Site icon ACADROIT-Spécialiste en droit du numérique

Règlement générale à la protection des données-RGPD

règlement général sur la protection des données

ACADROIT-RGPD et DPO

Le règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Après quatre années de négociations législatives, ce règlement a été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 27 États membres de l’Union européenne à compter du 25 mai 2018.

Ce règlement remplace la directive sur la protection des données personnelles 95/46/CE adoptée en 1995.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle.

Quel est l’objectif du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. Une réforme de la législation européenne apparaissait nécessaire au regard de sa vétusté, révélée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.

Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne, ainsi que dans la vingtaine d’autres pays de l’Union. De cette façon, la fragmentation juridique sur le Vieux Continent s’en trouve atténuée.

Quel est le champ d’application du RGPD ?

Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens.

À quoi correspondent les données à caractère personnel ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Ce sont toutes les informations se rapportant à une personne physique identifiée ou identifiable.

Exemples :

Que recouvre le traitement des données ?

Par traitement des données, on entend toute opération effectuée sur des données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement des données à caractère personnel.

Exemples :

Quels sont vos droits sur vos données personnelles ?

Vous avez le droit :

Quelles sont les obligations des entreprises ?

Les entreprises ont l’obligation :

Quelles sont les sanctions prévues par le RGPD ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela  étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.

Ailleurs dans le monde

Si le RGPD a fait l’objet de critiques, notamment du côté des États-Unis, pays qui n’a pas la même vision que l’Europe sur la donnée européenne, il semble toutefois que le texte ait une certaine influence sur d’autres législateurs. Ainsi, outre-Atlantique, un projet de loi est en discussion au niveau fédéral (mais le texte devrait toutefois être plus laxiste que celui en vigueur en Europe).

Notons aussi qu’il existe des projets au niveau des États fédérés américains, comme la Californie et New York. Un texte est même passé cet été dans le Golden State, siège d’un grand nombre de géants du web. Cependant, son application n’aura lieu qu’à partir du 1er janvier 2020 ; par ailleurs, elle est moins stricte. Par exemple, l’autorisation préalable des internautes à toute collecte de donnée personnelle n’est pas requise.

Plus inattendu, la Chine, dont le modèle de développement paraît assez distant des standards occidentaux, serait aussi en réflexion sur le sujet. Des indices d’une évolution législative ont été remarqués. Mais il faut garder en tête que le texte gardera naturellement les spécificités du régime chinois.

Autres articles :

Formulaire de contact :

    Quitter la version mobile