La gouvernance et ses outils

Le nouveau règlement général de protection des données à caractère personnel (RGPD)

Marie-Laure Van Rillaer - Dernière mise à jour: Novembre 2017
Retour au sommaire du dossier Retour au sommaire       ImprimerImprimer   

L'auteur

Marie-Laure Van Rillaer Marie-Laure Van Rillaer

Conseiller à l'Union des Villes et Communes de Wallonie

A été signé, le 27 avril 2016, le nouveau règlement européen relatif à la protection des données à caractère personnel[1] destiné à remplacer la directive 95/46/CE[2]. La matière de la protection des données à caractère personnel, qui constitue un pan de la protection de la vie privée, est aussi dense que complexe. Les domaines touchés par les données à caractère personnel dans les pouvoirs locaux sont vastes : données à caractère fiscal, données issues du registre national ou de la banque-carrefour de la sécurité sociale, données issues du développement économique local ou encore les données relatives au personnel employé par le pouvoir local quel qu’il soit.

Ce règlement, entré en vigueur le 24 mai 2016, devra être appliqué dans les Etats membres dès le 25 mai 2018. A l’heure d’écrire ces lignes, la manière dont le législateur belge implémentera ce règlement n’est pas encore complètement connue. La matière est appelée à évoluer rapidement et à impacter la manière dont les communes traitent les données dont elles disposent.

Après un rappel des notions élémentaires, nous passerons en revue quelques évolutions réglementaires prochainement applicables en vertu du RGPD.

Au titre de prémisse, il convient de rappeler les éléments suivants qui constituent les notions triangulaires de la réglementation :

  • La notion de donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, tels que le nom ou un numéro d’identification ; la personne concernée est la personne dont on effectue le traitement de données à caractère personnel.
  • La notion de traitement de données à caractère personnel : toute opération ou ensemble d’opérations appliquées à des données, telles que la collecte ou la transmission[3].
  • La notion de responsable de traitement : il s’agit de la personne, physique ou morale, l’autorité publique qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement[4].

1. Evolution de la protection et des droits de la personne concernée

Les données à caractère personnel ne peuvent être utilisées, c’est-à-dire traitées, de manière libre puisqu’elles constituent un aspect de la vie privée des personnes physiques que cette réglementation tend à protéger.

Pour répondre au principe de licéité des traitements des données à caractère personnel, l’une des hypothèses de traitement licite est celle du consentement donné par la personne dont on traite les données à caractère personnel. Ce consentement est défini comme étant la manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement[5].

Le nouveau règlement augmente les droits de la personne dont on traite les données à caractère personnel. L’on dénombre les six droits suivants : droit d’accès, droit à la rectification, droit à l’effacement, droit à la limitation, droit à la portabilité des données et droit de ne pas faire l’objet d’un profilage.

2. Responsabilisation accrue des acteurs et protection des données dès la conception par défaut

Le règlement institue un principe de responsabilité accrue puisque le responsable de traitement se voit désormais contraint non seulement de respecter la réglementation mais aussi de démontrer ce respect[6]. Il doit donc mettre en place une politique proactive de protection des données par la mise en œuvre de mesures techniques et organisationnelles compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques[7].

Le responsable de traitement a, du fait du nouveau règlement, l’obligation de tenir un registre des activités de traitements[8] et ce, en lieu et place de l’obligation de notification préalable des traitements à l’autorité de contrôle[9].

Le règlement prévoit la réalisation d’une étude d’impact « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques »[10]. Cette étude doit également être établie lorsque, notamment, il y a traitement à grande échelle de catégories particulières de données sensibles.

Les responsables de traitement qui sont des autorités publiques ou des organismes publics doivent désigner un délégué à la protection des données en fonction de certaines conditions[11]. Il est, entre autres, chargé d’informer et de conseiller le responsable de traitement, de contrôler le respect de la réglementation et de conseiller le responsable de traitement quant à la réalisation d’une analyse d’impact.

Malgré toutes les mesures qui peuvent être prises par le responsable de traitement[12], nul n’est à l’abri d’une faille de sécurité comme la perte, l’altération ou la divulgation de données. Désormais, avec le règlement, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente[13] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques[14]. Par ailleurs, le règlement prévoit aussi la notification à la personne concernée de la violation de ses données à caractère personnel lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique[15].


[1] Ci-après, le règlement ; règl./CE 2016/679 du Parlement européen et du Conseil du 27.4.2016 rel. à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., 4.5.2016.

[2] Dir. 95/46/CE du Parlement européen et du Conseil du 24.10.1995 rel. à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., 23.11.1995, transposée en droit belge par la loi du 8.12.1992 rel. à la protection de la vie privée à l'égard des traitements de données à caractère personnel, M.B., 18.3.1993.

[3] Règl./CE, art. 4, 2).

[4] Règl./CE, Art. 4.7).

[5] Règl./CE, art. 4.11).

[6] Règl./CE, art. 5.2.

[7] Règl./CE, art. 25.1.

[8] Règl./CE, art. 30.1.

[9] L. 8.12.1992, art. 17 et ss.

[10] Règl./CE, art. 35.1.

[11] Règl./CE, art. 37.1 et 37.4.

[12] Règl./CE, art. 5.2.

[13] En Belgique, la Commission de protection de la vie privée est appelée à devenir l’Autorité de protection des données.

[14] Règl./CE, art. 33.1.

[15] Règl./CE, art. 34.1.

Focus sur la commune

Focus sur la commune - 160 fiches pour une bonne gestion communale

Cette fiche provient de l'ouvrage "Focus sur la commune - 160 fiches pour une bonne gestion communale", véritable outil réalisé en collaboration avec la DG05 pour tout savoir sur la commune, terreau de démocratie, pouvoir le plus proche du citoyen au service duquel, jour apres jour, le mandataire local assume son mandat. Indispensable aux décideurs qui veulent contribuer de façon active à la gestion de leur commune.

» Consultez les différentes fiches ou téléchargez l'ouvrage au format pdf


Facebook Twitter Google Plus Linkedin
 
Ce document, imprimé le 16-10-2018, provient du site de l'Union des Villes et Communes de Wallonie (www.uvcw.be).
Les textes, illustrations, données, bases de données, logiciels, noms, appellations commerciales et noms de domaines, marques et logos sont protégés par des droits de propriété intellectuelles.
Plus d'informations à l'adresse www.uvcw.be/plan-du-site/disclaimer.cfm
© Union des Villes et Communes de Wallonie asbl
Contact  | Liens utiles  |  Données personnelles & cookies  |     ©   2018 Union des Villes et Communes de Wallonie asbl