Accueil > Blog > Solutions Data & CDP > Le RGPD, rappels des fondamentaux

Le RGPD, rappels des fondamentaux

Publié le 6 août 2021
Par Ghislain Gridel

Le Règlement Général sur la Protection des Données vise à protéger les consommateurs à l’égard du traitement de leurs données à caractère personnelles. Le RGPD est une loi qui est vaste et qui a de nombreux enjeux.

Elle concerne tous les consommateurs et de nombreuses entreprises. Il est important d’y être en conformité pour ne pas risquer d’importantes sanctions.

Depuis le 25 Mai 2018, le Règlement Général sur la Protection des Données a permis de répondre aux enjeux suivants :

  • Harmoniser les politiques gouvernementales et des pratiques de gestion et de  partage des données personnelles des 27 Etats membres de l’UE.
  • Inclure toute personne physique ou morale qui collecte des données sur les résidents de l’UE.
  • Renforcer les droits des personnes à disposer de leurs données et à limiter leur collecte et leur usage.
  • Responsabiliser les entreprises sur la gestion des données personnelles de leurs clients.
  • Renforcer les pouvoirs des différentes autorités de contrôle européennes à  l’exemple de la CNIL pour la France.



De quoi parle-t-on ?

Avant de voir quels sont les principaux apports du RGPD, voyons d’abord la définition des données à caractère personnel ainsi que la définition du traitement des données à caractère personnel.

 

Données à caractère personnel 

Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Ce sont donc les identifiants basiques permettant l’identification des personnes directement ou indirectement. Nom, prénom, adresse e-mail, adresse postale, numéro de téléphone, habitudes de consommation, etc…

Il existe des identifiants avancés tel que : 

  • les données de localisation (Adresse IP, Données GPS), 
  • les cookies « first and third party » (First party = donnée propriétaire, cookie interne ou primaire ; Third party = cookie tiers), 
  • le n° client, 
  • le numéro d’identification, 
  • les éléments correspondants à l’identité physique, psychique, génétique ou économique.

 

Traitement de données à caractère personnel :

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère  personnel.

Il peut s’agir par exemples de : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion, etc…

 

Le RGPD a une portée universelle

Il concerne :

  • Toute organisation (privée ou publique) sur le territoire de l’Union
  •  dont le traitement a lieu ou pas dans l'UE
  • dès lors qu’elle collecte, stocke ou traite des données relatives à des personnes qui résident  sur le territoire de l’UE. 

Il implique :

  • Le traitement automatisé en tout ou en partie de données à caractère personnel
  • Le traitement non automatisé de données à caractère personnel contenues ou  appelées à figurer dans un fichier

 

Quels sont les grands apports du RGPD ?

 

Une portée géographique étendue

Le RGPD s’applique à toute organisation dès lors qu’elle traite de données personnelles de résidents en UE, quel que soit son lieu d’établissement.

 

Le principe d'adéquation

L’Union européenne reconnaît pour certains pays un principe d’adéquation, c'est-à-dire qu’elle considère que le régime juridique offre les mêmes garanties que le RGPD localement. Par exemple, le Japon, le Chili, la Nouvelle-Zélande sont concernés par le principe d’adéquation. 

 

Des sanctions plus fortes

En effet, avec le RGPD les sanctions sont encadrées, graduées et renforcées.

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Ces sanctions peuvent être du simple avertissement, en passant par le rappel à l’ordre, ou à la suspension du traitement de données, puis des amendes allant jusqu’à 4% du CA mondial ou 20 Millions d’euros.

 

Un signalement des failles de sécurité

Il y a une obligation de communiquer à l’autorité de contrôle et aux personnes concernées les failles de sécurité dans les 72 heures, suite à la constatation de l’incident.

Art 4 (12) : « Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

 

Le principe d’accountability

Obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. 

 

L’extension de la responsabilité

Logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.

 

Responsabilités du Sous-traitant :

  • Obligation pour le sous-traitant d’obtenir l’accord du responsable de traitement avant d’engager un autre prestataire. Les responsables de  traitement doivent veiller à ne travailler qu’avec des sous-traitants qui s’engagent à respecter les dispositions du RGPD.
  • Les sous-traitants doivent également aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements. 

 

Le privacy by design //  privacy by default 

Chaque produit ou service développé, traitant des données personnelles ou permettant d’en traiter, doit garantir dès sa conception et durant toute son utilisation, le plus haut niveau possible de protection des données.

 

Le contrôle des données third-party (consentement)

Le consentement préalable doit être donné par un acte positif, clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données. 

 

Le renforcement des droits des internautes

Le RGPD prévoit que les personnes dont les données à caractère personnel font l’objet d’un traitement, disposent du droit de demander au responsable de traitement de faciliter l’exercice de ses droits : droit d’accès, droit à la rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition et droit de ne pas faire l’objet d’une décision automatique. 

 

Quels sont les grands acteurs ?

La CNIL, Commission nationale de l’informatique et des libertés

La CNIL est l’autorité administrative indépendante qui constitue l’unique guichet des entreprises établies en France.

 

Le responsable de traitement

Il s’agit de la personne physique ou morale qui détermine les finalités et les moyens du traitement. Elle se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. Le responsable de traitement est responsable du respect de ces principes et est en mesure de démontrer que ceux-ci sont respectés.

 

Le sous-traitant (Avanci par exemple)

Ce sont toutes les personnes physiques ou morales (non salariée) distinctes du responsable de traitement qui traite des données et exécute des tâches pour le compte du responsable du traitement.

 

Le DPO = Data Protection Officer = Délégué à la Protection des Données

Il est obligatoire de disposer d’un DPO pour toutes les entreprises disposant de données sur des personnes physiques. À l’exception des PME, en effet elles peuvent ne pas disposer de DPO hormis si elles font preuve d’un traitement massif des données.

 

Les personnes concernées

Toute personne physique dont les données à caractère personnel sont protégées.

Elles sont les actrices principales et seules propriétaires de ces données personnelles.

 

Quels sont les principes clés ?

  • La licéité, la loyauté, la transparence du traitement au regard de la personne concernée
  • La limitation des finalités
  • L’exactitude
  • La minimisation des données 
  • La limitation de la conservation
  • l’intégrité et confidentialité



J’espère que cette piqûre de rappel des fondamentaux sur le RGPD vous sera utile pour être en conformité avec la loi et pour protéger vos consommateurs.

Besoin de savoir si vos données sont exploitables ?

L’audit data quality va vous aider à faire un véritable état des lieux de vos données, à vous assurer qu’elles sont en conformité avec le RGPD et à identifier les évolutions et les actions à mettre en œuvre.

Je demande un Audit Data Quality

Modèles d’attribution : optimiser la mesure de vos actions marketing [+ GUIDE]

Marketeurs, savez-vous quelle campagne, quelle source ou point de ...

Lire la suite

Pour ses 25 ans, l’agence Avanci dévoile sa nouvelle identité !

Nouvelle identité, nouveau site web. 25 ans après sa création, ...

Lire la suite