Tout savoir sur la protection des données personnelles en France

Le RGPD est entré en vigueur le 25 mai 2018. Ce texte vise à harmoniser les pratiques et les règles applicables en matière de protection des données personnelles dans tous les États membres de l’Union européenne, y compris la France.

Quelles données font l’objet d’une protection en France ?

Protection données France

Que ce soit en France ou sur le territoire des autres États membres de l’Union européenne (UE), aucune liste définitive ne permet de définir quelles données sont qualifiées de personnelles et nécessitent une protection spécifique. Néanmoins, l’article 4 du RGPD (Règlement Général sur la Protection des Données) en donne une définition, à savoir : « toute information se rapportant à une personne physique identifiée ou identifiable ». En France, l’article 2 de la loi Informatique et libertés, modifié par la loi du 20 juin 2018 relative à la protection des données personnelles, précise que : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. » Vous pouvez vous renseigner ici sur la politique de protection des données de SFR.

Exemples de données personnelles

Sont considérées comme des données à caractère personnel :

  • Le nom et le prénom ;
  • La date de naissance ;
  • La photographie ;
  • Le numéro d’immatriculation ;
  • Le numéro de téléphone ;
  • La commune de résidence ;
  • L’adresse IP ;
  • L’adresse e-mail ;
  • Les cookies Internet ;
  • Les données de localisation, d’analyse et de profilage.

Les données sensibles

Sauf exception, il est interdit d’utiliser ou de recueillir certaines catégories de données qualifiées de sensibles. Il s’agit des informations relatives :

  • À la race ;
  • À l’origine ethnique ;
  • À l’appartenance syndicale ;
  • Aux opinions politiques ;
  • Aux convictions religieuses ou philosophiques ;
  • Au traitement des données génétiques (informations obtenues grâce à l’analyse des tissus biologiques tels que la salive, le sang, le bulbe de cheveux ou encore le sperme), y compris les données biométriques ;
  • À la santé ;
  • À l’orientation sexuelle ou à la vie sexuelle.

Il faut préciser que les données relatives aux infractions et aux condamnations pénales sont également considérées comme sensibles. Néanmoins, leur traitement est possible si l’une des conditions suivantes est remplie :

  • Opération réalisée sous le contrôle de l’autorité publique ;
  • Traitement autorisé par le droit de l’UE ;
  • Traitement autorisé par la législation de l’État membre.

Les droits et obligations en matière de protection des données en France

Ces droits et obligations sont prévus dans le RGPD. Ce règlement s’applique en cas de traitement des données personnelles par tout organisme privé ou public :

Les droits des individus concernés

Découvrez à travers ce site comment exercer vos droits et garantir ainsi le respect de votre vie privée.

Droit à la transparence et au consentement renforcé

Les données à caractère personnel sont obligatoirement :

  • Traitées de manière loyale, licite et transparente ;
  • Collectées à des fins déterminées et légitimes ;
  • Exactes ;
  • Tenues à jour ;
  • Conservées temporairement et de manière sécurisée.

Le consentement préalable de l’utilisateur, de préférence écrite, est nécessaire dans les cas suivants :

  • Collecte de données sensibles ;
  • Réutilisation des données personnelles à d’autres fins ;
  • Utilisation des informations à des fins de prospection commerciale ;
  • Utilisation de cookies Internet pour certaines finalités.

Droit à l’oubli

Toute personne est en droit de demander :

  • L’effacement de ses données ;
  • Leur déférencement (suppression de certains résultats associés aux noms et prénoms). En outre, elle dispose d’un droit d’accès, de rectification et d’opposition à l’utilisation de ses informations personnelles.

Droit à la portabilité des données

La personne concernée peut :

  • Récupérer ses données personnelles sous une forme réutilisable ;
  • Les transférer à un tiers en les mettant sur les réseaux sociaux par exemple.

