Le Règlement général sur la protection des données (UE 2016/679) est entré en vigueur le 25 mai 2018, ajoutant de nouveaux éléments et des améliorations significatives au régime de protection des données existant.
La loi sur la protection des données (DPA) de 2018, entrée en vigueur le 23 mai 2018, a mis en œuvre le RGPD, tout en ajoutant des dispositions permettant au droit britannique d'étendre le RGPD à des domaines tels que les services de sécurité et les organismes gouvernementaux, qui n'étaient pas couverts par le RGPD seul.
Après le Brexit (à la suite de la fin de la période de transition du Brexit à compter du 1er janvier 2021), le RGPD britannique est la version conservée du règlement de l'UE en vertu de l'article 3 de l'action de 2018 sur le retrait de l'Union européenne et tel que modifié par le règlement de 2020 sur la protection des données, la vie privée et les communications électroniques (modification, etc.) (sortie de l'UE).
Le RGPD britannique protège les droits des citoyens britanniques en matière de données, tandis que le RGPD européen protège les droits des citoyens de l'UE. Les organisations qui traitent des données concernant à la fois des citoyens britanniques et européens s'appliquent aux deux RGPD.
Les principes et exigences du RGPD de l'UE continuent de s'appliquer au Royaume-Uni dans sa version post-Brexit ; nous examinons ici les principaux domaines d'application et quelques définitions.
Contrôleurs et processeurs
Le RGPD s'applique aux responsables du traitement et aux sous-traitants. Les responsables du traitement indiquent comment et pourquoi les données personnelles sont traitées. Le sous-traitant agit pour le compte du responsable du traitement et effectue le traitement des données. Votre organisation peut être un sous-traitant, un responsable du traitement, ou les deux.
Il existe des obligations légales spécifiques pour les responsables du traitement et les sous-traitants :
- Les responsables du traitement doivent s'assurer spécifiquement que les contrats avec les sous-traitants sont conformes au RGPD ;
- Les responsables du traitement et les sous-traitants ont des obligations distinctes, mais explicites, de tenir des registres des données personnelles et des activités de traitement.
- Les processeurs sont également légalement responsables et redevables de toute violation de sécurité.
Veuillez consulter notre fiche d'information connexe « Sécurité des données – Règlement général sur la protection des données – Garantir la conformité » pour obtenir des informations plus détaillées sur les exigences en matière de documentation.
Principes de protection des données
Les données personnelles seront :
- traités de manière licite, équitable et transparente
- collectés à des fins spécifiques, explicites et légitimes
- adéquat, pertinent et limité à ce qui est nécessaire à la finalité
- Les données doivent être exactes et à jour. Les données inexactes doivent être effacées ou corrigées.
- conservé sous une forme identifiable pendant une durée n'excédant pas celle nécessaire
- traitées en toute sécurité et protégées contre tout traitement non autorisé ou illicite, toute perte accidentelle, destruction ou dommage.
Droits des particuliers en vertu du RGPD
Le droit à l'information
Les personnes ont le droit de savoir comment leurs données personnelles seront traitées. Le RGPD favorise la transparence du traitement des données grâce à une notice d'information qui précise notamment l'identité du responsable du traitement, la source des données, les destinataires de ces données, les transferts de données effectués hors de l'UE et la durée de conservation des données.
Le droit d'accès (demande d'accès aux données)
Les individus ont le droit d'obtenir la confirmation que leurs données sont traitées, d'accéder à leurs données personnelles et à d'autres informations, telles que celles fournies dans une notice de confidentialité.
Le délai maximal autorisé pour traiter une demande d'accès aux données est de 30 jours et le droit de facturer des frais d'accès aux données a été supprimé, sauf si la demande est infondée, excessive ou répétitive.
Le droit à la rectification
Toute personne a le droit de faire rectifier les données personnelles inexactes ou incomplètes. Ce droit s'applique également aux données personnelles partagées ou communiquées à des tiers.
Le droit à l'effacement
Toute personne a le droit de demander l'effacement de ses données personnelles lorsqu'il n'existe aucune raison valable justifiant leur traitement continu. Ceci inclut également les données personnelles partagées ou communiquées à des tiers.
Il est important de noter que des exigences supplémentaires s'appliquent lorsque la demande concerne un enfant.
Il existe certaines exceptions au droit à l'effacement, notamment lorsque les données sont conservées pour se conformer à une obligation légale.
