Qu'est-ce que le RGPD

Le Règlement européen 2016/679 relatif à la protection des données à caractère personnel ou RGPD est entré en vigueur le 25 mai 2018 dans tous les États membres de l’Union européenne. Le RGPD est complété par la loi du 6 janvier 1978, dite loi Informatique et Libertés, modifiée à plusieurs reprises dont la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, qui a servi à « implémenter » le RGPD en droit national et l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a restructuré la loi Informatique et Libertés pour la rendre plus lisible et procéder à des mises en cohérence. Le RGPD et la loi Informatique et Libertés révisée renforcent les droits des personnes et accroissent les obligations des responsables de traitements.

Ils s’appliquent aux traitements de « données à caractère personnel » des personnes vivantes, c’est-à-dire aux informations se rapportant à des personnes physiques identifiées ou identifiables, directement ou indirectement. Le nouveau cadre juridique de la protection des données à caractère personnel consacre ou renforce plusieurs grands principes :

– le principe de licéité, de loyauté et de transparence. La licéité répond à un certain nombre de conditions alternatives au rang desquelles figure le consentement explicite de la personne.

– le principe de limitation des finalités : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes ».

– le principe de « minimisation des données » : les données doivent être « adéquates », « pertinentes », « limitées à ce qui est nécessaire au regard des finalités ».

– le principe d’exactitude : les données doivent être exactes et à jour.

– le principe de limitation de la conservation : la conservation des données doit être limitée dans le temps.

– le principe de sécurité : les données doivent être traitées de manière à en garantir l’intégrité et la confidentialité.

À ces principes s’ajoute celui de la « responsabilité du responsable du traitement ». Ce principe de responsabilité se substitue au régime des « formalités préalables » (déclarations, autorisations) auprès des autorités de contrôle (la Commission nationale de l’Informatique et des Libertés — CNIL — en France).

Les organismes doivent désormais s’assurer eux-mêmes de la conformité de leurs traitements au nouveau cadre juridique et pouvoir la démontrer. Les organismes doivent aussi désigner un délégué à la protection des données ou data protection officer (DPO), chargé de conseiller l’organisme, mais aussi de contrôler la conformité de ses traitements au RGPD. Le RGPD impose également de tenir un « registre des opérations de traitement ». À ces grands principes — licéité, loyauté, transparence, limitation des finalités, etc. — sont associés des droits pour les personnes concernées par un traitement de données : « droit à l’oubli » ou « droit à l’effacement », droit d’opposition, droit de rectification, droit à la limitation du traitement, droit d’accès. Elles bénéficient aussi d’un « droit à la portabilité des données » qui permet de récupérer les informations fournies sous une forme réutilisable, afin, par exemple, de les transférer à un tiers. Ce cadre général admet des exceptions et dérogations, prévues pour concilier le droit à la protection des données à caractère personnel avec d’autres droits, comme la liberté d’expression ou encore le droit d’accès aux documents officiels, dont les archives, qui bénéficient d’un statut spécifique, dérogatoire au régime de droit commun, statut justifié par la finalité de la conservation des archives (apporter des preuves, documenter l’histoire) cela implique la conservation d’archives intègres.