Qu'est ce que le RGPD ?

Demande de conseil
 
Accueil Comprendre le RGPD Les fondamentaux clefs

Ce qu'il faut savoir sur le RGPD : notions clés et définitions

Au sein des 99 articles du Règlement Général sur la Protection des Données (RGPD), certaines notions mal appréhendées, voire inconnues, des citoyens européens sont centrales.
Il est essentiel de maitriser ces notions pour pouvoir comprendre et utiliser le RGPD.
Découvrez notre lexique spécial RGPD pour mieux apréhenser les obligations qui incombent à votre entreprise :

Les données à caractère personnel

L’article 4.1 du RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable.
Par exemple : un nom, une photo, une adresse courriel, un numéro de téléphone, un matricule interne, une adresse IP, un enregistrement vocal, etc …

Lorsqu’il est possible par recoupement de plusieurs informations, ou par l’utilisation de moyens techniques et divers, d’identifier une personne physique, les données sont considérées comme des données à caractère personnel.

Les données sensibles

Le RGPD prévoit une liste des données à caractère personnel considérées comme sensibles, qu’il est en principe interdit de traiter par les organismes (article 9.1 du RGPD).

Sont considérées comme sensibles les données à caractère personnel d’une personne relatives à :

  • L’origine raciale 
  • L’origine ethnique 
  • Les opinions politiques
  • Les convictions religieuses et philosophiques 
  • L’appartenance syndicale 
  • Les données génétiques et biométriques 
  • Les données de santé
  • Les données concernant la vie sexuelle ou l’orientation sexuelle 

Par exception, les organismes publics et privés peuvent traiter des données à caractère personnel sensibles si l’une des conditions suivantes est remplie :

  • La personne concernée a donné son consentement explicite au traitement de ces données 
  • Le traitement est nécessaire aux fins de l’exécution des obligations 

bandeau-cabinet

Le traitements de données à caractère personnel

Le RGPD considère qu’un traitement est : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données à caractère personnel (article 4.2 du RGPD).

La définition est accompagnée d’une liste d’opérations considérées comme des traitements de données à caractère personnel :

  • La collecte 
  • L’enregistrement 
  • L’organisation 
  • La structuration 
  • La conservation 
  • L’adaptation 
  • La modification 
  • L’extraction 
  • La consultation 
  • L’utilisation 
  • La communication par transmission 
  • La diffusion ou toute autre forme de mise à disposition 
  • Le rapprochement ou l’interconnexion 
  • La limitation 
  • L’effacement ou la destruction 

L’exécution d’une ou plusieurs des opérations citées sont soumises au respect des dispositions du RGPD.

Les personnes protégées par le RGPD

Le règlement européen prévoit que les personnes physiques qui peuvent être identifiées directement ou indirectement lors du traitement des données à caractère personnel sont protégées (article 4.2).

Ces personnes bénéficient de plusieurs droits sur leurs données :

  • Le droit d’accès 
  • Le droit de rectification 
  • Le droit à l’effacement 
  • Le droit à la limitation du traitement 
  • Le droit à la portabilité 
  • Le droit d’opposition 
  • Le droit de refuser un traitement basé sur une décision individuelle automatisée, y compris le profilage 

bandeau-mise-conformite

Le responsable de traitement

Le RGPD livre une définition des organismes devant respecter les dispositions du RGPD. Au sens du règlement européen,  sont considérés comme responsable de traitement : les personnes physiques ou morales ainsi que, les autorités publiques (article 4.7 du RGPD).

Le RGPD ne fait aucune distinction entre les structures publiques et privées. L’objectif du texte européen est de responsabiliser l’ensemble des acteurs et de veiller à leur bonne utilisation des données à caractère personnel.

Les seules à pouvoir échapper aux dispositions du RGPD sont les administrations publiques chargées des activités régaliennes (article 2.2 du RGPD), et les personnes physiques réalisant un traitement de données à caractère personnel dans le cadre d’une activité strictement personnel.

