Gwendal.MB

4 octobre 2022

RGPD / « Police Justice »

Le Règlement Général sur la Protection des Données

Contexte: 

Suite à la numérisation de la société, de nouvelles problématiques se posent notamment sur la protection des données à caractère personnel. La multiplication des services mis à notre disposition en ligne accroît le nombre de données personnelles que nous transmettons. Pour pallier tout abus de ces fournisseurs de service quant à l’utilisation et le traitement de nos données. Le Comité Européen à la Protection des Données à donc choisi de mettre en place une réglementation générale appliquée dans l’ensemble de l’Union Européenne afin de protéger ses citoyens.

Définitions:

RGPD : Règlement Général sur la Protection des Données, est le règlement général européen définissant les droits des personnes et les obligations des entreprises en matière de traitement des données à caractère personnel.

Donnée à caractère personnel: Donnée permettant l’identification directe ou indirecte d’un individu

Chapitre 1: Dispositions Générales

La numérisation de notre civilisation fait que nos données sont traitées à chaque instant, avec ou sans notre consentement. Pour pallier tout abus, le Parlement Européen et la Commission Européenne ont par conséquent mis en place un règlement appliqué dans l’ensemble de l’Union Européenne afin de protéger tout individu sur ces traitements. Ce règlement s’applique non seulement aux entreprises de l’Union mais aussi aux entreprises externes à l’Union qu’y offrent un service sur le sol Européen. Cependant, le présent Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte.

Pour répondre à ce besoin des autorités de contrôle sont mises en place au sein des Etats membres de l‘Union. Ces autorités de contrôle auront un rôle de sensibilisation, de contrôle, de répression et d’information auprès des entreprises. La mise en place d’un Délégué à la Protection des Données peut être contraint suivant les conditions imposées par le Règlement, ce DPO doit être formé et informé sur la protection des données. Son rôle est d’assurer la conformité au règlement et d’apporter des conseils aux entreprises, il peut faire partie de l’effectif de la société ou être un élément externe, la responsabilité du DPO est grande quant à la conformité d’une entreprise vis-à-vis du RGPD.

Hors la protection des données des individus, le Règlement à aussi pour objectif de rendre les marchés européens plus compétitifs face aux technologies étrangères dominant les marchés numériques. Ceci passe par une information plus claire et organisée au sein de l’Union ainsi qu’une uniformisation des lois permettant un transfert et traitement de données transfrontalier plus simple pour les Etats membres.

Chapitre 2: Les Droits des Personnes

Dans le cadre du Règlement des droits ont été mis en place afin de protéger les individus. Les droits fondamentaux sont:

  • Le droit d’accès: Permet à l’individu d’avoir accès à ses données communiquées à l’entreprise à tout moment.
  • Le droit à la rectification: Permet à l’individu de modifier les données communiquées.
  • Le droit à l’oubli/effacement: Permet à l’individu de demander la suppression de ses données communiquées mis à part si celles-ci doivent être conservées dans le cadre légal.
  • Le droit à la portabilité: Permet à l’individu de récupérer les données transmises à une entreprise sous un format approprié et lisible.
  • Le droit à la limitation du traitement: Permet à un individu de limiter le traitement effectué sur ses données par un responsable de traitement.
  • Le droit à l’opposition: Permet à un individu de demander à ce que les traitements sur ses données soient arrêtés. 
  • Le droit à un recours: Permet à l’individu lorsqu’il constate une violation au présent Règlement de porter réclamation auprès d’une autorité de contrôle.
  • Le droit à l’information: Permet à l’individu de se voir informé de tout changement de traitement ou de rectification de ses données fournies à l’entreprise.

Ces droits fondamentaux ont pour but de protéger les personnes de tout traitement illégitime ou non consenti sur leur données. Tout autre droit peut-être mis en place par les Etats membres à condition que ceux-ci respectent le Règlement et qu’ils soient appliqués en concertation avec la Commission Européenne et le Parlement Européen.

Des mesures particulières sont mises en place afin de protéger les enfants, un contrôle parental doit être mis en place afin d’assurer un traitement limité.

Chapitre 3: Les Obligations des Responsables du traitement

Les responsables de traitement sont soumis à plusieurs obligations par le présent Règlement. Les obligations majeures sont:

  • La sécurisation du système de traitement: Le responsable du traitement se doit de s’assurer que les mesures de sécurité techniques et opérationnelles mises en place sont suffisantes proportionnellement à la probabilité d’un risque et de ses conséquences.
  • Une analyse d’impact s’ajoute à l’obligation précédente, un rapport de cette analyse doit être communiquée à l’autorité de contrôle si besoin particulier.
  • Le responsable du traitement doit informer l’individu cible du traitement de:
    • L’objectif du traitement
    • Les coordonnées du responsable du traitement
    • Le temps de conservation des données dans la mesure du possible
    • Informé l’individu lors de compromission de ses données
  • Le responsable du traitement se doit d’informer au même titre que l’individu de toute violation ou compromission de données.
  • La désignation d’un DPO peut-être obligatoire en fonction de la situation de l’entreprise.
  • Le responsable du traitement se doit être coopératif si besoin avec l’autorité de contrôle.
  • Le responsable doit justifier de l’objectif des traitements qu’il effectue.
  • Le responsable doit s’assurer de l’acceptation du traitement par l’individu par la mesure de plusieurs facteurs de validation.
  • Une durée de conservation des données limitée dans le temps.
  • Le responsable doit mettre en place un moyen d’identification de l’individu.
  • Le responsable doit mettre un système de journalisation des actions menées sur son système d’information, la pseudonymisation de ses données est obligatoire et la consultation claire des ces journaux d’activité ne peut se faire que sous une demande juridictionnelle.  

Le Règlement limite les traitements de données à caractère personnel afin de diminuer au maximum tous risques de compromission ou d’abus. C’est pourquoi le responsable se doit de justifier des traitements qu’il effectue ainsi que de la licéité de ce dernier. 

Si une entreprise hors Union souhaite effectuer des traitements de données sur le sol européen ce dernier se doit de désigner un responsable du traitement au sein de l’Union. Ce responsable se doit d’être aux faits des lois mises en place. 

 Chapitre 4: Durées de Conservation des Données

Les durées de conservation des données sont variables en fonction du secteur d’activité de l’entreprise, de la sensibilité des données et du type de donnée. Si le temps de conservation des données n’est pas précisé dans le cadre juridique de l’Etat membre, la CNIL a mis en place un tableau permettant de s’interroger sur le temps de conservation des données. 

La CNIL a aussi mis en place des référentiels de temps de conservation des données dans le domaine médical et un guide pratique sur la durée de conservation. 

https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

Chapitre 5: Transfert des Données

L’une des problématiques majeures était le transfert des données que nous confions à une entreprise, aucun cadre ne leur interdisait le transfert ou la vente de ces données. Le Règlement a instauré qu’afin d’effectuer ces transferts à but commercial, l’individu doit au préalable donner son accord. Cependant les destinataires se doivent d’appliquer aussi le RGPD ou une réglementation cohérente à celle de l’Union. Ceci à pour objectif de protéger les individus sur le transfert de leur données mais aussi de réglementer et faciliter les transferts entre les entreprises dans le but de favoriser le marché numérique européen. Dans le cadre du Règlement, le transfert de données est possible en direction de pays tiers ayant un règlement sur la protection des données compatible avec le RGPD sous décision de la Commission Européenne. Si ce n’est pas le cas une demande doit être formulée auprès de la Commission qui décidera si le transfert est possible ou non elle peut aussi décider que certains pays ne sont pas autorisés à être destinataire des données. Dans ce dernier cas, une exception peut être formulée auprès de la Commission. 

Chapitre 6: Traitement des Données

 Un responsable de traitement de données est désigné et prend la responsabilité de ce traitement dans son ensemble.Pour cela il se doit de prouver la licéité de son traitement en justifiant d’un objectif clair et précis et de l’accord de l’individu. Une utilisation autre des données récoltées peut se faire si le responsable justifie d’un lien avec le traitement initial.

Les traitements à but archivistique dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sont autorisés. À cet égard, devraient être pris en considération le nombre de personnes concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées. Cependant si un individu s’oppose à ce traitement il se doit de démontrer le motif impérieux qui pourrait porter atteinte à une situation particulière.

Certains types de données particulières tels que les données médicales, génétiques ou bancaires ne peuvent être traitées que sous certaines conditions particulières. 

Les traitements de données à caractère personnel se doivent en amont avoir fait l’objet d’une analyse d’impact. Cette analyse d’impact a pour but d’évaluer les risques liés au traitement des données, ce qui comprend: l’origine, la nature, la particularité et la gravité de ce risque. Suite à cela un rapport émerge prenant en compte les risques et les conséquences des incidents potentiels sur le système d’information et sur la procédure du traitement de la donnée. Si un risque est jugé trop important et que les moyens techniques ne permettent pas des mesures appropriées à la diminution de celui-ci alors une décision de l’autorité de contrôle doit être enregistrée afin de permettre ce traitement. Tout accord formulé par un individu suffisamment informé de la situation peut autoriser le transfert de données. Le responsable du traitement peut justifier de mesures qu’il a mises en place afin de protéger les données qu’il transfère.

Chapitre 7: Les acteurs

Différents acteurs entrent en jeu de par la mise en place du Règlement, à commencer par l’autorité de contrôle au niveau européen Le Comité Européen à la Protection de la Donnée (CEPD), l’autorité de contrôle national Commission National de l’Informatique et des Libertés. Des fonctions ont ensuite été créées tel que responsable du traitement ou délégué à la protection des données. A ceci s’ajoute l’action directe ou indirecte des Etats membres qui choisissent les autorités de contrôle de son État, d’éventuelles adaptations législatives et un financement des autorités de contrôle.

Les autorités de contrôle ont 4 missions majeures:

  • Informer et protéger les droits
  • Sensibiliser les entreprises et les personnes au sujet du RGPD
  • Contrôler/Sanctionner les entreprises
  • Poursuivre la pérennité ainsi que l’adaptabilité du Règlement  aux nouvelles technologies

Les autorités de contrôles coopèrent ensembles afin de rendre conforme l’ensemble du territoire de l’Union au Règlement et ceux en faisant de la prévention et du contrôle auprès des entreprises. Chaque autorité de contrôle au niveau européen ou national est indépendante de l’institution mise en place.

Le responsable du traitement quant à lui est un élément interne ou externe de l’entreprise qui prend la responsabilité des méthodes opérationnelles et techniques permettant un traitement des données sécurisé.

Le délégué à la protection de la donnée (DPO) quant à lui peut-être un élément interne ou externe à l’entreprise qui à pour mission de conseiller, sensibiliser, informer et contrôler la conformité de l’entreprise à l’égard du Règlement. Il se doit d’être formé à la protection de la donnée.

https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_certification_des_competences_du_dpo.pdf

Ci-dessus le référentiel de compétences nécessaire  l’exercice du rôle de DPO.

Chapitre 8: Conclusion

Le RGPD est le règlement mis en place par le Parlement Européen afin d’uniformiser les droits à la protection des données sur son territoire. Il est appliqué au niveau européen par le Comité Européen à la Protection des Données et au niveau national pour la France par la Commission Nationale de l’Informatique et des Libertés. Différents acteurs et rôles en ont émergé afin de répondre aux attentes du règlement, leur rôle est d’assurer au mieux la mise en application des obligations sur les traitements de données à caractère personnel. Les mesures à mettre en place sont obligatoires en France depuis le 25 mai 2018 et le  1 juin 2019 en Nouvelle-Calédonie. 

Chapitre 9: La Directive “Police Justice”

Chapitre 1: Dispositions Générales

La présente Directive est relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. Cette dernière s’applique à l’ensemble des Etats membres de l’Union. L’objectif de la Directive est de simplifier les transferts de données et de protéger les individus à l’égard de traitement de données effectuées par  les autorités compétentes des Etats membres.

La Directive reprend les grands principes du Règlement tout en s’adaptant au milieu pénal. Les obligations de sécurité des données sont les mêmes cependant quelques points divergent quant au transfert et traitement des données ainsi que les droits des individus.

Chapitre 2: Les Droits des Personnes

Les droits des personnes dans le cadre juridique sont quelque peu modifiés:

