Protection de la vie privée – l’Europe à notre aide

Capture d’écran 2016-07-17 à 11.42.26

Le Conseil et la Commission Européenne ont publié, fin mai, un nouveau Règlement Général de Protection des Données à caractère personnel (RGPD). Il sera d’application en mai 2018 pour tous les Etats membres sans devoir être traduit dans des lois nationales. Le RGPD concerne toutes les organisations, quelle que soit leur taille ou leur objet, qui conserve ou traite des données à caractère personnel : les administrations publiques, les entreprises, les indépendants et les associations sans but lucratif.

Votre médecin, votre comptable, votre notaire, votre avocat, l’école de vos enfants, tous sont concernés. Tout autant que nos fournisseurs d’énergie et de services (TV, téléphonie et internet par exemple).

Le RGPD s’applique, quelle que soit la nationalité de l’organisme, si elle collecte ou traite les données sur le territoire de l’Union Européenne ou si elle cible les citoyens de l’Union, où qu’elle soit.

Rappels

Pour simplifier, les Données à Caractère Personnel (DCP) peuvent être divisées en deux catégories :

  • les données ‘normales’ : nom, prénoms, identité des parents, adresse(s), lieu et date de naissance, sexe, photo, numéros de comptes, adresses mail, etc. nous savons déjà qu’avec ça il y a moyen de nous faire du mal ;
  • Les données ‘spéciales’ : concernant la santé, les orientations philosophiques, religieuses, politiques, sexuelles, ainsi que tout ce qui est du même ordre.

Les traitements des DCP peuvent aussi être catégorisés, par exemple :

  • la conservation d’une liste pour nous apporter u service ;
  • la manipulation des DCP pour notre bénéfice (par le médecin, votre banquier, votre avocat, etc.) ;
  • les statistiques et les études pour améliorer la vie en communauté (ce que font les administrations publiques et les instituts de recherche par exemple dans le domaine de la santé) ;
  • la manipulation à des fins commerciales ou mercantiles, en nous considérant comme un ‘client’ potentiel.

Selon la combinaison DCP/Traitement, le RGPD impose des règles spécifiques.

Capture d’écran 2016-07-17 à 11.43.48

Les obligations

Les organismes doivent désigner un Responsable du Traitement et nous en communiquer l’identité et les coordonnées. Il est notre point de contact.

Ils doivent désigner un responsable de la sécurité des données à caractère personnel et, si la nature du traitement, la quantité de données ou la nature des données l’exigent, un délégué (un juriste) à la protection des données.

Les organismes doivent prendre « toutes les mesures techniques et organisationnelles pertinentes » pour protéger l’accès et la préservation des données à caractère personnel en fonction de la nature des informations et du traitement, des risques et de l’état de l’art’ (cela veut dire qu’ils doivent mettre en œuvre des solutions reposant sur les meilleures pratiques du moment).

Les obligations sont reportées au sous-traitant qu’ils contractent pour réaliser tout ou partie du traitement.

Ils doivent signaler à l’autorité de contrôle s’ils traitent des informations ‘spéciales’ (relatives à la santé, aux convictions philosophiques, religieuses ou politiques, au comportement sexuel, etc.).

Ils doivent nous notifier tout incident concernant nos données.

Les amendes auxquelles ils devront faire face sont énormes et il faudra ajouter les dommages et intérêts que nous pourrions obtenir du tribunal.

Et pour les particuliers ?

Chacun de nous voit ses droits confirmés et protégés.

Personne ne peut conserver des informations nous concernant sans notre consentement explicite. Quand nous donnons volontairement des informations, nous accordons ce droit.

Personne ne peut traiter des informations nous concernant sans nous informer clairement 1° de ce qu’il en fait et dans quel but, 2° à qui il les confie ou transfère.
Nous devons être informé des changements et les approuver, faute de quoi le Responsable du Traitement est hors la loi.

Nous avons le droit :

  • de connaître l’identité et les coordonnées de tous les Responsables du Traitement directs et sous-traitants ;
  • de refuser la conservation et le traitement, notre notification doit faire cesser l’activité ;
  • de faire effacer toute information nous concernant une fois l’autorisation retirée (droit à l’oubli) ;
  • de consulter les informations qui nous concernent ;
  • de faire corriger les informations qui ne seraient pas exactes ;
  • de faire retirer les informations qui ne sont pas ou plus pertinentes ;
  • de reprendre les informations nous concernant et les transférer à un autre opérateur (droit de transfert)
  • de porter plainte auprès de l’organisme de contrôle (Commission de Protection de la Vie Privée en Belgique et CNIL en France) si les droits ci-dessous nous sont refusés ou auprès de la police.

Qu’est-ce que cela change ?

Cela nous donne plus d’occasions d’interagir avec le Responsable du Traitement et de ne pas le laisser faire ce qu’il veut sans notre accord explicite.

Cela force tous les organismes à se conformer parce que ne pas le faire leur coûterait bien plus cher que d’enfin protéger nos informations correctement.

 

Mais nous ne devons pas oublier d’être vigilants et ne pas ‘distribuer’ nos DCP à tous vents dans des lais ou sur les réseaux sociaux.

Mais, ça, vous le saviez déjà…

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *