Quelles données sont concernées par le RGPD ?

Le RGPD, ou Règlement Général sur la Protection des Données, a une portée vaste. Il définit comme donnée personnelle toute information associée à une personne physique identifiée ou identifiable. Une identification peut être directe, par exemple par le biais du nom et prénom d’une personne, ou indirecte, à travers un identifiant, un numéro de téléphone ou des caractéristiques spécifiques à son identité physique, génétique, psychologique, etc. Une seule donnée, comme un numéro de sécurité sociale ou un ADN, peut suffire à identifier une personne, mais l’identification peut aussi résulter du croisement de plusieurs données. Par conséquent, toutes les entités qui collectent ce type de données sont concernées par le RGPD.

Quels traitements de données sont concernés par le RGPD ?

Le RGPD considère qu’un traitement de données personnelles est n’importe quelle opération effectuée sur ces données. Cela peut inclure la collecte, l’enregistrement, la conservation, l’extraction, la communication, la modification de ces données, etc. En somme, peu importe le procédé utilisé, il sera quasiment toujours soumis au RGPD. De plus, le traitement de données ne se limite pas à l’informatique : les fichiers papier sont aussi concernés par le règlement.

Cependant, détenir un fichier contenant uniquement les coordonnées d’une entreprise, comme son adresse postale, son numéro de téléphone ou un email, ne constitue pas un traitement de données personnelles.

Le RGPD introduit le principe de minimisation des données et l’obligation de tenir à jour la liste des fichiers. Cela signifie que les données collectées doivent être pertinentes en fonction de l’objectif pour lequel elles sont collectées. Ainsi, chaque traitement de données doit avoir un objectif spécifique qui doit être légal et légitime au regard de l’activité professionnelle.

Pour les études d’huissier, les informations pertinentes incluent le nom et prénom, l’adresse, les coordonnées bancaires, etc.

Même si le débiteur n’a pas donné son accord au traitement, celui-ci peut être licite, notamment s’il repose sur les fondements suivants :

– Article 6.1.b) RGPD : Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (par exemple, recouvrement de créances suite à une inexécution d’une obligation de payer du débiteur dans le cadre d’un contrat conclu avec le donneur d’ordre) ;
– Article 6.1.e) RGPD : Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. En effet, l’Huissier de Justice, en tant que dépositaire d’une parcelle d’autorité publique, a la capacité d’imposer aux justiciables contre leur gré ses actes et diligences, tant dans l’exécution forcée que dans la transmission de l’information judiciaire.

Les actions à entreprendre pour se conformer au RGPD

En théorie, les infractions aux obligations imposées par le RGPD peuvent être sanctionnées à partir du 25 mai 2023. Cependant, en pratique, les sanctions ne devraient pas être immédiates, car le RGPD nécessite des éclaircissements sur certains points et une révision des lois nationales.

Il est néanmoins important pour chaque organisme collectant des données de montrer sa bonne foi et les moyens mis en œuvre pour se conformer au RGPD.

La CNIL recommande de procéder à un recensement des fichiers contenant des données personnelles. Pour ce faire, il faut identifier les activités principales qui nécessitent la collecte et le traitement de données. Une fois identifiées, ces activités doivent être inscrites dans un registre, ce qui permet de connaître rapidement les différents traitements, les catégories de données, les objectifs poursuivis, les acteurs qui traitent les données ainsi que les flux de données, en indiquant leur origine et leur destination.

Il sera ensuite nécessaire d’effectuer un contrôle de la gestion des données. Pour ce faire, il conviendra de vérifier que les données stockées sont nécessaires à l’activité, de vérifier si les personnes qui ont accès à ces données sont bien habilitées ou encore si les données ne sont pas conservées au-delà du délai autorisé.

Obligation accrue d’information lors de la collecte

Le RGPD renforce l’obligation d’information et de transparence vis-à-vis des personnes dont les données sont traitées. Ainsi, lors de la collecte, un client ou un justiciable doit être informé de l’objectif de cette collecte de données, du fondement juridique qui l’autorise, des personnes qui auront accès aux données pendant le temps de conservation ou encore des modalités d’exercice de leurs droits.

Le RGPD impose également une obligation d’informer la CNIL en cas de violation de données dans les 72 heures. Cette notification à la CNIL peut être effectuée via le site web de la CNIL. Désormais, chaque responsable de traitement devra respecter le principe d »accountability’ : pour cela, chaque étude d’huissier devra prendre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement des données est conforme au RGPD.

Pour se conformer à la réglementation, il est donc conseillé de mettre en place des règles internes visant à promouvoir la bonne gestion des données et de conserver une trace documentaire de tout traitement effectué.

En cas de non-respect des obligations du RGPD, les sanctions sont très lourdes, allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Consécration de nouveaux droits pour les individus

Le RGPD consacre une série de nouveaux droits pour les personnes dont les données sont collectées.

Avec l’entrée en vigueur du RGPD, chaque personne pourra, sous certaines conditions, invoquer le droit à l’oubli, ce qui obligera le responsable du traitement à effacer les données le plus rapidement possible. Il existe des cas où ce droit à l’effacement sera refusé, notamment si la conservation des données est nécessaire à des fins archivistiques dans l’intérêt public ou encore lorsque la conservation sera nécessaire à l’exercice des droits en justice.

Chaque personne peut également invoquer le droit à la limitation du traitement ou encore le droit à la portabilité des données. Ce dernier droit permet à la personne concernée de récupérer ses données dans un format structuré, couramment utilisé et lisible par une machine.

Le RGPD implique un renforcement des obligations pour tous les organismes, qui s’accompagne d’une augmentation des sanctions applicables en la matière ainsi que d’une meilleure compréhension pour les personnes des droits dont elles disposent concernant leurs données personnelles.