Avomedias
La protection des données personnelles
Le Cabinet Avomedias intervient dans de nombreux domaines relatifs au droit du numérique. Des connaissances pluridisciplinaires qui n’est pas incompatible avec les compétences sectorielles de nos experts. Nos avocats répondent à l’ensemble de vos questions juridiques en lien avec le RGPD et la protection des données personnelles.
Demandez un devis
L’équipe du Cabinet Avomedias répond à vos questions. Exposez-nous votre situation dans le cadre d'un premier rendez-vous afin d'auditer votre dossier et vous soumettre un devis précis.
Comprendre ce qu’est la loi de protection des données personnelles
Un point fort pour la liberté de l’information, le développement des technologies et méthodes de communication est malgré tout une source de menaces pour la vie privée et la protection des données personnelles. En cela, un certain équilibre est à maintenir entre deux impératifs légaux parfois contradictoires. Plus précisément, pour répondre aux évolutions du numérique, l’Union européenne s’est dotée en 2016 d’un nouveau cadre juridique en matière de protection données personnelles. Applicable depuis 2018, cet arsenal vise à renforcer les droits des citoyens et également tend à responsabiliser les acteurs traitant des données duquel ressort naturellement le RGPD (Règlement Général sur la Protection des Données).
Le Cabinet Avomedias intervient dans de nombreux domaines relatifs au droit du numérique. Des connaissances pluridisciplinaires qui n’est pas incompatible avec les compétences sectorielles de nos experts. Nos avocats répondent à l’ensemble de vos questions juridiques en lien avec le RGPD et la protection des données personnelles.
Qu’est-ce qu’une donnée personnelle ?
La loi protection données personnelles a une acception large de la notion de donnée personnelle ayant pour objection un meilleur encadrement des pratiques visant à davantage de collectes.
Comme les définies la législation, il s'agit de toutes informations se rapportant à une personne physique identifiée ou identifiable, directement ou non et ce, par le biais d’un ou plusieurs éléments. En guise d’exemple, l’image, le prénom ou le numéro de téléphone (professionnel ou non) sont des données personnelles.
À comprendre à l’inverse que, les données anonymes ou celles se rapportant à une personne morale ne sont pas considérées comme des données personnelles et donc ne bénéficient pas d’une protection à ce titre. Assurément, ici l’identification d’une personne n’est pas possible.
Par exemple, l’adresse électronique d’une société sans précision quant au dirigeant n’est pas une donnée personnelle.
Les questions fréquentes sur la protection des données personnelles
La législation relative à la protection des données à caractère personnel trouve à s’appliquer lorsqu’un traitement intervient.
Ce dernier est décrit comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou à des ensembles de données à caractère personnel ».
Cela vise une diversité de manipulation quant aux données notamment la collecte, la destruction, l’utilisation, l’effacement. Le procédé utilisé à cette fin peut être informatique (comme le traitement par fichier numérique) ou en format papier. Ainsi, les boites à archives sont susceptibles de constituer un traitement de données personnelles selon la nature du contenu.
Pour illustration, l’entreprise qui réalise des fichiers (numériques ou papiers) sur ses clients (personne physiques) afin de gérer la facturation, la livraison ou les avantages de fidélité réalise en réalité un traitement de données personnelles.
Il est désormais certain que la protection des données personnelles est un droit fondamental qui est garanti pour l’essentiel par le RGPD.
En cela, cette réglementation prévoit des grands principes pour répondre à l’impératif de préservation desdites données :
- Le principe de licéité, loyauté et transparence dans le traitement : il est question entre autres de ne traiter que dans le cadre de ce qui est autorisé sans rechercher à tromper ou à cacher. Le cas échéant, la personne concernée ne pourra pas exercer ses droits.
- Le principe de limitation : le traitement doit donc avoir un but précis et légitime, donc une finalité déterminée.
- Le principe de minimisation : il est simplement nécessaire de recueillir que les informations pertinentes et indispensables à la finalité telle que dressée.
- Le principe d’exactitude des données traitées : de manière presque intuitive à la lecture du postulat, il s’agit simplement de posséder des données correctes et le cas échéant, faire le cas d’une rectification en cas de changement.
- Le principe d’une conservation limitée : il n’est pas possible pour une entreprise de conserver des données personnelles ad vitam aeternam. Néanmoins, le RGPD ne définit pas la durée précise pendant laquelle les données personnelles doivent être conservées. En cela, le responsable doit réaliser une évaluation en prenant compte du but et des particularismes du secteur afin de déterminer une durée de conservation au cas par cas.
- Le principe de sécurité : ce point concerne tantôt la politique de l’établissement que la robustesse des appareils informatiques. En effet, l’entreprise doit limiter l’accès à de telles données notamment au travers une politique d’accessibilité. En outre, des moyens informatiques doivent mettre en œuvre afin de se prémunir contre d’éventuelles cyber-attaques.
Le but de ces principes et de la loi protection des données personnelle est tant d’accompagner les entreprises dans leurs obligations, qu’assurer aux citoyens le respect de leurs droits.
Mettre en pratique la loi protection des données
Qui doit respecter le RGPD ?
La personne chargée du traitement est nommée le responsable du traitement, c’est à lui (ou à son sous-traitant) qu’incombent les obligations pertinentes en la matière.
Il convient de se questionner néanmoins sur le critère géographique précis d’application de cette réglementation d’obédience européenne :
les entreprises étrangères sont-elles concernées ? Les données personnelles recueillent par une entreprise américaine sont-elles protégées ?
Concrètement, le règlement est applicable dans deux circonstances :
- Lorsque le responsable du traitement des données possède un établissement dans un État membre de l’Union Européenne.
Il n’est pas visé simplement l’établissement principal comme le siège de la société, il peut s’agir d’une filiale, d’une succursale ou encore de bureau. En guise d’exemple, une société basée en France livrant des produits en Chine, doit respecter le RGPD quant aux données personnelles de ses clients chinois.
- Lorsque le traitement vise une personne physique située sur le territoire d’un État européen.
Le critère d’application ici n’est pas le lieu d’établissement de l’entreprise mais celui du ciblage. Ainsi, il est indifférent que la société soit établie en Europe du moment où le traitement vise une personne résident sur le sol européen. En illustration, une société basée aux Etats-Unis est tenue de respecter la loi sur la protection des données personnelles si elle livre à des clients allemands.
Comment réaliser un traitement de données personnelles conforme à la réglementation ?
En vigueur depuis quelques années, la question de la conformité n’est pas toujours aisée à mettre en œuvre. Afin de vous prémunir des risques de non-respect de la réglementation, toute entreprise concernée doit être vigilante quant à certains points :
- S’assurer d’avoir correctement informé la personne concernée par le traitement afin de garantir notamment le respect de ses droits ;
- Tenir à jour un registre des traitements réalisés et faire régulièrement le tri ;
- Prouver que les traitements mis en œuvre respectent les règles applicables (via une documentation établie, code de conduite par exemple) ;
- Réaliser une étude d’impact permettant une rétrospective sur les traitements comportant une phase technique et juridique ;
- Désigner un délégué du personnel (DPO, il intervient régulièrement au sein de l’entreprise afin de veiller à la conformité au RGPD des traitements réalisés) ;
- Sécuriser les traitements des données, notamment en mettant en œuvre solutions concrètes comme la mise à jour des logiciels ou précédés de protection ou par le chiffrement de données ;
- Notifier à la personne concernée et aux autorités toute violation de données à caractère personnel.
Quels sont les droits des citoyens sur leurs données personnelles ?
Toute personne concernée par un traitement sur ses données personnelles peut notamment :
- Demander des informations sur le traitement ;
- Obtenir un droit d’accès aux données personnelles traitées ;
- Corriger les données incomplètes, inexactes ou obsolètes ;
- Solliciter l’effacement de données en cas de traitement illégal ou désuet ;
- S’opposer à un traitement sous certaines conditions ou, à tout le moins, suggérer une limitation pour certains cas ;
- Récupérer ses données personnelles, dans un format utilisé et lisible que cela soit pour un usage purement personnel ou pour les transférer à un autre organisme.
Quelle est la portée de la CNIL en la matière ?
La Commission nationale Informatique et libertés (CNIL) est l’interlocuteur unique et d’excellence en matière de données personnelles. Effectivement, chaque territoire possède une autorité indépendante chargée de contrôler la correcte application du droit des données personnelles. Pour mener à bien cet objectif, la CNIL est dotée par exemple de pouvoirs d’enquête et est également en mesure de sanctionner le cas échéant. Au-delà de son caractère répressif, elle constitue une source profuse d’informations pointues et parfaitement intelligibles. Ladite entité se charge en outre de recueillir les plaintes des citoyens en cas d’entraves à l’exercice de leurs droits.
Vision opérationnelle et pragmatique, le Cabinet Avomedias cherche à conférer à sa clientèle un haut niveau d'expertise sans perdre l’objectif d’une stratégie concrète. Nos avocats vous encadrent dans le secteur des nouvelles technologies et des données personnelles.
Nous vous proposons une intervention à chaque étape de votre projet innovant de la vérification de sa conformité, dans sa sécurisation que sa mise en pratique. Concrètement, nous pouvons réaliser avec vous un plan d’action et de gestion des risques, un bilan de conformité, cadrage réglementaire et bien d’autres missions.
Me Steve OUTMEZGUINE
Fondateur du Cabinet Avomedias
Contactez nous
contact@avomedias.law
01 84 14 52 02
Notre adresse
47 Avenue Hoche
75008 Paris
Prendre rendez-vous
Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h
Nous écrire
Pour aller plus loin
Contactez-nous
Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle