Le rgpd

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Il s’agit des informations personnelles sur lesquelles les entreprises s’appuient pour proposer des produits ou services personnalisés. Ce nouveau texte couvre les données personnelles de l’ensemble des résidents de l’Union européenne.

Origine et date d’entrée en vigueur du RGPD

Le Règlement général sur la protection des données est une réforme de la législation concernant la protection des données en vigueur depuis 1995. La Commission européenne a jugé bon de mettre à jour cette législation au vue des évolutions technologiques et a proposé en 2012 un nouveau règlement portant sur un ensemble de règles uniques pour toutes les données collectées en ligne de l’ensemble des résidents de l’Union européenne.

Les négociations entre le Parlement, le Conseil et la Commission ont débuté en juin 2015 pour tomber sur un accord de principe le 15 décembre 2015. Le paquet législatif a été formellement approuvé par le Parlement dans son ensemble en avril 2016.

Cependant, son application ne s’est pas déroulée au même moment, il a été décidé de la décaler de deux ans, au 25 mai 2018.

Ce laps de temps permet à la fois aux législations nationales et aux entités procédant à la collecte et au traitement des données personnelles de s’y préparer.

Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions.

Les 3 objectifs du RGPD

1. Un texte de loi de référence

L’objectif premier du RGPD est de devenir le nouveau texte de loi de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995. En d’autres termes, le RGPD vise à harmoniser la juridiction européenne et supprimer les différences en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique à l’ensemble des États membres.

1. Renforcer le droit des citoyens

Le deuxième objectif du RGPD est le renforcement du droit des citoyens majeurs et mineurs sur le contrôle de leurs données personnelles, tout en simplifiant la compréhension de l’environnement réglementaire des entreprises.

Tous, même les mineurs, doivent ainsi être clairement informés concernant l’utilisation de leurs données : quelles sont les informations recueillies, la manière dont ces informations sont utilisées, les raisons pour lesquelles elles sont stockées, pour combien de temps ainsi que la marche à suivre pour demander une mise à jour, une correction ou une suppression de ces informations. En effet avec le RGPD tout citoyen européen se voit octroyer un droit d’accès, de rectification, d’opposition, d’effacement et d’oubli portant sur les informations le concernant, collectées par un tiers.

1. Protéger les données personnelles

Le troisième et dernier objectif du RGPD est de favoriser la responsabilité de l’ensemble des acteurs (entreprises, intermédiaires ou sous-traitants) pour instaurer un climat de confiance entre collecteurs et collectés. Tous les acteurs de la donnée doivent être en mesure de prouver leur volonté de construire des sites internet en conformité RGPD et de pouvoir rendre des comptes à tout moment. Concrètement, ils doivent faire preuve de transparence en cartographiant tous les traitements de données personnelles qu’ils organisent et en les consignant dans un registre maintenu à jour.

Qui est concerné par le RGPD ?

Toute entité manipulant des données personnelles concernant des citoyens Européens doit se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Le texte ne s’applique pas uniquement aux organisations établies dans l’Union Européenne, TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc… tous sont concernés par le RGPD dès lors que les données d’un citoyen européen sont collectées et traitées.

Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque de fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte.

Les acteurs de la mise en conformité du RGPD

Pour rappel, le RGPD impose le principe d’accountability - la responsabilité - commune à tous les acteurs d’un traitement de données à caractère personnel, conjointement ou individuellement. Que les acteurs soient internes ou externes, cela ne change en rien le principe de responsabilité, qu’ils créent un traitement ou agissent sur ce traitement.

1. Les personnes concernées

Définition : les personnes dont le Responsable de Traitement (RT) collecte les données et les traite directement par un Sous-Traitant (ST).

Avant le RGPD : leurs données à caractère personnel étaient collectées dans l’intérêt de la réalisation de la mission du RT.

Maintenant : Au centre des traitements, elles doivent être informées de leurs droits, de ce qui sera fait de leurs données. Le RGPD rappelle que les PC sont toujours propriétaires de leurs données, que les RT n’en sont que les garants pour la réalisation de missions bien spécifiques (cf. les règles de licéité d’un traitement dans la fiche n° 4 ( « Comment appliquer le RGPD dans le travail ? » ).

1. DPO ( Délégué à la protection des données)

Art.4 et Section 4 du Chapitre 4 du RGPD

Définition : la personne en charge de la protection des données dans un organisme ; pilote de la mise en conformité. Ses missions consistent à informer, former, conseiller le RT ainsi que de sensibiliser tous les employés de l’organisme. Il précise les obligations à respecter au regard du RGPD, dont il contrôle la bonne application.

Avant le RGPD : le CIL déclarait les traitements avant « utilisation ». Il était sur le mode de la déclaration préalable.

Maintenant : Changement de paradigme ; pas de déclaration avant traitement ; mais des contrôles réguliers par le DPO, mise en place de processus de protection des DP (« privacy by design »).

...