INFORMATION RELATIVE AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) entré en application le 25/05/2018

La collecte et l’utilisation des données personnelles des clients étant à la base de l’activité bancaire, la protection de ces données est primordiale pour BGFIBank Europe. Les banques étant particulièrement concernées par les nouvelles obligations induites par le Règlement Général sur la Protection des Données (RGPD ou GDPR de l’anglais General Data Protection Regulation), et partant du fait que le règlement s’applique au traitement de données à caractère personnel ainsi qu’aux traitements effectués par le responsable du traitement sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE, BGFIBank Europe a été naturellement impacté de ces nouvelles dispositions.

  • Le RGPD, qu’est-ce que c’est ?

Le règlement no 2016/679 dit RGPD (Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018. Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94 du règlement) ; contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables.

Ce règlement s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs : renforcer les droits des personnes ; responsabiliser les acteurs traitant des données et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

  • Qui est concerné par cette nouvelle réglementation ?

Le RGPD s’adressent à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens. À noter que le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité.

  • Quels sont les objectifs du RGPD ?

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ce nouveau règlement régit le traitement des données personnelles.

Par traitement, il faut entendre la collecte, le stockage, l’utilisation, la transmission et la suppression des données, qui peuvent appartenir aux clients, aux employés et/ou aux fournisseurs. Ces données englobent les informations sur les transactions des clients, leurs coordonnées, les copies de leur passeport, etc. Les personnes ont désormais davantage de contrôle sur leurs informations personnelles, peuvent être informés et prendre connaissance des raisons pour lesquelles leurs données sont traitées. Les personnes peuvent également faire valoir leurs droits sur la base de ces informations.

  • Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est décrite par la CNIL comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe 2 types d’identifications : identification directe (par le nom, le prénom, une photographie, etc.) ou l’identification indirecte (par un identifiant, un numéro, une adresse IP, un identifiant de connexion informatique, une adresse postale, une empreinte, un enregistrement vocal, un numéro de sécurité sociale, un mail, etc.).

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, il s’agit de traitement de données. La CNIL donne les actions suivantes à titre d’exemple du traitement des données : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire ou encore la mise à jour d’un fichier de fournisseurs.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés : par exemple, une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

 

Pour en savoir plus :