Qu'est-ce que le rgpd?
Comprendre le RGPD : Un Aperçu
Découvrez tout ce qu’il faut savoir sur le Règlement Général sur la Protection des Données (RGPD).
Cet article vise à vous fournir une présentation générale du RGPD et à vous familiariser avec ses termes et concepts essentiels.
Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, est le cadre légal européen régissant la protection des données personnelles.
Si vous traitez des données personnelles en provenance de l’Union européenne (UE) ou sur le territoire européen, vous êtes tenu de respecter cette réglementation.
Le rôle du RGPD : Protéger les Données Personnelles
Le RGPD vise principalement à protéger les personnes dont les données sont collectées.
Grâce au règlement européen, ces personnes physiques ont le droit d’accéder à leurs données collectées, de les rectifier ou de les effacer, et de demander leur portabilité.
Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Ils doivent garantir la protection et la sécurité des données personnelles collectées et être en mesure de le démontrer.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une information concernant une personne physique identifiée (article 4 RGPD). Le RGPD offre une définition large des données personnelles pour assurer une protection maximale. Il peut s’agir de toute information, directe ou indirecte, permettant d’identifier une personne physique.
Cela inclut logiquement des éléments tels que le nom ou le prénom. Cependant, cela peut aussi englober des informations comme le numéro de téléphone, le numéro de sécurité sociale, l’ADN ou même simplement l’adresse IP.
Il peut également s’agir d’un ensemble de données permettant d’identifier une personne, telles que la localisation, l’âge ou les comportements d’achat.
CNIL et RGPD : Gardiens de la Protection des Données
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée de superviser le respect du Règlement Général sur la Protection des Données (RGPD). Avant l’entrée en vigueur du RGPD en 2018, la CNIL veillait déjà à la protection des données conformément à la loi Informatique et Libertés du 6 janvier 1978, qui demeure en vigueur et complète le RGPD.
La CNIL joue ainsi un rôle crucial en tant que « gendarme de la protection des données ». Elle dispose du pouvoir de sanctionner les organismes non conformes en cas de manquement, de violation ou de plainte.
Récemment, la CNIL a dévoilé son plan stratégique pour 2022/2024. Par ailleurs, le parlement européen est en train de voter un nouveau texte pour réguler l’intelligence artificielle, l’« IA Act », où la CNIL s’affirme comme l’autorité de régulation par excellence.
À qui le RGPD s’applique-t-il ?
Le RGPD s’adresse à toute entité située dans l’Union européenne ou visant des individus au sein de l’UE.
Cela signifie que toutes les entreprises opérant sur le territoire de l’Union européenne et traitant des données personnelles sont assujetties au RGPD.
Les principes du RGPD s’appliquent :
- Indépendamment de la taille de l’entreprise,
- Sans considération du chiffre d’affaires,
- Que l’entité soit privée ou publique,
- Qu’il s’agisse de transactions B2B ou B2C.
Il est important de noter que le RGPD s’étend également aux sous-traitants, même s’ils ne sont pas établis dans l’UE. Un sous-traitant est défini comme une personne ou une entité (généralement un prestataire de services) qui traite des données à caractère personnel pour le compte et selon les instructions du responsable de traitement.
Quels sont les objectifs du RGPD ?
Les objectifs du RGPD sont les suivants :
- Protéger la vie privée des citoyens européens : Le RGPD vise à garantir que les données personnelles des individus sont traitées de manière transparente, équitable et sécurisée, afin de protéger leur vie privée et leurs droits fondamentaux.
- Éviter tout accès non autorisé aux données personnelles : Le règlement vise à empêcher les violations de données en imposant des mesures de sécurité appropriées pour protéger les informations personnelles contre tout accès, utilisation ou divulgation non autorisés.
- Éviter toute manipulation non conforme aux données personnelles : Le RGPD cherche à garantir que les données personnelles sont traitées de manière légale, éthique et conforme aux principes énoncés dans le règlement.
Pour atteindre ces objectifs, le RGPD établit plusieurs droits fondamentaux pour les individus, notamment :
- Le droit à l’information : Les individus ont le droit d’être informés de manière claire et transparente sur la collecte et l’utilisation de leurs données personnelles, y compris sur les finalités du traitement.
- Le droit d’accès : Les individus ont le droit d’accéder aux données personnelles les concernant détenues par une organisation, ainsi que des informations sur la manière dont ces données sont traitées.
- Le droit d’opposition : Les individus ont le droit de s’opposer à certaines formes de traitement de leurs données personnelles, telles que le marketing direct.
- Le droit de rectification : Les individus ont le droit de demander la correction de leurs données personnelles inexactes ou incomplètes.
- Le droit à l’oubli : Les individus ont le droit de demander la suppression de leurs données personnelles lorsque celles-ci ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, sous réserve de certaines exceptions.
- Le droit à la portabilité : Les individus ont le droit de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
Ces droits permettent aux individus de contrôler leurs données personnelles et de protéger leur vie privée dans l’environnement numérique actuel.
