Le Règlement Général sur la Protection des Données vise à protéger les consommateurs à l’égard du traitement de leurs données à caractère personnelles.
Cette loi concerne tous les consommateurs et de nombreuses entreprises. Il est important d’y être en conformité pour ne pas risquer d’importantes sanctions.
Nous faisons le point sur ce que le RGPD implique et ses enjeux.
Depuis le 25 Mai 2018, le Règlement Général sur la Protection des Données a permis de répondre aux enjeux suivants :
Avant de voir quels sont les principaux apports du RGPD, voyons d’abord la définition des données à caractère personnel ainsi que la définition du traitement des données à caractère personnel.
Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Ce sont donc les identifiants basiques permettant l’identification des personnes directement ou indirectement. Nom, prénom, adresse e-mail, adresse postale, numéro de téléphone, habitudes de consommation, etc…
Il existe des identifiants avancés tel que :
Il s'agit de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Il peut aussi bien s'agir d'un traitement informatique que papier.
Il peut s’agir par exemples de : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion, etc…
Il concerne toute organisation (privée ou publique), indépendamment du pays où elle est implantée, qui collecte, stocke ou traite des données relatives à des personnes qui résident sur le territoire de l'UE.
Il implique le traitement automatisé ou non d'une partie ou de la totalité de données à caractère personnel, contenues ou appelées à figurer dans un fichier.
Le RGPD s’applique à toute organisation dès lors qu’elle traite de données personnelles de résidents en UE, quel que soit son lieu d’établissement.
L’Union européenne reconnaît pour certains pays un principe d’adéquation, c'est-à-dire qu’elle considère que le régime juridique offre les mêmes garanties que le RGPD localement. Par exemple, le Japon, le Chili, la Nouvelle-Zélande sont concernés par le principe d’adéquation.
En effet, avec le RGPD les sanctions sont encadrées, graduées et renforcées.
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Ces sanctions peuvent être du simple avertissement, en passant par le rappel à l’ordre, ou à la suspension du traitement de données, puis des amendes allant jusqu’à 4% du CA mondial ou 20 Millions d’euros.
Les entreprises ou organisations traitant des données ont l'obligation de communiquer à l’autorité de contrôle et aux personnes concernées les failles de sécurité dans les 72 heures, suite à la constatation de l’incident.
Art 4 (12) : « Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Il y a désormais une obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Le règlement européen étend une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.
Responsabilités du Sous-traitant :
Chaque produit ou service développé, traitant des données personnelles ou permettant d’en traiter, doit garantir dès sa conception et durant toute son utilisation, le plus haut niveau possible de protection des données.
Le consentement préalable doit être donné par un acte positif, clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données.
Le RGPD prévoit que les personnes dont les données à caractère personnel font l’objet d’un traitement, disposent du droit de demander au responsable de traitement de faciliter l’exercice de ses droits : droit d’accès, droit à la rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition et droit de ne pas faire l’objet d’une décision automatique.
La CNIL est l’autorité administrative indépendante qui constitue l’unique guichet des entreprises établies en France.
Il s’agit de la personne physique ou morale qui détermine les finalités et les moyens du traitement. Elle se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. Le responsable de traitement est responsable du respect de ces principes et est en mesure de démontrer que ceux-ci sont respectés.
Ce sont toutes les personnes physiques ou morales (non salariées) distinctes du responsable de traitement qui traite des données et exécute des tâches pour le compte du responsable du traitement.
La traduction française de cette fonction serait "Délégué à la Protection des Données". Il est obligatoire de disposer d’un DPO pour toutes les entreprises disposant de données sur des personnes physiques. À l’exception des PME, en effet elles peuvent ne pas disposer de DPO hormis si elles font preuve d’un traitement massif des données.
Toute personne physique dont les données à caractère personnel sont protégées.
Elles sont les actrices principales et seules propriétaires de ces données personnelles.
J’espère que cette piqûre de rappel des fondamentaux sur le RGPD vous sera utile pour être en conformité avec la loi et pour protéger vos consommateurs.