RGPD : présentation

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié sur idroit.co le 14 mai 2018 – Mis à jour le 22/05/2018

Qu’est-ce que le RGPD ?

Le RGPD est un règlement européen : le règlement général sur la protection des données personnelles.

RGPD est un sigle qui désigne le règlement général sur la protection des données personnelles : règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Le texte officiel est publié sur le site eur-lex.europa.eu : + consulter le texte intégral sur le site officiel.

Ce règlement européen est applicable directement dans tous les États membres de l’Union européenne à compter du 25 mai 2018. Il réforme le cadre juridique applicable aux données personnelles. Contrairement à une directive européenne, le règlement européen ne nécessite pas de transposition en droit français. Cependant, plusieurs dispositions du RGPD permettent aux États membres de l’Union européenne de préciser le cadre juridique applicable à la protection des données personnelles, dans une certaine mesure.

En France, un projet de loi a été voté le 14 mai 2018 pour réformer la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : projet de loi relatif à la protection des données personnelles, n° 490, déposé le 13 décembre 2017. Le dossier législatif de l’assemblée nationale retrace le travail parlementaire : + consulter le dossier législatif de l’assemblée nationale. La loi française devrait enter en vigueur le 25 mai 2018, en même temps que le RGPD, étant précisé qu’elle a été déférée au contrôle du conseil constitutionnel.

En pratique, cette loi est importante, car elle précise le cadre juridique applicable en France. Par exemple, l’article 8 du RGPD instaure des règles spécifiques pour le traitement des données personnelles des enfants en ce qui concerne l’offre directe de services de la société de l’information aux enfants. Dans ce cas, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Toutefois, les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans. Or, en France, la loi fixe l’âge à 15 ans.

Champ d’application du RGPD

Champ d’application matériel

Le RGPD s’applique au traitement de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Trois notions sont donc essentielles pour mesurer le champ d’application du RGPD : donnée à caractère personnel, traitement, fichier.

Une donnée à caractère personnel est définie comme toute information se rapportant à une personne physique identifiée ou identifiable (dénommée «personne concernée» par le RGPD). Une personne physique identifiable s’entend d’une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le traitement de données personnelles se définit comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utili­sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Le fichier s’entend de tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

L’article 2 du RGPD exclut expressément de son champ d’application certains traitements de données à caractère personnel. Notamment, le RGPD ne s’applique pas :

– au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique,

– au traitement de données à caractère personnel effectué par un État membre dans le cadre d’activités relevant de la politique étrangère et de sécurité commune (chapitre 2 du titre V du traité sur l’Union européenne),

– au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ; un tel traitement est régi par la directive 2016/680 du parlement européen et du conseil du 27 avril 2016.

Champ d’application territorial

Le RGPD s’applique aux traitements qui sont effectués dans le cadre d’activités sur le territoire de l’Union européenne ou qui concernent des personnes qui se trouvent sur le territoire de l’Union.

L’article 3 du RGPD prévoit deux principaux critères pour son application territoriale.

1 – Le règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union.

2 – Le règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:

– à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes,

– ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Par Franck BEAUDOIN, Avocat

Avocat, directeur de la publication de droit.co et idroit.co.