Le droit de restreindre le traitement
Les personnes concernées ont le droit de limiter le traitement de leurs données personnelles. Dans ce cas, les données peuvent être conservées, mais non traitées.
Le droit à la portabilité des données
Les personnes ont le droit d'obtenir et de réutiliser leurs données personnelles auprès de différents services. Ce droit leur permet de déplacer, copier ou transférer leurs données personnelles. Ces données doivent être fournies dans un format structuré et lisible par machine (tel que le format .csv).
Le droit d'objection
Les personnes concernées ont le droit de s'opposer au traitement de leurs données personnelles. Ce traitement doit cesser immédiatement, sauf s'il existe des motifs légitimes et impérieux le justifiant, ou s'il est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.
Droits relatifs à la prise de décision automatisée et au profilage
Les individus ont le droit de s'assurer que des garanties sont mises en place pour les protéger contre le risque de décisions préjudiciables prises sans intervention humaine. Ce droit s'étend également à la protection des données personnelles utilisées à des fins de profilage.
Responsabilité et gouvernance
Le principe de responsabilité exige la mise en place de mesures de gouvernance appropriées pour documenter la conformité. Les organisations doivent donc :
- mettre en œuvre des mesures conformes aux principes de protection des données
- politiques et procédures documentaires relatives au stockage et au traitement des données personnelles
- mettre en œuvre des mesures techniques et organisationnelles pour assurer et démontrer la conformité.
- désigner un délégué à la protection des données lorsque cela est nécessaire.
Veuillez consulter notre fiche d'information connexe « Sécurité des données – Garantir la conformité à la protection des données » pour obtenir des informations plus détaillées.
Licéité du traitement
Il est important de comprendre et de documenter la base légale de votre traitement. Il en existe six :
- Consentement
- obligation contractuelle
- Obligation légale
- Intérêts vitaux
- intérêt public
- Intérêts légitimes.
En matière de consentement, celui-ci doit être spécifique, sans ambiguïté et librement donné. Le consentement positif ne peut être présumé par l'inaction, comme le fait de ne pas cocher une case de désabonnement en ligne, ni par l'utilisation de cases pré-cochées. Les entreprises doivent veiller à consigner la date, l'heure, la méthode et le libellé exact du consentement obtenu. Il est donc important de s'assurer que votre entreprise dispose des moyens nécessaires pour enregistrer et documenter ces informations.
Guide de consentement de l'ICO
L’intérêt légitime vous autorise à traiter les données des personnes concernées, mais uniquement dans les limites de ce qu’elles sont en droit d’attendre. Si vous vous fondez sur des intérêts légitimes, il vous incombe de veiller à ce que :
- il existe une base pour invoquer l'intérêt légitime
- Le traitement des données est limité à cet intérêt et peut être démontré
- Les droits de l'individu ont été pris en compte dans un processus d'équilibre.
- La personne concernée est informée des intérêts légitimes énoncés dans vos politiques de confidentialité.
orientations de l'ICO sur les intérêts légitimes
Notification des infractions
Une violation de données personnelles est la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles, qu'ils soient accidentels ou illégaux.
L'autorité britannique de régulation, l'ICO, met à disposition un outil d'auto-évaluation en ligne permettant de déterminer la gravité d'une violation de données et de décider si elle doit être signalée. Certaines violations doivent être notifiées à l'autorité de surveillance compétente dans un délai de 72 heures. Il est essentiel de procéder à cette auto-évaluation dès la découverte de la violation.
Guide d'évaluation des violations de données personnelles de l'ICO
Transfert de données
Le 28 juin 2021, la Commission européenne a adopté une décision d'adéquation en faveur du Royaume-Uni, ce qui signifie que la plupart des données peuvent continuer à circuler entre le Royaume-Uni et l'UE/EEE sans qu'il soit nécessaire de mettre en place des garanties supplémentaires. (Les données relatives au contrôle de l'immigration font exception.)
Lors du transfert de données vers un pays tiers, des garanties supplémentaires, telles que les clauses contractuelles types ou les règles d'entreprise contraignantes, peuvent s'appliquer. Le premier lien ci-dessous renvoie à l'autorité de régulation britannique, l'ICO (Information Commissioner's Office). Le second lien renvoie à la Commission européenne.
Guide de l'ICO sur les accords de transfert de données
Règles de l'UE relatives aux transferts hors de l'Union européenne
Sources et liens
Page d'accueil de l'ICO pour les organisations
Portail RGPD de l'UE – www.gdpreu.org
