RGPD (Règlement général sur la protection des données)

Droits et obligations consacrés dans le RGPD

Dans la lignée de la directive 95/46/CE, le RGPD, dans son chapitre III, accorde plusieurs droits à la personne concernée par un traitement de données. Ces droits, qui peuvent dans certaines hypothèses être limités, ont pour effet d’imposer au responsable du traitement un certain nombre d’obligations, notamment celles de fournir un éventail d’informations à la personne concernée (art. 13 et suivants) ou de rectifier à sa demande les données inexactes la concernant (art. 16). La personne peut également obtenir – dans certaines circonstances – une limitation du traitement de ses données (art. 18). Le texte renforce par ailleurs le droit des personnes à « ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative » (art. 22). Enfin, la volonté du législateur européen d’accroître la maîtrise par les individus de leurs données l’a conduit à leur conférer, avec le RGPD, deux nouveaux droits : le « droit à l’oubli » – ou « droit à l’effacement » – (art. 17) et le « droit à la portabilité des données » (art. 20). Le premier droit permet à la personne concernée de demander au responsable du traitement de ses données d’effacer celles-ci pour un certain nombre de motifs, le second lui donne la possibilité de recevoir des données qu’elle avait préalablement fournies, dans un format structuré, afin de les transmettre à un autre responsable de traitement, sans que le premier responsable puisse s’y opposer.

Le chapitre IV du RGPD définit plusieurs obligations incombant au responsable du traitement de données – certaines d’entre elles s’imposant également au sous-traitant. Ainsi, le texte instaure une responsabilisation « du responsable du traitement », ce qui constitue sa plus importante innovation en même temps qu’un véritable changement de paradigme. En effet, plutôt que de privilégier un contrôle a priori et l’accomplissement de formalités préalables au traitement de données, le RGPD prévoit que le responsable du traitement doit mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement » (art. 24). Une liberté lui est ainsi octroyée, puisque c’est à lui que revient de mettre en place les mesures grâce auxquelles il se conformera aux règles du RGPD. C’est également à lui d’apporter la preuve qu’il respecte ses obligations. Cette liberté n’est toutefois pas absolue car le responsable du traitement est tenu de prendre certaines dispositions spécifiques. Il doit notamment tenir « un registre des activités de traitement effectuées sous [sa] responsabilité » (art. 30) et désigner, dans certaines hypothèses, un « délégué à la protection des données » qui doit être associé aux opérations de traitement des données (art. 37 et suivants). En outre, le responsable du traitement doit procéder à une analyse d’impact préalable des opérations de traitement envisagées lorsqu’elles sont « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (art. 35). Il convient cependant de souligner qu’en contrepartie de leur responsabilisation les responsables du traitement de données sont soumis à un contrôle a posteriori renforcé de leurs activités. En effet, pour renforcer la protection des personnes concernées par un traitement de données personnelles, le RGPD a élargi les voies de recours qui leur sont offertes et renforcé les sanctions en cas de violation des dispositions qu’il énumère.