Droit à réparation

Toute personne victime d’un dommage moral ou matériel en raison d’une violation au RGPD peut demander réparation auprès du responsable de traitement. Par ailleurs, il est possible d’opter pour une action en groupe en mandatant un organisme actif ou une association œuvrant pour la protection des données afin de :

  • Déposer une plainte ou un recours ;
  • Demander des dommages-intérêts.

Les obligations des entreprises et organismes publics

Sont concernés par les obligations issues du RGDP :

  • Les responsables du traitement, à savoir les entreprises, les associations, les administrations ou encore les collectivités ;
  • Leurs sous-traitants, c’est-à-dire les hébergeurs, les agences de communications, les intégrateurs de logiciels, etc.

Les responsables du traitement sont tenus de :

  • Respecter leur obligation de confidentialité et de sécurité;
  • Informer les personnes concernées ;
  • Effectuer une analyse d’impact et de la présenter à la CNIL si la violation des données comporte un risque élevé ;
  • Nommer un délégué à la protection des données dans certains cas ;
  • Tenir un registre des activités de traitement (uniquement pour les organismes de plus de 250 salariés).

Qui est chargé d’assurer la protection des données ?

L’autorité compétente en matière de protection des données personnelles en France est la CNIL ou Commission nationale de l’informatique et des libertés dispose. À cet effet, cette autorité administrative dispose du pouvoir de contrôler et de sanctionner les organismes concernés.

Les missions de la CNIL

La Commission nationale de l’informatique et des libertés est chargée de :

  • Informer les particuliers et professionnels en menant des actions de communication par voie de presse, sur les réseaux sociaux ou sur son site Internet. La CNIL participe également à des salons, à des conférences ou à des colloques pour former et sensibiliser les personnes et les organismes concernés.
  • Accompagner la mise en conformité des responsables de traitement au RGPD.
  • Donner son avis sur les projets de loi visant à créer un traitement automatisé de données nominatives.
  • Proposer au gouvernement
  • Recevoir des plaintes relatives au commerce, à la réputation en ligne, aux ressources humaines, au crédit et à la banque.
  • Analyser les nouvelles technologies susceptibles de constituer une menace pour la liberté et la vie privée des personnes.

Les pouvoirs de la CNIL

La Commission nationale de l’informatique et des libertés contrôle les responsables de traitement des données personnelles dans les cas suivants :

  • Programme annuel des contrôles ;
  • Contrôle des dispositifs de vidéosurveillance lorsque les caméras filment des lieux ouverts au public comme les centres commerciaux ou les musées ;
  • Signalements et plaintes ;
  • Initiative de la CNIL ;

Suite à la clôture des procédures de contrôle, à des sanctions ou à des mises en demeure. La procédure de contrôle s’effectue sur place, en ligne, sur pièces ou sur convocation. Conformément à l’article 51 de la loi Informatique et libertés, sont passibles de 15 000 € d’amende et d’un an d’emprisonnement :

  • L’opposition au contrôle lorsque la visite a obtenu l’autorisation du JLD (juge des libertés et de la détention) ;
  • La dissimulation, la destruction ou le refus de communiquer des documents ou des renseignements utiles à l’action de CNIL ;
  • La communication des informations « qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée » ;

La non-présentation d’un contenu sous une forme directement accessible. Par ailleurs, la CNIL est habilitée à prononcer des sanctions en fonction des manquements au RGPD :

  • Rappel à l’ordre
  • Suspension des flux de données ;
  • Limitation définitive ou temporaire du traitement des données ;
  • Mise en conformité du traitement, avec ou sans astreinte ;
  • Mesures visant à satisfaire aux demandes d’exercice de leurs droits par les personnes concernées, éventuellement sous astreinte ;
  • Sanction pécuniaire. Ainsi, la CNIL a condamné Facebook à 150 000 € d’amende en raison de nombreux manquements à la loi Informatique et Libertés constatés. La délibération y afférente date du 27 avril 2017.