Informations générales sur le règlement général de l'UE sur la protection des données

A partir du 25 mai de cette année, le règlement général sur la protection des données (RGPD) sera directement applicable dans tous les Etats membres de l'Union européenne. La législation actuelle en matière de protection des données doit ainsi être harmonisée et remplacée par un cadre juridique européen unique. Toutefois, le RGPD contient également un grand nombre de clauses d'ouverture qui laissent au législateur national une certaine marge de manœuvre quant à la mise en œuvre du règlement.

La loi sur la protection des données du Land de Hesse a été remaniée fin avril 2016 et complétée par la liberté d'information (HDSIG) ; elle réglemente notamment les questions de vidéosurveillance et de protection des données des employés.

Afin de se conformer aux dispositions du RGPD, les établissements d'enseignement supérieur de Hesse, en tant qu'organismes publics, doivent adapter et développer les structures et processus existants en temps utile.

Il ne faut toutefois pas s'attendre à des changements fondamentaux dans le traitement des données au sein de l'établissement d'enseignement supérieur si les prescriptions en matière de protection des données sont respectées jusqu'à présent, mais des prescriptions renforcées en matière de transparence et en particulier d'information des personnes concernées s'ajoutent, qui sont représentées par exemple par la nouvelle déclaration de protection des données de la h_da et les déclarations de protection des données pour les consentements, etc.

Dans les domaines où le traitement des données n'est effectué que dans le cadre des études nécessaires, il convient avant tout de vérifier si le principe de "nécessité" du traitement des données, qui existe déjà, est également respecté après le RGPD (privacy by design et by default).

• L'étendue des obligations d'information et de renseignement envers les étudiants est élargie (art. 13-15 RGPD). Conformément à l'art. 12, al. 1 du RGPD, les personnes concernées (c'est-à-dire ici les étudiants) doivent être informées du traitement de leurs données personnelles de manière "précise, transparente, compréhensible et facilement accessible, dans un langage simple et clair".
  
  
• Les autres droits des personnes concernées sont également étendus par rapport à la législation actuelle. Le droit à la portabilité des données (article 20 du RGPD) est notamment une nouveauté.
  
  
• Le RGPD prévoit des obligations étendues en matière de documentation et de preuve. Cela concerne entre autres la preuve du respect des principes de protection des données (article 5, paragraphe 2 du RGPD), les mesures techniques et organisationnelles nécessaires (article 24 du RGPD) et le recours à des sous-traitants appropriés (article 28 du RGPD). D'autres obligations de documentation découlent de l'article 30 du RGPD (tenue d'un registre de traitement) et de l'article 33 du RGPD (documentation des incidents de protection des données).
  
  
• Les consentements des employés ne sont valables que sous certaines conditions (§ 23 HDSIG).
  
  
• Si un traitement est susceptible de présenter des risques élevés pour les droits et libertés individuels des étudiants, l'établissement d'enseignement supérieur doit désormais effectuer une analyse d'impact relative à la protection des données (article 35 du RGPD). L'analyse d'impact en matière de protection des données remplace l'instrument du contrôle préalable, qui était jusqu'à présent régi par le § 7 de la loi du Land de Hesse sur la protection des données. Elle doit être établie par le responsable ; le ou la délégué(e) à la protection des données n'a plus ici qu'une fonction de conseil. Dans le cadre de l'analyse d'impact relative à la protection des données, il convient d'évaluer, entre autres, la probabilité d'occurrence et la gravité des risques éventuels et d'examiner les mesures à prendre pour limiter ces risques. Si nécessaire, l'établissement d'enseignement supérieur doit consulter au préalable l'autorité de contrôle (art. 36 RGPD).
  
  
• L'article 25 du RGPD réglemente les principes de la "protection des données par la technique et par défaut" (privacy by design and by default). Selon ce principe, l'établissement d'enseignement supérieur doit concevoir ses systèmes informatiques de manière à ce que les principes de l'article 5, paragraphe 1 du RGPD (principes du traitement des données à caractère personnel) soient effectivement mis en œuvre. Cela vaut en particulier pour le principe de minimisation des données. Selon ce principe, seules les données nécessaires à la réalisation de la finalité peuvent être collectées. En outre, les systèmes informatiques doivent être préréglés de manière à ce que seules les données à caractère personnel nécessaires soient traitées.
  
  
• L'instrument du traitement des données de commande demeure (article 28 du RGPD). Toutefois, le rôle du sous-traitant change en ce qui concerne une éventuelle responsabilité propre et l'obligation de payer des amendes. Les contrats existants devraient être examinés le plus rapidement possible afin de déterminer s'ils doivent être adaptés en raison du RGPD.
  
  
• En outre, l'article 82 du RGPD étend la responsabilité civile en cas d'infraction à la protection des données à la réparation des dommages immatériels.
  
  
• Pour la première fois, une obligation de notification et d'information est également introduite pour les organismes publics (art. 33 et suivants du RGPD).

(Information révisée du délégué à la protection des données du Land de Hesse)