La CNIL se chargera d'en informer l'autorité chef de file (c'est-à-dire l'autorité nationale de protection des données personnelles du pays dans lequel le professionnel/le réseau social est établi). Cette autre autorité décidera par la suite de traiter elle-même la réclamation ou d'en laisser le soin à la CNIL.
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
La CNIL doit assurer le respect des règles et principes édictés en vue de protéger les libertés individuelles et la vie privée des citoyens.
Dans l'univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
Pour faire valoir ses droits informatique et libertés, il faut d'abord s'adresser directement aux organismes qui détiennent vos données. En cas de difficultés, de réponse insatisfaisante ou d'absence de réponse, vous pouvez saisir la CNIL.
Toute personne physique peut accéder aux données qui la concernent (article 15 du RGPD). La CNIL rappelle les règles à suivre pour répondre correctement à ces demandes. La loi Informatique et Libertés permet à toute personne d'accéder aux données qui la concernent.
Il est obligatoire et directement applicable dans tout État membre. Par conséquent, tous les États membres devront respecter les mêmes procédures et accorder les mêmes droits à leurs ressortissants.
Le RGPD s'inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l'utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs : renforcer les droits des personnes. responsabiliser les acteurs traitant des données.
En pratique, le (co)responsable du traitement peut-être un dirigeant, un directeur, un maire, un président d'association, ... les destinataires peuvent être des collaborateurs, des clients, des fournisseurs, des administrés, des organismes publics, ...
Le RGPD confère également un droit à la portabilité des données, c'est-à-dire de pouvoir les récupérer sous un « format structuré, couramment utilisé et lisible par machine », et de pouvoir les transmettre à une autre organisation « lorsque cela est techniquement possible ».
Le responsable d'un traitement de données à caractère personnel est en principe la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création. En pratique, il s'agit généralement de la personne morale (entreprise, collectivité, etc.)
C'est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement.
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.
Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique. Il est interdit de recueillir et d'utiliser ces données.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
La protection des données par défaut signifie que lorsqu'un système ou un service permet aux individus de choisir la quantité de données personnelles qu'ils souhaitent fournir à leur sujet, les paramètres par défaut doivent être les plus respectueux de la vie privée.
Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion des ressources humaines, etc. Termes simplifiés à privilégier : utilisation de données, système informatique, système d'information (selon le cas).
Des enquêtes peuvent être menées après des procédures de contrôle RGPD fermées, des mise en demeure ou des sanctions. Et notamment pour vérifier les mesures de conformité RGPD prises par l'entreprise.
Le contrôle en ligne : la CNIL effectue des vérifications depuis ses locaux, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d'un tiers.
La citation directe pour violation de la vie privée : lorsque l'auteur de l'atteinte est identifié, il est possible de saisir directement le tribunal correctionnel.