Qu’est-ce que le Délégué à la Protection des Données (DPO) ?
Le Délégué à la Protection des Données, ou Data Protection Officer (DPO), est un acteur clé chargé de veiller à la conformité au RGPD au sein d’une organisation.
Dans certains cas, sa désignation est obligatoire en vertu de l’article 37 du RGPD. Le DPO peut être un employé de l’organisation ou être externe à celle-ci.
La CNIL le décrit comme un « Chef d’orchestre » et il sera l’interlocuteur privilégié en matière de protection des données, conformément à l’article 38 du RGPD.
Les responsabilités du DPO couvrent toutes les questions liées à la protection des données personnelles, comme stipulé dans l’article 39 du RGPD.
Même si la désignation d’un DPO n’est pas obligatoire, il est recommandé au minimum de désigner un responsable chargé de la gestion des données personnelles. Cette personne peut ne pas être un juriste, bien que cela soit souvent le cas. Des formations spécifiques au DPO sont disponibles pour ceux qui n’ont pas de compétences juridiques préalables.
Est-ce que le RGPD est obligatoire ?
Oui, le RGPD est obligatoire dans l’ensemble des 28 états membres de l’UE.
Toute entité européenne qui traite des données personnelles doit se conformer à ce règlement.
De plus, le RGPD s’applique également aux données personnelles des citoyens européens traitées par des entités situées en dehors de l’UE.
Les cinq principes clés du RGPD
L’article 5 du RGPD énonce les grands principes qui doivent guider votre réflexion concernant les données que vous avez déjà collectées ou que vous allez collecter :
Principe de finalité
Vous devez limiter votre collecte des données personnelles à un seul but précis et identifié. Ces données ne doivent pas être utilisées à d’autres fins. Une finalité doit être déterminée par traitement et par base légale.
Principe de minimisation
Vous ne devez utiliser que des données nécessaires à l’atteinte de votre objectif. Les autres données ne doivent pas être enregistrées. Seules les données pertinentes pour atteindre l’objectif doivent être collectées.
Principe de durée limitée
Vous ne devez conserver les données collectées que le temps nécessaire à la réalisation de votre objectif. Chaque traitement doit avoir une durée limitée dans le temps ou prédéterminée par référence à un événement, par exemple, jusqu’à la désinscription à la newsletter ou 5 ans après le départ d’un client.
Principe de sécurité
Vous devez garantir l’intégrité et la confidentialité des données collectées. Par exemple, aucun tiers non autorisé ne doit pouvoir y accéder. La sécurité des données personnelles est un élément très important du RGPD.
Principe des droits des personnes
Vous devez laisser la maîtrise des données collectées aux personnes concernées par le traitement des données. Il faut donc informer les personnes du traitement de leurs données personnelles, notamment par l’intermédiaire de la Politique de confidentialité.
Le règlement général impose également d’y décrire l’ensemble des droits que les personnes ont : information, accès, modification, opposition, suppression etc. Notons également qu’au titre de l’information des personnes, l’entreprise doit également communiquer sur les sous-traitants à qui sont transférées les données personnelles des personnes concernées. C’est un principe important de la protection des données.
Comment s’assurer d’être conforme au RGPD ?
Pour cela, il s’agit de :
- Collecter uniquement les données pertinentes (principe de minimisation)
- Recenser les données stockées et vérifier leur conformité
- Être transparent en informant clairement des données collectées
- Maîtriser l’utilisation des données collectées
- Sécuriser les données collectées et stockées
- Identifier et gérer les risques associés aux traitements des données personnelles
Nous avons consacré un Livre Blanc si vous souhaitez en savoir plus sur la protection des données et comment se mettre en conformité au RGPD.
Par où commencer ?
La CNIL recommande de suivre ces 4 étapes pour commencer :
- Mettez en place un registre des traitements de données. Le but est d’avoir une cartographie exhaustive de traitements que vous réalisez.
- Vérifiez si vos données collectées et stockées sont nécessaires à votre activité.
- Informez des données que vous collectez, permettez leur modification, leur suppression ou leur portabilité.
- Sécurisez vos données. Vous devez réduire au maximum le risque de perte de données. Pour cela, de nouveaux réflexes doivent être mis en place concernant les mots de passe, les mises à jour de logiciel, le chiffrement des données, les sauvegardes, etc.
Quelles sanctions en cas de non-conformité ?
Les sanctions peuvent être assez lourdes :
- Sanctions pénales : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende
- Sanctions administratives : injonction de cesser la violation des données personnelles, avertissement et mise en demeure à se conformer au RGPD, limitation ou suspension temporaire du traitement des données, amende comprise entre 2 et 4% du chiffre d’affaires annuel (jusqu’à 20 millions d’euros)
- Sanctions additionnelles : versement de dommages et intérêts en cas de dommage matériel ou moral ou de déficit d’image, sans oublier l’impact réputationnel d’une telle sanction sur votre entreprise qui peut avoir l’effet d’une double sanction !
Il est donc fortement conseillé de se conformer au RGPD !
