Le RGPD est un règlement européen qui renforce les droits des consommateurs en leur permettant de se réapproprier leurs droits sur leurs données personnelles
Pour répondre aux évolutions numériques, l’Union européenne s’est dotée d’un nouveau cadre juridique en matière de protection des données personnelles. Le RGPD marque la volonté d’une harmonisation au niveau européen. Il vise à renforcer les droits des citoyens européens mais aussi à responsabiliser les entreprises et organismes traitant des données à caractère personnel.
Quel est le champ d’application territorial du RGPD ?
Le RGPD a un champ d’application très large. Il s’applique aux entreprises, aux organismes publics et aux associations, de toutes tailles, quels que soient leurs activités, du moment qu’ils traitent de données personnelles de citoyens européens.
Par exemple, depuis le 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données à caractère personnel d’utilisateurs européens (ex : Twitter, Facebook, etc.) est concernée par le RGPD.
Qu’est-ce qu’un traitement de données personnelles?
Qu’est-ce qu’une donnée à caractère personnel ?
Il s’agit de toute information qui permet d’identifier, directement ou indirectement, une personne physique.
Sont notamment considérées comme des données à caractère personnel, les :
- nom,
- prénom,
- date de naissance,
- numéro de téléphone personnel ou professionnel,
- adresse mail personnelle ou professionnelle,
- adresse postale personnelle ou professionnelle,
- cookies,
- adresse IP (lorsqu’elle est combinée à d’autres informations),
- identifiant numérique,
- numéro de carte de paiement,
- numéro de sécurité sociale,
- plaque d’immatriculation.
Qu’est-ce que le traitement des données personnelles ?
Par traitement des données, on entend toute opération effectuée sur des données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement des données à caractère personnel.
A titre d’exemple :
- consultation d’une base de données de contacts contenant des données à caractère personnel ;
- envoi de courriels promotionnels ;
- publication/affichage d’une photo d’une personne sur un site internet ;
- conservation d’adresses IP ;
- enregistrement de vidéosurveillance.
Les données personnelles sont traitées par un responsable de traitement qui est la personne qui définit les finalités et les moyens du traitement.
Information des personnes physiques
Informations à fournir lors de la collecte des données personnelles
Le responsable de traitement, doit informer les personnes du traitement de leurs données, ainsi que des droits dont elles disposent. Ces informations peuvent être fournies sur un site internet par le biais d’une politique de protection des données à caractère personnel et/ou des clauses contractuelles.
Réponses à la demande d’accès aux droits
Le responsable de traitement a l’obligation de répondre dans un délai d’1 mois à compter de la réception de la demande (délai qui peut être toutefois prolongé de 2 mois si les demandes sont complexes et nombreuses).
Quelles sont les informations auxquelles vous devez faire attention ?
Finalités déterminées
Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec les finalités déterminées au départ.
Durées de conservation des données personnelles
Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Dans certains cas, la durée est déterminée par la loi. Par exemple, un établissement disposant d’un système de vidéosurveillance ne peut conserver les images plus de 1 mois.
Dans d’autres cas, la durée est définie par le responsable de traitement. La durée dépendra alors de la nature des données et des objectifs poursuivis. Par exemple : suppression d’un fichier de prospect qui, depuis 3 ans, ne répond à aucune sollicitation commerciale.
Consentement
En principe, la personne doit consentir au traitement de ses données à caractère personnel. Dans ce cas, le responsable de traitement doit démontrer qu’il a bien recueilli un consentement. Bien entendu, la personne peut retirer son consentement à tout moment.
Le législateur français a fixé à 15 ans, le consentement d’un mineur à un traitement de données personnelles en ce qui concerne les offres du numériques comme les réseaux sociaux . Pour les mineurs de moins de 15 ans, le consentement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale.
Données sensibles
Le traitement des données sensibles, sans le consentement explicite des personnes concernées, est en principe interdit. Sont considérées comme des données sensibles, les données se rapportant :
- à l’origine raciale ou ethnique,
- aux opinions politiques,
- aux convictions religieuses ou philosophiques,
- à l’appartenance syndicale,
- à la santé et à la vie sexuelle.
Cookies
Les cookies sont des traceurs de navigation pouvant analyser la navigation, les déplacements et les habitudes de consultation ou de consommation. Le responsable de traitement a l’obligation d’informer de leur existence et du type de cookies qu’il utilise. Certains types de cookies nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.
Quels sont vos droits ?
Sachez que vous bénéficiez de différents droits sur vos données personnelles, dont :
- demander des informations sur le traitement de vos données à caractère personnel ;
- obtenir l’accès aux données à caractère personnel détenues à votre sujet ;
- demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées ;
- demander que les données à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite ;
- définir des directives post mortem
Quelques conseils pratiques pour protéger vos données personnelles
La protection des données sur internet est devenue un sujet d’importance depuis quelques années. Voici quelques astuces pour assurer la sécurité de vos informations lorsque vous allez sur un site internet.
- Choisir un mot de passe robuste
- Se renseigner sur le site avant d’effectuer un achat
- S’assurer que le champ adresse de son navigateur est bien en httpS//
- Eviter de stocker son numéro de carte bancaire et son mot de passe sur un site internet
Pour en savoir plus
Consultez :
La fiche de l’Institut National de la Consommation RGPD : quelle protection pour vos données personnelles ?
La fiche pratique de la DGCCRF Protection des données personnelles : quels sont vos droits ?
Pour contacter le CTRC Centre-Val de Loire