Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données, dit RGPD, est un règlement européen entré en vigueur le 25 mai 2018.
Le RGPD a pour principal objectif d’harmoniser les règles européennes en matière de protection des données à caractère personnel face à l’évolution des nouvelles technologies.
En droit français, le RGPD s’inscrit dans la continuité des principes initialement présents dans la Loi Informatique et Libertés de 1978, applicable jusqu’alors en matière de protection des données à caractère personnel.
Pourquoi le RGPD a-t-il été instauré ?
Depuis le début des années 2010, la société a basculé dans l’ère du numérique, porteuse aussi bien de progrès que de risques pour les droits et libertés des citoyens européens.
En effet, le numérique a envahi tous les domaines de la vie quotidienne, et les données à caractère personnel sont devenues un enjeu clé pour le marketing, la publicité, ou encore la sécurité.
Face à l’ampleur que prend l’intérêt économique de l’utilisation des données à caractère personnel par les organismes, et dépassées par l’évolution des nouvelles technologies, les anciennes directives européennes sur la protection de la vie privée ne suffisaient plus.
Le besoin d’un cadre européen clair, unifié et assorti de sanctions fortes est alors apparu indispensable : le RGPD est donc la réponse apportée par l’Union européenne face à ce besoin.
Quels sont les nouveaux apports du RGPD ?
Le RGPD est venu compléter les principes déjà consacrés en matière de protection des données à caractère personnel.
Des obligations plus étendues pèsent sur les Responsables du traitement :
- Apparition de nouveaux principes : « Privacy By Design » et « Privacy By Default »
- Obligation de tenir un Registre de traitement
- Obligation de notifier une violation de données à caractère personnel aux personnes concernées dans les meilleurs délais
- Obligation de nommer un Délégué à la protection des données
Les droits des citoyens européens ont été renforcés par le règlement européen :
- Apparition d’un statut particulier pour les mineurs
- Affirmation du principe de transparence
- Droit d’accès et droit de rectification des données à caractère personnel formulés de façon plus détaillés
- Nouveaux droits consacrés : droit à la portabilité des données et droit à l’oubli.
Les contrôles effectués en matière de protection des données à caractère personnel sont plus performants :
- Effet extraterritorial du RGPD : le texte européen va s’appliquer à un Responsable de traitement, qui n’est certes pas établi dans l’Union européenne, mais dont les activités de traitement ciblent des citoyens européens
- Renforcement du statut et des prérogatives des autorités de contrôle compétentes
- Sanctions financières plus lourdes en cas de non-respect du RGPD
Qui est concerné par le RGPD ?
Le RGPD s’adresse avant tout aux citoyens européens. Les citoyens sont de plus en plus sensibles à la protection de leurs données personnelles, et leur principal motif de crainte est la peur du piratage et du vol de leurs données.
Le RGPD vient rassurer les citoyens européens en leur reconnaissant des droits sur leurs données à caractère personnel et leur permet d’exercer un véritable contrôle sur celles-ci.
Le RGPD concerne également les organismes, qu’ils soient publics ou privés dans un souci de responsabiliser l’ensemble des acteurs qui collectent et traitent des données à caractère personnel.
Les seuls organismes à pouvoir échapper aux dispositions du RGPD sont :
- Les administrations publiques chargées des activités régaliennes
- Les personnes physiques réalisant un traitement de données personnelles dans un cadre strictement personnel
Quand s’applique le RGPD ?
Le RGPD s’applique à tout traitement de données à caractère personnel, automatisé ou non, mis en place par un organisme privé ou public dans le cadre de ses activités sur le territoire de l’Union européenne.
Toutefois, un organisme privé ou public qui n’est pas établi sur l’un des territoires de l’Union européenne peut être également soumis aux dispositions du RGPD lorsque ses activités ciblent des citoyens européens.
Quels sont les Principes Clés sur RGPD ?
Le RGPD encadre la collecte, l’utilisation et la conservation des données à caractère personnel par huit principes clés auxquels tout organisme privé ou public doit se conformer :
- Le principe de licéité du traitement des données ;
- Le principe de finalités du traitement des données ;
- Le principe de proportionnalité et de pertinence du traitement des données ;
- Le principe de protection particulière des données sensibles ;
- Le principe d’une durée de conservation limitée des données ;
- Le principe de sécurité du traitement des données ;
- Le principe de transparence du traitement des données ;
- Les droits des personnes concernées.
Quels droits pour les personnes concernées ?
Le RGPD protège les personnes physiques qui peuvent être identifiées directement ou indirectement lors du traitement de leurs données à caractère personnel.
Ces personnes bénéficient de droits sur les données personnelles :
- Le droit d’accès ;
- Le droit de rectification ;
- Le droit à l’effacement ;
- Le droit à la limitation du traitement ;
- Le droit à la portabilité ;
- Le droit d’opposition ;
- Le droit de refuser un traitement basé sur une décision individuelle automatisées, y compris le profilage.
Les personnes concernées se voient donc confiées un véritable pouvoir de contrôle sur l’utilisation qui est faite de leurs données à caractère personnel.
Quelle est l’Autorité de contrôle compétente en France ?
Le RGPD a véritablement transformé le rôle des autorités de contrôle, puisque depuis l’entrée en vigueur du texte européen, elles jouent le rôle de protecteur des données à caractère personnel au sein de leur État membre.
En France, c’est la Commission Nationale de l’Informatique et des Libertés, dite CNIL, qui est chargée de la régulation en matière de protection des données à caractère personnel.
À ce titre, la CNIL se voit confiée différentes missions :
- Le contrôle de l’application et du respect du RGPD
- La sensibilisation des citoyens aux dispositions du RGPD
- Le conseil auprès du Gouvernement et des institutions nationales au sujet des mesures relatives à la protection des données personnelles
- La sensibilisation des Responsables de traitement et des Sous-traitants
- La nomination du Délégué à la protection des données
- Le traitement des réclamations introduites par les personnes concernées
Ce n’est qu’en cas de manquements avérés aux dispositions lors d’un contrôle, la CNIL bénéficie d’un pouvoir de sanctions.
Quelles sont les sanctions prévues par le RGPD ?
Afin de renforcer la protection des citoyens européens quant à l’utilisation de leurs données personnelles, le RGPD met en place des sanctions administratives très fortes envers les organismes :
- Une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ; ou jusqu’à 2% du chiffre d’affaires annuel mondial total de l’entreprise,
- Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ; ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’entreprise.
De quelle manière RGPD Consulting peut-il vous aider ?
Le RGPD a institué un nouvel acteur clé en matière de protection des données à caractère personnel : le Délégué à la protection des données (DPD), ou Data protection officer (DPO) en anglais.
Pour rappel, avant l’entrée en vigueur du RGPD, aucune obligation de désignation d’un Délégué à la protection des données personnelles ne pesait sur les Responsables de traitement.
Mais aujourd’hui, cette désignation est devenue quasiment obligatoire pour l’ensemble des organismes qui traitent des données à caractère personnel.
En tant que Délégué à la protection des données, RGPD Consulting vous sensibilisera par le biais d’un Guide pratique téléchargeable en ligne pour mieux comprendre les rouages et les bonnes pratiques du RGPD.
Si vous êtes un organisme, RGPD Consulting vous accompagnera tout au long de votre mise en conformité RGPD, afin de vous inscrire dans une démarche responsable.