Règlement générale à la protection des données-RGPD

règlement général sur la protection des données

Le règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 27 États membres de l’Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles 95/46/CE adoptée en 1995.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle.

Quel est l’objectif du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa vétusté, révélée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.

Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne, ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.

règlement général sur la protection des données-RGPD

Quel est le champ d’application du RGPD ?

Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens.

À quoi correspondent les données à caractère personnel ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

délégué à la protection des données

Ce sont toutes les informations se rapportant à une personne physique identifiée ou identifiable.

Exemples :

  • nom, prénom ;
  • adresse personnelle ;
  • adresse de courriel telle que prénom.nom@entreprise.com ;
  • numéro de carte d’identité ;
  • adresse de protocole internet (IP) ;
  • cookie ;
  • données détenues par un hôpital ou un médecin, qui permettraient d’identifier de manière unique une personne.

Que recouvre le traitement des données ?

Par traitement des données, on entend toute opération effectuée sur des données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement des données à caractère personnel.

Exemples :

  • gestion du personnel et administration des salaires ;
  • consultation d’une base de données de contacts contenant des données à caractère personnel ;
  • envoi de courriels promotionnels ;
  • publication/affichage d’une photo d’une personne sur un site internet ;
  • conservation d’adresses IP ;
  • enregistrement de vidéosurveillance.

Quels sont vos droits sur vos données personnelles ?

Vous avez le droit :

  • de demander des informations sur le traitement de vos données à caractère personnel ;
  • d’obtenir l’accès aux données à caractère personnel détenues à votre sujet ;
  • de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées ;
  • de demander que les données à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite ;
  • de vous opposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière ;
  • de demander la limitation du traitement de vos données à caractère personnel dans des cas précis ;
  • de récupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme ;
  • de demander que les décisions fondées sur un traitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d’exprimer votre avis et de contester lesdites décisions ;
  • en cas de dommage matériel ou moral lié à la violation du RGPD, vous disposez d’un droit de recours. Vous pouvez déposer une réclamation auprès de la Commission nationale Informatique et libertés (CNIL) ou introduire une action collective en faisant notamment appel aux associations nationales agréées de défense des consommateurs.
règlement général sur la protection des données

Quelles sont les obligations des entreprises ?

Les entreprises ont l’obligation :

  • de respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement, dès la conception de tout projet ;
  • de recenser les traitements qu’elles mettent en œuvre dans un registre des traitements ;
  • d’être en capacité de prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l’adhésion à des codes de conduite et l’obtention d’une certification ;
  • de notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées ;
  • de réaliser une étude d’impact sur la vie privée pour les traitements à risque ;
  • de désigner un délégué à la protection des données pour les organismes publics et les entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore des organismes qui traitent des données dites « sensibles » ou relatives à des condamnations pénales et infractions ;
  • de s’assurer que les personnes sont informées, de manière claire et concise, de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles ;
  • de permettre aux personnes dont les données sont traitées d’exercer leurs droits (à l’oubli, à la portabilité des données, de limitation… etc.).
rgpd-dpo

Quelles sont les sanctions prévues par le RGPD ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela  étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.

Ailleurs dans le monde

Si le RGPD a fait l’objet de critiques, notamment du côté des États-Unis, pays qui n’a pas la même vision que l’Europe sur la donnée européenne, il semble toutefois que le texte ait une certaine influence sur d’autres législateurs. Ainsi, outre-Atlantique, un projet de loi est en discussion au niveau fédéral (mais le texte devrait toutefois être plus laxiste que celui en vigueur en Europe).

Notons aussi qu’il existe des projets au niveau des États fédérés américains, comme la Californie et New York. Un texte est même passé cet été dans le Golden State, siège d’un grand nombre de géants du web. Cependant, son application n’aura lieu qu’à partir du 1er janvier 2020 ; par ailleurs, elle est moins stricte. Par exemple, l’autorisation préalable des internautes à toute collecte de donnée personnelle n’est pas requise.

Plus inattendu, la Chine, dont le modèle de développement paraît assez distant des standards occidentaux, serait aussi en réflexion sur le sujet. Des indices d’une évolution législative ont été remarqués. Mais il faut garder en tête que le texte gardera naturellement les spécificités du régime chinois.

Autres articles :

Formulaire de contact :