1. Le cadre législatif et réglementaire
Le 6 janvier 1978, la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés, instaure en France le premier cadre normatif de protection des données. Cette loi, dite Loi Informatique et Libertés, crée une autorité de contrôle spécifique : la Commission Nationale de l’Informatique et des Libertés (CNIL).
Dans les années 90, face au développement de l’informatique et d’internet, l’Union Européenne se saisit du sujet. L’objectif est d’uniformiser le cadre normatif sur le territoire de l’Union.
Le 24 octobre 1995, l’Union Européenne adopte la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Cette directive est transposée en France le 6 août 2004. La Loi n°2004-801 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel modifie la Loi Informatique et Libertés.
L’Union Européenne renforce le cadre normatif déjà établi. Le 27 avril 2016, elle adopte le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abroge la directive 95/46/CE.
Ce Règlement Général sur la Protection des Données (RGPD) entre en application le 25 mai 2018.
Le RGPD a pour but d’uniformiser la protection, l’utilisation et le transfert des données à caractère personnel (ou données personnelles) au sein de l’Union sans qu’il ne soit nécessaire pour les Etats membres de le transposer.
Le champ d’application du RGPD est également plus large. Il s’applique à toutes les entreprises établies ou qui utilisent des moyens de traitement situés sur le territoire de l’Union ou qui traitent des données personnelles rattachées aux résidents de l’Union.
2. La protection des données personnelles en pratique
2.1. Le traitement de données personnelles
Une donnée à caractère personnel ou donnée personnelle est une information disponible sur n’importe quel support. Cette information permet d’identifier une personne directement ou indirectement.
Il peut s’agir du nom et prénom, d’une adresse, d’une date et un lieu de naissance, d’un numéro de téléphone, d’une adresse mail, etc.
Un traitement de données personnelles est une opération ou un ensemble d’opération portant sur des données personnelles. Et ce, quel que soit le procédé utilisé.
Le traitement peut être automatisé (par ordinateur) ou non (traitement papier organisé en fichier).
La collecte, l’enregistrement, la consultation, la transmission, etc. sont des traitements de données personnelles.
2.2. Le traitement de données personnelles en entreprise
Pour la réalisation des traitements de données personnelles, les entreprises doivent respecter les 6 principes du RGPD :
- Les données personnelles doivent être traitées de manière licite, loyale et transparente
- Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes
- Les données personnelles doivent être exactes et si nécessaire, tenues à jour
- Les données personnelles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée nécessaire n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- Les données personnelles doivent être traitées de façon à garantir une sécurité appropriée
Les entreprises doivent documenter la bonne application de ces principes pour chacun de leurs traitements de données. Pour cela, elles mettent en place un registre.
2.3. Droits des personnes
Le RGPD accorde des droits aux personnes dont les données personnelles sont traitées :
- Droit d’accès aux données traitées
- Droit de rectification
- Droit d’opposition
- Droit à la portabilité
- Droit à l’oubli
Les entreprises ont un délai d’un mois pour répondre aux demandes d’exercice de droit des personnes. Mais ce délai peut être allongé de deux mois en cas de demande complexe ou du grand nombre de demandes reçues.
En cas de non-respect du RGPD, les entreprises peuvent être condamnées à une amende. L’amende peut alors atteindre 10 millions d’euros ou 2% de leur chiffre d’affaires mondial.
3. La protection des données à caractère personnel chez SINEQUAE
Chez SINEQUAE, nous attachons une grande importance à la protection de la vie privée et des données personnelles que nous traitons.
Nous avons formalisé notre politique de protection des données personnelles en collaboration avec des prestataires techniques et juridique spécialisés. Pour en savoir plus, rendez-vous sur notre page Politique de confidentialité.
Au quotidien, notre équipe conformité veille au respect de la réglementation RGPD. Cette équipe se compose de deux commissaires de justice associés et d’une juriste d’entreprise certifiée DPO, référente DPO au sein de notre structure. Elle forme l’ensemble des collaborateurs dès leur intégration et organise régulièrement des actions de sensibilisation.