Le RGPD met en avant quatre grands principes :
- le consentement ;
- la transparence ;
- le droit des personnes ;
- la responsabilité (accountability).
Pour en savoir plus sur la genèse et la philosophie de ce règlement, vous pouvez consulter la fiche RGPD : la genèse et les étapes de son élaboration.
Le consentement
Selon le 32e considérant du
RGPD
, « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».
Cette notion n’est pas nouvelle, puisqu’elle existait déjà dans la loi Informatique et libertés. Mais elle est plus précise et envisagée de manière plus complète et moderne.
Le consentement ne se présume pas, il doit pouvoir se prouver.
Il peut être retiré à tout moment par la personne concernée. Son périmètre doit également pouvoir être modifié au fil du temps.
A noter
Si le consentement est l’un des piliers en matière de protection des données, le recueil du consentement n’a pas à être systématiquement mis en œuvre. Il est également possible de procéder à un traitement dans le cadre de l’exécution d’un contrat ou pour poursuivre un intérêt légitime. Dans chaque cas de figure, vous devrez fixer la base légale appropriée de manière adaptée à la situation et au type de traitement concerné.
La transparence
L’article 12 du RGPD indique que les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages dédiées des sites web.
Le droit des personnes
De nouveaux droits sont apparus dans le règlement comme le droit à l’oubli pour tous les utilisateurs, qui n’existait auparavant qu’en jurisprudence. Par ailleurs, le délai laissé à la collectivité pour supprimer les données à la suite d’une demande en ce sens est réduit à un mois, au lieu de deux (qui était le délai de droit commun de réponse de l’administration).
Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.
Le principe de responsabilité (accountability)
Il s’agit d’un principe cardinal du RGPD : il vise à responsabiliser davantage les intervenants dans le cadre du traitement des données à caractère personnel.
Les collectivités gestionnaires de traitements doivent, par exemple, mettre en place des mesures adéquates pour garantir la sécurité des données qu'elles détiennent.
Elles doivent également appliquer le « privacy by design » (RGPD, art. 25), une notion qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. L’esprit de cette mesure est que la protection des données personnelles est une préoccupation quotidienne, dans le cadre de toute prise de décision. C’est notamment le rôle du délégué à la protection des données – DPD (ou Data Protection Officer – DPO), mais chaque agent de la collectivité devrait avoir en tête cette préoccupation.
La collectivité doit aussi choisir des cocontractants et des sous-traitants qui soient conformes au RGPD (art. 28) ou encore désigner un délégué à la protection des données (art. 37), chargé de contrôler la conformité de l’organisme avec le RGPD via, entre autres, la tenue d’un registre des traitements (art. 30) et la mise en place d’analyses d’impact relatives à la protection des données (art. 35).