Cette publication n’a pour vocation que de donner les grandes lignes du RGPD, nouvelle réglementation européenne sur la protection des données personnelles, concernant les sites Internet. Bien que l’entité soit seule responsable de ce traitement, en tant que webmaster, je dois réaliser des sites conformes à cette réglementation.

En effet, les sites recueillent des données personnelles, soit par le biais de cookies déposés sur votre ordinateur, soit par le biais de formulaires de contact. En conséquences, les propriétaires  de sites doivent informer le visiteur du traitement futur de ses données personnelles. Ils doivent également donner les moyens aux visiteurs d’en maîtriser leur contenu et l’utilisation qui en est faite.

En outre, je dois également vous fournir les informations qui vous permettent de répondre à ces obligations au cours de l’exploitation du site (données détenues, modification, transfert des données au visiteur en faisant la demande, suppression….)

RGPD : Règlement Général sur la Protection des Données

Le RGPD  uniformise au sein de l’UE la réglementation en matière de protection des données personnelles. En France, il supplante la loi du 6 janvier 1978

Domaine d’application du RGPD

L’entité responsable doit appliquer cette réglementation pour tous les traitements de données personnelles, automatisé ou non, stockées dans un fichier.

Définition d’une donnée à caractère personnel

La réglementation européenne donne cette définition :

 » les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, dénommée la personne concernée ».

Une donnée personnelle est un élément qui permet d’identifier, directement ou indirectement, une personne. Par exemple :

  • Un nom ;
  • un numéro d’identification ;
  • des données de localisation ;
  • un identifiant en ligne ;
  • un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Extraterritorialité

La réglementation consacre le principe d’extraterritorialité. L’extraterritorialité est un principe de droit international public. Il stipule qu’un État étranger ou une organisation internationale peut exercer l’autorité sur une partie d’un pays. En conséquence, ce règlement protège tous les citoyens français, quelque soit le lieu où sont détenues ses données personnelles.

« toute collecte de données sur le territoire de l’union européenne rendra de facto obligatoire le respect du règlement par le responsable du traitement ou son sous-traitant, et ce, que le traitement des données soit effectué sur le territoire de l’Union Européenne ou non« .

Peut-on échanger des données ?

Le RGPD prend en compte l’importance économique de l’échange des données personnelles. Ainsi il pose le principe du libre flux des données au sein de l’UE :

« Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel« .

Ce qui demeure dans le RGPD

Ce règlement conserve le socle fondateur des législations précédentes de protection des données personnelles :

  • finalité du traitement des données personnelles ;
  • loyauté de leur collecte ;
  • licéité de leur collecte ;
  • protection des données et droits des personnes concernées.

Toutefois, le responsable du traitement n’est plus contraint d’effectuer des démarches déclaratives préalables. En revanche, il doit faire face à une responsabilité accrue en cas d’engagement de faute.

En dernier lieu, cette responsabilité dure tout le temps de la conservation des données.

Le délégué à la protection des données personnelles

Le DPO est le responsable du respect de la réglementation au sein des entités concernées.

« Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, (…) à toutes les questions relatives à la protection des données à caractère personnel« .

L’entité doit vérifier les compétences du DPO désigné au préalable :

« sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données« .

L’entité doit désigner un DPO si :

  • « le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. « 

Mise en place de registres

Bien que cette obligation ne soit pas une nouveauté, les choses évoluent quelque peu avec le RGPD. Aussi, la réglementation impose maintenant que les registres doivent indiquer :

  • nom et coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et données personnelles ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées ;
  • les transferts de données personnelles vers un pays tiers ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données :
  • une description générale des mesures de sécurité techniques et organisationnelles.

Alerte en cas de violation des données personnelles

Le responsable du traitement doit notifier toute violation de données à la CNIL dans les 72 heures. De plus, dans certains cas, il doit également en informer les personnes concernées.

Ainsi, le responsable du traitement doit, dans la mesure du possible :

  • décrire la nature de la violation : catégories et nombre de personnes concernées et catégories et nombre d’enregistrements de données ;
  • communiquer le nom et les coordonnées du responsable ;
  • exposer les conséquences probables de la violation ;
  • définir les mesures prises ou que le responsable propose de prendre, pour y remédier ou en atténuer les conséquences négatives.

Mise en place d’analyse d’impact des traitements

L’article 35-1 du règlement induit la notion d »analyse d’impact » :

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

Pour cela, la CNIL établit une liste des types d’opérations de traitement qui requièrent une analyse d’impact.

Le droit à l’oubli

Toute personne est en droit de demander l’effacement de ses données sous certaines conditions. L’article 17 du règlement pose les conditions suivantes :

  •  » elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  • la personne concernée retire le consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement ;
  • la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  • elles ont fait l’objet d’un traitement illicite ;
  • pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre  ;« 

Obligations  du RGPD concernant les mentions sur les sites Internet

Le RGPD définit des obligations liées à la transparence de l’information. Il définit les données à mentionner :

  • coordonnées du délégué à la protection des données (DPO ou DPD) de l’organisme ;
  • finalité poursuivie par le traitement auquel les données sont destinées ;
  • caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse ;
  • destinataires ou catégories de destinataires des données ;
  • droits d’opposition, d’interrogation, d’accès et de rectification ;
  • le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat n’appartenant pas à l’Union européenne.
  • base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, notamment) ;
  • mention du droit d’introduire une réclamation (plainte) auprès de la CNIL.
  • Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent :
    • informer les internautes de la finalité des cookies ;
    • obtenir leur consentement ;
    • fournir aux internautes un moyen de les refuser.

Vous pouvez consulter certains de ces éléments sur la page des mentions légales.  Toutefois, vous constaterez que tous les éléments ne s’y trouvent pas. En effet, je n’applique que les obligations auxquelles je suis soumis.

Par exemple, ma structure n’exige pas la nomination d’un DPO. De plus je ne transferts pas non plus de données vers l’étranger. En revanche, je vous informe sur le traitement des cookies, dans la mesure où je les utilise dans l’optique de réaliser des statistiques de traitement.

Sanctions

Comme je l’ai évoqué supra, le RGPD durcit les sanctions en cas de manquement aux obligations. En outre, celles-ci s’appliquent durant toute la conservation des données par l’entité.

« Jusqu’à 20 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu »

Pour en savoir plus, vous pouvez consulter le texte officiel sur le site de la CNIL ou me contacter.