

Prise de décision automatisée (Art 22) : la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant, sauf lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat, est autorisée légalement, ou est fondée sur son consentement.

Dans une ère où il est possible de communiquer ses données personnelles en un clic, le Règlement (UE) 2016/679 se présente ainsi comme un outil judicieux, dans la mesure où il octroie une multitude de droits permettant d’avoir un certain contrôle sur l’usage qui est fait de nos données. Nous verrons dans un tout prochain article quelles sont les obligations des responsables du traitement et des sous-traitants.

Business & Decision est là pour vous aider à mettre votre entreprise en conformité. Contactez-nous.

Business & Decision

Titulaire d’un Master 2 en droit des affaires et fiscalité obtenu à l’université Paris I Panthéon Sorbonne, j’ai rejoint le service juridique de Business & Decision sur les problématiques de protection des données personnelles et de contrat.

En savoir plus >

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.