“FIC2018”

Droit à l’oubli et portabilité des données, mesures phares du puzzle RGPD

0

Les entreprises qui collectent et traitent des données personnelles de citoyens européens se verront et ce dans moins de 6 mois, confrontées à l’arrivée du RGDP (Règlement Général sur la protection des données) ou encore GDPR (General Data Protection Régulation), venant remplacer la Directive Européenne de 1995 sur la protection des données jusqu’alors mise en place.

En effet, dès le mois de mai 2018, ce règlement viendra modifier en profondeur le traitement et la conservation des données personnelles, véritable garantie d’une protection plus importante de la vie privée des citoyens européens, en accroissant la responsabilité des responsables de traitement vis-à-vis de celles-ci.

Droits dont disposent les utilisateurs ou encore responsabilité des structures traitant et sous-traitant des données : le RGPD fourmille de nouveautés et obligations. Il est donc de notre devoir de vous accompagner au mieux vers cette transition importante. Concentrons-nous premièrement sur deux pièces phares du puzzle RGPD et des droits de l’utilisateurs : le droit à l’oubli et la portabilité des données.

  • Droit à l’oubli

Premier élément phare de cette nouvelle règlementation, le droit à l’oubli (en anglais « right to be forgotten »), aussi appelé droit à l’effacement des données, accorde aux personnes le droit de faire supprimer leurs données personnelles dans certaines configurations et circonstances. (article 17 de la RGPD). Cependant, la demande de suppression de données d’un utilisateur, pour être validée, doit remplir au moins l’une de ces conditions suivantes :

  • Les données personnelles concernées ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées à l’origine.
  • L’individu retire le consentement qu’il a donné au moment du recueil de ses données.
  • Les structures traitant ou sous-traitant ces données ont violé le RGPD dès le recueil de celles-ci et n’ont pas obtenu le consentement approprié à cette récolte.
  • Des obligations légales exigent que les données personnelles en question soient effacées. Lorsqu’une demande d’effacement est faite et que l’organisation a partagé ces données avec des sous-traitants tiers, l’organisation doit faire tout son possible pour informer le sous-traitant de l’obligation de cette suppression.

Mais attention, le RGPD présente également des conditions dans lesquelles les organisations ont le droit de refuser cette suppression :

  • Si ces données ont été correctement recueillies (avec accord), et que le traitement de ces données fait partie de leur droit à la liberté d’expression et d’information.
  • Si ces données ont été correctement recueillies (avec accord), et que le traitement de ces données sert à accompagner et approfondir une recherche scientifique, historique ou statistique.
  • Si ces données personnelles sont utiles pour des réclamations légales.

Le but de « l’apparition » de cette nouvelle composante au sein du RGPD est donc d’accorder aux personnes concernées le droit d’effacer leurs données personnelles s’il n’y a plus de raison valable de les traiter.

Dans la section « Droits de l’utilisateur » du RGPD, nous retrouvons aussi le terme de « portabilité des données ». S’il est utile de s’intéresser de plus prêt à cette grande nouveauté apportée par le RGPD, c’est qu’elle représente une évolution importante dans la reprise de contrôle des données par son premier propriétaire : en effet, le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format permettant au logiciel d’extraire l’information et d’être lisible par une machine.

  • Portabilité des données

Le droit à la portabilité (article 20 de la RGPD) offre donc aux utilisateurs la possibilité d’obtenir et de réutiliser leurs données personnelles pour répondre à leurs propres besoins, à travers différents services.

En effet, l’idée générale de cette nouvelle règle consiste à matérialiser les données personnelles : elles deviennent un bien à part entière, qui peut faire l’objet d’une appropriation par leur propriétaire (l’utilisateur concerné). Cette dernière peut donc en demander le transfert ou la restitution. Ce droit permet à une personne (source CNIL):

  • de récupérer les données la concernant traitées par un organisme, pour son usage personnel, et de les stocker sur un appareil ou un cloud privé par exemple. Ce droit permet de gérer plus facilement et par soi-même ses données personnelles.
  • de transférer ses données personnelles d’un organisme à un autre. Les données personnelles peuvent ainsi être transmises à un nouvel organisme :
    • soit par la personne elle-même,
    • soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ».

Les organisations doivent répondre à une demande dès que possible, dans le mois qui suit la demande. Si une organisation a plusieurs demandes ou si la demande est complexe, celle-ci disposera alors d’un délai allant jusqu’à deux mois pour s’y conformer.

Ce nouveau droit s’applique si ces trois conditions sont toutes réunies :

  • Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée (données déclarées activement et consciemment ou déclarées de par l’activité de la personne concernée)
  • Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée.
  • L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.

A l’inverse, les données personnelles qui sont dérivées ou calculées à partir des données fournies par la personne concernée par la structure elle-même, qui est donc créatrice de ces nouvelles données, sont exclues du droit à la portabilité, dans la mesure où elles ne sont pas fournies par la personne concernée, mais créées par l’organisme.

La bonne application des politiques et procédures mises en place dans le cadre du Règlement Général de la Protection des Données est essentiel tant en termes d’image qu’en termes financiers pour votre entreprise, comme nous l’avons vu il y a peu sur notre blog: la partie entière consacrée aux droits des utilisateurs en est un élément central, dont vous connaissez maintenant certains secrets.

La dernière ligne droite pour l’application du RGPD est amorcée : n’attendez plus une seconde pour appréhender et maitriser ces nouvelles règles, des formations Itrust peuvent vous accompagner dans cette démarche.

 

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply