Protection des données à caractère personnel et RGPD : les grands principes

MACSF Exercice Professionnel
Notre expertise sur la responsabilité médicale
       et votre exercice professionnel

Protection des données à caractère personnel et RGPD : les grands principes

  • Réduire le texte de la page
  • Agrandir le texte de la page
  • Facebook
  • Twitter
  • Messages0
  • PDF
  • Imprimer la page
  • RGPD

Le RGPD* (ou GDPR en anglais) est le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Retrouvez les points clés de cette nouvelle réglementation : définitions, enjeux et principes à respecter.

Auteur : Magali AUGU, Juriste / MAJ : 10/09/2018

Le RGPD : de quoi parle-t-on ?

A l’inverse d’une Directive européenne, un Règlement européen est d’application immédiate et ne nécessite pas de loi de transposition. Le RGPD est donc entré en vigueur dès le 25 mai dernier.
Ce texte renvoie néanmoins, sur un certain nombre de sujets, au droit des Etats membres, le législateur européen ayant souhaité laisser à la main de ces derniers des questions relevant de la souveraineté nationale. De plus, il apporte des modifications substantielles sur les principes juridiques et les modalités de protection des données. Il a donc nécessité l’adoption, en droit français, d’une nouvelle Loi**venant modifier le texte de 1978*** et d’un décret d’application****. Des Ordonnances du gouvernement - habilité jusqu’au 20 décembre 2018 à adopter des mesures relevant du domaine de la Loi - sont également attendues.

Les enjeux du RGPD

A l’heure de la digitalisation, de l’internationalisation des relations d’affaires et du Big Data, alors que la circulation des données est un prérequis nécessaire au secteur économique et un facilitateur pour la gestion des actes de la vie courante ; alors que les données personnelles représentent une valeur marchande significative, le Parlement européen a souhaité moderniser, renforcer et uniformiser la réglementation des États membres relative à la protection des données à caractère personnel au sein de l’Union Européenne.

Il semble illusoire de penser qu’à eux seuls, des outils informatiques puissent empêcher le vol, la fuite ou les transferts illégaux de données personnelles. Dans ce contexte, des obligations réglementaires semblaient nécessaires.

Champ d’application du RGPD et définitions-clés

Le RGPD s’applique au traitement, automatisé ou non, de données à caractère personnel contenues dans un fichier. Il concerne toute organisation publique ou privée traitant des données personnelles dès lors qu’elle est établie au sein de l’Union Européenne (UE), que son activité cible des résidents européens ou que le traitement réalisé ait lieu sur le territoire de l’Union Européenne.

Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement notamment à travers un identifiant (exemple pour vos patients : le Numéro d’Identification au Répertoire - NIR), une donnée biométrique (exemple : des empreintes digitales), des données de localisation…

Il faut comprendre par traitement toute opération appliquée à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l'utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, l'effacement et la destruction.

Le responsable de traitement est la personne physique ou morale ou toute structure privée ou publique qui détermine les finalités et les moyens du traitement.

Une donnée concernant la santé est une donnée à caractère personnel relative à la santé physique ou mentale d'une personne physique (y compris la prestation de services de soins) qui révèle des informations sur l'état de santé de cette personne (antécédents médicaux, traitements prescrits, résultats d’examens de biologie médicale, compte-rendu de consultation, compte-rendu d’hospitalisation, handicap…). Il s’agit d’une notion d’interprétation large qui va au-delà de la notion de donnée médicale. Des données personnelles peuvent devenir des données de santé de par l’utilisation qui en est faite (ex : la pratique d’une activité sportive devient une donnée de santé si elle est recommandée par le médecin pour le traitement d’une pathologie) ou lorsqu’elles permettent de déduire une information sur l’état de santé de la personne lorsqu’elles sont croisées (ex : croisement entre l’information selon laquelle un patient a été hospitalisé et celle précisant le service dans lequel il a été admis…).

La philosophie du RGPD : le principe de responsabilité

La Loi Informatique et Liberté modifiée** s’inscrivait, jusqu’à présent, dans un système de formalités préalables à réaliser auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité de contrôle compétente.

Avec l’adoption, le 27/04/2016, du RGPD, la philosophie générale de la réglementation applicable en la matière est profondément modifiée, avec l’application du principe d’accountability ou de Responsabilité. Dans une logique de conformité, le responsable de traitement est tenu de garantir la sécurité des données personnelles. Il doit, à travers la mise en place de mesures techniques et organisationnelles appropriées, s’assurer et être en capacité de démontrer que le traitement a été réalisé conformément au RGPD. Ainsi doit-il réaliser un contrôle de l’efficacité de ces mesures et justifier, grâce à elles, du respect de la réglementation auprès de la CNIL, en cas de contrôle.

Ce système d’autorégulation a vocation à responsabiliser les acteurs. Il les incitera fortement à s’engager dans une démarche de prévention et de gestion des risques, afin d’éviter une violation de la protection des données personnelles, et de pouvoir, en cas de violation constatée, en maîtriser et en limiter les impacts.

Les principes à respecter pour le traitement d’une donnée à caractère personnel

Le traitement d’une donnée personnelle doit être licite, loyal et transparent. Cette licéité sera garantie si le traitement est fondé sur l’une des conditions suivantes :
- Obtention du consentement de la personne concernée par la donnée personnelle ;
- Traitement nécessaire à l’exécution d’un contrat ;
- Traitement nécessaire au respect d’une obligation légale ;
- Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- Traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers sauf si les intérêts, libertés et droits fondamentaux de la personne concernée prévalent (exemple : la personne concernée est un enfant).

Le traitement est loyal et transparent si la personne concernée est informée de l’existence du traitement, de sa finalité et de ses droits en lien avec ce traitement.

Le traitement doit également avoir une ou plusieurs finalités déterminées, explicites et légitimes. Avant de réaliser une collecte de données, le responsable de traitement doit définir un objectif clair et précis. Et tout traitement ultérieur de la donnée pour une finalité différente que celle identifiée initialement sera constitutif d’une violation de la réglementation.

Les données collectées doivent être adéquates, pertinentes et limitées ; ce qui implique de limiter la collecte aux données strictement nécessaires à la finalité définie préalablement et à l’activité professionnelle.

Elles doivent également être exactes et tenues à jour. Les données inexactes devront donc être effacées ou modifiées.

Elles doivent enfin être conservées pour une durée n’excédant pas celle nécessaire à la finalité identifiée préalablement.

*Règlement 2016/679 du Parlement européen et du Conseil de l’Union européenne du 27/04/2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
**Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
***Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée
****Décret n°2018-687 du 1er août 2018 pris pour l’application de la loi du 6 janvier 1978 modifiée


0 Commentaire

Publier un commentaire