RGPD

RGPD ou GDPR : définition

• RGPD (Règlement Général sur la Protection des Données) en français
• GDPR (General Data Protection Regulation) en anglais

Il s’agit d’un règlement du Parlement Européen et du Conseil de l’Union Européenne (règlement UE 2016/679) adopté en 2016 pour une entrée en vigueur en mai 2018.

Il vise à harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union Européenne, notamment au niveau de la sécurisation et la protection des données personnelles que possèdent les entreprises.

Les 3 objectifs majeurs du RGPD sont les suivants

• Renforcer les droits des personnes : notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
• Responsabiliser les acteurs traitant des données : responsables de traitement et sous-traitants
• Crédibiliser la régulation : grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Quelles sont les entreprises concernées par le RGPD ?

Les règles du RGPD s’appliquent à toutes les entreprises privées ou publiques des 28 Etats membres de l’Union européenne et concerne plus précisément les entreprises qui :

• proposent des biens et services sur le marché de l’UE.
• collectent et traitent des données à caractère personnel sur les résidents de l’UE.

Le règlement s’applique également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

Les risques encourus en cas de non conformité

La CNIL rappelle que :

« A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes.

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques. »

Les contrôles se multiplient et les amendes fleurissent

Les 4 grands principes à respecter

• Consentement
  Depuis le 25 mai 2018, le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant doit être explicite et « positif ».
  Si vous traitez des données personnelles, vous devez pouvoir prouver en cas de contrôle de la CNIL (Commission Nationale de l’Informatique et des Libertés) le recueil de ce consentement.

• Transparence
  Cette notion est intimement liée au consentement : c’est la condition d’un consentement explicite et éclairé. En clair, il ne doit y avoir aucune ambiguïté dans les informations communiquées aux individus sur la manière dont leurs données seront traitées.
• Droit des personnes
  Afin de renforcer les droits des personnes physiques, de nouveaux principes ont vu le jour :
  • Un droit d’accès facilité pour tous
  • Un droit à l’oubli pour tous
  • Un droit à la limitation du traitement
  • Un droit à la portabilité des données

  Cela nécessite de s’organiser et de s’outiller.

• Responsabilité
  L’UE a mis en place diverses mesures visant à responsabiliser les entreprises dans le traitement des données à caractère personnel
  • Obligation pour les entreprises de documenter toutes les mesures et procédures en matière de DCP (données à caractère personnel)
  • Un renforcement des mesures de sécurité
  • Le principe de « privacy by design »
  • L’encadrement des sous-traitants
  • La notification en cas de faille de sécurité
  • L’obligation de désigner un Data Protection Officer pour les entreprises qui réalisent un traitement sur des données sensibles ou à grande échelle
  • La suppression de l’obligation de déclaration à la CNIL.