  • Le droit d’accès: Permet à l’individu d’avoir accès à ses données communiquées à l’entreprise à tout moment, dans le cadre juridique ce droit peut-être limité voir supprimé.
  • Le droit à la rectification: Permet à l’individu de modifier les données communiquées, ce droit est possible dans la mesure où l’individu prouve l’inexactitude des données traitées.
  • Le droit à l’oubli/effacement: Permet à l’individu de demander la suppression de ses données communiquées mis à part si celles-ci doivent être conservées dans le cadre légal,  dans le cadre juridique ce droit peut-être limité voir supprimé.
  • Le droit à la portabilité: Permet à l’individu de récupérer les données transmises à une entreprise sous un format approprié et lisible  dans le cadre juridique ce droit peut-être limité voir supprimé.
  • Le droit à la limitation du traitement: Permet à un individu de limiter le traitement effectué sur ses données par un responsable de traitement, dans le cadre juridique ce droit peut-être limité voir supprimé.
  • Le droit à l’opposition: Permet à un individu de demander à ce que les traitements sur ses données soient arrêtés, dans le cadre juridique ce droit peut-être limité voir supprimé. 
  • Le droit à un recours: Permet à l’individu lorsqu’il constate une violation au présent Règlement de porter réclamation auprès d’une autorité de contrôle.
  • Le droit à l’information: Permet à l’individu de se voir informé de tout changement de traitement ou de rectification de ses données fournies à l’entreprise, dans le cadre juridique ce droit peut-être limité.

Le seul droit auquel on ne peut pas influer est le droit à l’individu d’être informé sur son droit un recours juridictionnel auprès d’une autorité compétente.

Le caractère particulier des individus concernés par la Directive nécessite de les distinguer en plusieurs catégories:

  • les suspects; les personnes reconnues coupables d’une infraction pénale;
  • les victimes et les autres parties, tels que les témoins; 
  • les personnes détenant des informations ou des contacts utiles; 
  • les complices de personnes soupçonnées et de criminels condamnés.

En effet, leurs droits ne seront pas les mêmes en fonction de leur statut à l’égard de la société.

Chapitre 3: Les Obligations des Responsables du traitement

Le responsable du traitement dans le milieu pénal est tenu aux mêmes obligations du RGPD. Le responsable du traitement se doit de répondre au obligations suivantes:

  • l’identité du responsable du traitement, l’existence d’une opération de traitement,
  • les finalités du traitement,
  • le droit d’introduire une réclamation et l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel,
  • leur rectification ou leur effacement ou la limitation du traitement. 

De telles obligations peuvent être modifiées dans le cadre juridique, le responsable du traitement se doit de justifier auprès de l’individu les raisons pour lesquelles il limite le droit des individus. 

Il doit néanmoins tenir l’ensemble des autres obligations qu’incombe la responsabilité du traitement de données prenant en compte la sécurisation de la procédure tant au niveau opérationnel que technique, ainsi que l’audit de la procédure de traitement par une analyse d’impact du système d’information lorsque le traitement de données peut porter atteinte à l’individu ou encore la coopération et l’information avec l’autorité de contrôle si nécessaires. Afin d’apporter la preuve qu’il respecte la présente directive, le responsable du traitement ou le sous-traitant devrait tenir des registres pour toutes les catégories d’activités de traitement relevant de sa responsabilité. Ce principe de journalisation se prolonge sur l’ensemble du système d’information, le responsable du traitement se doit de démontrer sous la demande de l’autorité de contrôle les actions menées. 

Chapitre 4: Transfert de données

Les transferts de données sont sujets aux conditions annoncées par le RGPD, avec une adaptation pour les transferts lorsqu’il est question de sécurité publique ou afin de sauver la vie d’une personne qui risque de devenir la victime d’une infraction pénale ou pour éviter la commission imminente d’un crime, y compris d’un acte de terrorisme. L’autorité compétente peut effectuer ce transfert, elle doit cependant tenir un registre afin de démontrer à l’autorité de contrôle la licéité du transfert si celle-ci en fait la demande.

Chapitre 5: Traitement des Données

Le traitement des données dans le milieu pénal est davantage plus stricte et contrôlé que le traitement dans le milieu commercial. Pour être licite, le traitement des données à caractère personnel au titre de la présente directive devrait être nécessaire à l’exécution d’une mission d’intérêt général par une autorité compétente, fondée sur le droit de l’Union ou le droit d’un État membre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Chapitre 6: Conclusion

La Directive est une adaptation du Règlement afin de permettre aux autorités compétentes de l’Union de pouvoir agir conjointement sur la prévention et la détection d’infractions pénales. Elle permet aux autorités compétentes de limiter les droits des personnes et de faciliter les transferts de données entre les autorités dans le cadre juridique ou de sécurité publique. 

Dans Veilles Technologiques

Au Suivant Poste

Précedent Poste

Poster un Commentaire

© 2025 Gwendal.MB

Thème par Anders Norén