Comprendre le RGPD

Demande de conseil
 
Accueil Comprendre le RGPD

Les fondamentaux du RGPD avec votre cabinet conseil RGPD Consulting

Méconnu du grand public, mais véritable épine dans le pied des organismes privés et publics, le RGPD déchaine les passions depuis son entrée en vigueur. Inutile pour certains, fondamental pour d’autres, le clivage autour du RGPD est important.

RGPD Consulting, cabinet conseil en RGPD vous présente les fondamentaux du RGPD :

Lexique-RGPD Les fondamentaux clefs
obligations-entreprise-rgpd Les obligations RGPD
risques entreprise rgpd Les risques pour l'entreprise
guide-pratique-rgpd Notre guide RGPD

Prendre rendez-vous avec un conseiller

Vous êtes intéressé(e) par

Le RGPD : Un texte européen

Le Règlement Général sur la Protection des Données, dit RGPD, (en anglais General Data Protection Regulation ou GDPR) est un règlement européen entré en vigueur le 25 mai 2018.
Le RGPD a pour objectif d’harmoniser les règles européennes en matière de protection des données.
Il marque une nouvelle étape dans le projet de marché unique numérique européen porté par l’Union européenne depuis 2015.

En droit français, ce nouveau règlement s’inscrit dans la continuité de la loi Informatique et libertés de 1978 qui avait mis en place la législation applicable jusqu’alors.
Le RGPD a pour ambition d’adapter le contexte juridique à l’évolution des technologies et de nos sociétés ainsi que de renforcer les droits des citoyens européens sur leurs données à caractère personnel.

Si de nombreuses dispositions existaient déjà au sein de la législation française, le RGPD vient renforcer celle-ci en offrant un plus grand pouvoir de contrôle aux autorités nationales compétentes. L’autorité nationale du numérique compétente en France est la Commission Nationale de l’Informatique et des Libertés, dit CNIL.

cabinet-rgpd

Le contenu du Réglement Géneral sur la Protection des Données 

Le RGPD est identifié juridiquement comme le règlement (UE) 2016/679, du Parlement européen et du Conseil du 27 avril 2016.

Celui-ci est composé de 11 chapitres eux-mêmes divisés en 99 articles qui ont tous plus ou moins d’importance pour les citoyens européens et les organismes soumis au RGPD. 

- Chapitre I : Dispositions générales
- Chapitre II : Principes
- Chapitre III : Droits de la personne concernée
- Chapitre IV : Responsable du traitement et sous-traitant
- Chapitre V : Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales
- Chapitre VI : Autorités de contrôle indépendantes
- Chapitre VII : Coopération et cohérence
- Chapitre VIII : Voies de recours, responsabilité et sanctions
- Chapitre IX : Dispositions relatives à des situations particulières de traitement
- Chapitre X : Actes délégués et actes d’exécution
- Chapitre XI : Disposition finales

Parmi ces articles, certains ont vocation à être considérés comme fondamentaux et permettent de comprendre les enjeux du RGPD.

Qui est concerné par le RGPD ? 

> Les citoyens européens

Le RGPD a été fait pour les citoyens européens. Ce règlement européen bouleverse le paradigme autour des données à caractère personnel en reconnaissant aux personnes des droits sur leurs données à caractère personnel.

Certains experts du droit vont même plus loin en énonçant que les citoyens européens sont, depuis l’entrée en vigueur du RGPD, propriétaire de leurs données à caractère personnel.

Si le RGPD ne reconnait pas expressément la propriété des citoyens européens sur leurs données à caractère personnel, il leur permet d’exercer un véritable contrôle sur celles-ci en renforçant leurs droits fondamentaux et en simplifiant les procédures juridictionnelles.

Autrefois simples spectateurs, les citoyens européens sont aujourd’hui des acteurs à part entière dans l’utilisation de leurs données à caractère personnel.

> Les organismes publics et privés

Le RGPD ne fait aucune distinction entre les structures publiques et privées. L’objectif du texte européen est de responsabiliser l’ensemble des acteurs et de veiller à la bonne utilisation des données à caractère personnel.

Les seules à pouvoir échapper aux dispositions du RGPD sont les administrations publiques chargées des activités régalienne (article 2.2 du RGPD), et les personnes physiques réalisant un traitement de données dans le cadre d’une activité strictement personnel.

rgpd-bordeaux

Quand s'applique le RGPD ?


Le RGPD a vocation à s’appliquer dès lors qu’un traitement de données à caractère personnel, automatisé ou non, est mis en place par un organisme privé ou public dans le cadre de ses activités sur le territoire de l’Union Européenne.

Le RGPD s’applique donc à toute personne morale traitant des données à caractère personnel au sein de l’Union Européenne.
Le critère territorial n’est pas exclusif, et le législateur européen a prévu que les organismes ne possédant pas d’établissement sur le territoire de l’Union Européenne sont également soumis aux dispositions du RGPD dès lors que leurs activités concernent le traitement des données à caractère personnel de citoyens européens (article 3.2 du RGPD).

L’objectif de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel apparait clairement puisque le RGPD s’applique à tous les organismes ayant leurs activités sur le territoire de l’Union Européenne ou orientant son activité vers les citoyens européens.

Les principes essentiels du RGPD

Le RGPD s’articule autour de deux principes essentiels :

1. La responsabilisation des organismes traitant des données à caractère personnel

Le RGPD suspend la validité des traitements de données à caractère personnel à l’existence d’un fondement licite (article 6 du RGPD).

Le traitement de données à caractère personnel mis en œuvre par un organisme n’est licite que si une des conditions suivantes est remplie :

- La personne concernée a consenti au traitement de ses données à caractère personnel 
- Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie 
- Le traitement est nécessaire au respect d’une obligation légale 
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique 
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Responsable de traitement ou des tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée 

Les organismes ne peuvent traiter des données à caractère personnel que s’ils remplissent une de ces conditions.

Lorsque le traitement est autorisé par le RGPD, les organismes doivent respecter certains principes (article 5 du RGPD).

Au sein de l’organisme, les données à caractère personnel doivent être :

- Traitées de manière licite, loyale et transparente au regard de la personne concernée
- Collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement, d’une manière incompatible avec ces finalités
- Adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités poursuivies
- Exactes, et tenues à jour
- Conservées pour une durée limitée
- Traitées de façon à garantir une sécurité appropriée 

Ces principes fondamentaux marquent le début des obligations auxquelles sont soumis les organismes traitant des données à caractère personnel : 

- Informations des personnes concernées par les collectes de données à caractère personnel
- Etablissement d’un registre des activités de traitement
- Contrôle de la conformité RGPD de ses partenaires et sous-traitant
- Mise en place de mesures de sécurité techniques et organisationnelles

externalisation-dpo_1

La liste des obligations des organismes revêtant le rôle de Responsable de traitement est longue.

Pour être certain de la bonne application de l’ensemble des dispositions du RGPD, les institutions européennes ont inversé le processus probatoire. Il revient aux organismes traitant des données à caractère personnel de démontrer qu’ils respectent les dispositions du RGPD (article 5.2 du RGPD), les Autorités de contrôle nationales sont habilitées sur demande d’un citoyen européen, ou à leurs propres initiatives, à contrôler la bonne application du RGPD.

Le RGPD met donc en place un cadre strict et protecteur des données à caractère personnel des citoyens européens qui responsabilise les organismes traitant des données à caractère personnel. 

2. Les droits des personnes concernées par le traitement de leurs données

Le RGPD garantit aux citoyens européens la possibilité d’introduire une réclamation auprès d’une Autorité de contrôle, dès qu’ils considèrent que le traitement de leurs données à caractère personnel constitue une violation du RGPD (article 77 du RGPD). Cette réclamation ne prive pas de la possibilité d’intenter un recours administratif ou juridictionnel, mais permet de mettre en place un système simple de dénonciation.

Depuis l’entrée en vigueur du RGPD en 2018, le nombre de plaintes reçues par la CNIL, l’Autorité de contrôle française, a explosé passant de 8360 plaintes en 2017 à 11077 plaintes en 2018 et un nombre de 14000 plaintes est annoncé pour l’année 2019 par sa présidente Madame Marie-Laure Denis.

La multiplication de ces recours s’explique par l’élargissement des droits des citoyens européens sur leurs données à caractère personnel (article 15 à 22 du RGPD).

Le RGPD a reconnu pas moins de 7 droits :

- Le droit d’accès
- Le droit de rectification 
- Le droit à l’effacement
- Le droit à la limitation du traitement
- Le droit à la portabilité
- Le droit d’opposition 
- Le droit de refuser un traitement basé sur une décision individuelle automatisée, y compris le profilage 

Les citoyens européens se voient confier un véritable pouvoir de contrôle sur leurs données à caractère personnel

Le rôle des autorités de contrôle

Le RGPD a transformé le rôle des Autorités de contrôle, celles-ci se voient confier le rôle de protecteur des données à caractère personnel. Les Autorités de contrôle doivent accueillir les réclamations des citoyens européens concernant le traitement de leurs données, et peuvent ouvrir des enquêtes. Ces enquêtes sous forme d’audits sur la protection des données peuvent également intervenir sur l’initiative de l’Autorité de contrôle (article 58 du RGPD). 

En France, la CNIL ouvre chaque année plus de 300 enquêtes. Lors de ces enquêtes les organismes doivent mettre à disposition de la CNIL la documentation exigée par le RGPD, et pouvoir démontrer le respect des dispositions du RGPD.

Lorsque l’enquête débouche sur une sanction, le RGPD prévoit que l’amende peut s’élever jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial. L’amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial lorsqu’il existe des circonstances aggravantes (article 83 du RGPD).