Les sous-traitant RGPD

Les personnes physiques ou morales, l’autorité publique, ou tous les autres organismes qui traitent des données à caractère personnel pour le compte du Responsable de traitement sont considérés comme des Sous-traitants (article 4.8 du RGPD).

Le RGPD s’inscrit dans une logique de responsabilisation de tous les acteurs impliqués dans le traitement de données personnelles. Le Responsable de traitement engage sa responsabilité, mais à l’image du domaine de la construction, les Sous-traitants, ou Partenaires qui traitent ces données engagent leur responsabilité vis-à-vis du Responsable de traitement.

Le Sous-traitant se doit de mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement des données à caractère personnel confié par le Responsable de traitement réponde aux exigences du RGPD.

Le délégué à la protection des données

Création du nouveau règlement européen, le DPD, ou Data Protection Officer en anglais (DPO), est l’expert en matière de protection des données à caractère personnel au sein des organismes. 

À l’image du Commissaire aux comptes, le DPD veille au respect des dispositions du RGPD au sein de l’entreprise et fait office de point de contact pour l’autorité de contrôle (article 39 du RGPD)

Découvrez en plus sur le rôle, les missions et les obligations du DPO .

dpo-externalise_1

L'Autorité de Contrôle

Le RGPD a imposé à chaque État membre de l’Union Européenne de charger une autorité publique indépendante de surveiller la bonne application du règlement européen sur son territoire.

Le RGPD laisse le soin aux États de créer et d’organiser son autorité publique indépendante, mais encadre strictement la compétence, les missions et les pouvoirs des autorités de contrôle.

Parmi les missions confiées aux autorités de contrôle sur leur territoire (article 57 du RGPD), on retrouve :

  • Le contrôle de l’application et du respect du règlement
  • La sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement
  • Le conseil au parlement national, au gouvernement et aux autres institutions et organismes au sujet des mesures relatives à la protection des droits et libertés des personnes physiques à l'égard des traitements de leurs données à caractère personnel 
  • La sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent 
  • Le traitement des réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association 

Pour accompagner ses missions, et notamment celles liées aux contrôles du respect de l’application du RGPD, les autorités de contrôle se voient confier d’importants pouvoirs d’enquêtes et de sanctions. 

En France, l’autorité de contrôle compétente est la Commission Nationale de l’Informatique et des Libertés, dit CNIL.

Le consentement RGPD

Notion centrale du RGPD, le consentement des citoyens européens est un enjeu majeur. 

Lorsqu’un traitement de données à caractère personnel mise en œuvre par un organisme est fondé sur le consentement d’une personne protégée par le RGPD, l’organisme Responsable de traitement se doit de mettre en place certaines dispositions lors de la collecte et pour l’exercice des droits des personnes concernées.

Le RGPD définit strictement le consentement des personnes concernées par le traitement de données à caractère personnel comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (article 4.11 du RGPD).

Le consentement au sens du RGPD ajoute aux caractéristiques classiques de celui-ci (libre, spécifique, éclairé et univoque), la mise en œuvre par le Responsable de traitement du respect de la forme attendue. 

Les organismes doivent conserver la preuve de la déclaration, ou de l’acte positif clair, fondant le traitement de données à caractère personnel. Cette preuve permet de démontrer que la personne concernée a bien consenti au traitement de ses données à caractère personnel (article 7.1 du RGPD).

Les citoyens européens ayant donné leur consentement pour un traitement de leurs données à caractère personnel peuvent le retirer à tout moment. Ce retrait ne compromet pas le traitement effectué sur le consentement préalablement donné mais empêche le Responsable de traitement d’envisager de futurs traitements des données à caractère personnel concernées.

Cas particulier : Le consentement des mineurs (article 8 du RGPD)

Le RGPD prévoit que le consentement des mineurs est licite si le mineur est âgé d’au moins 16 ans. 

Lorsque le mineur a moins de 16 ans, le traitement des données à caractère personnel du mineur n’est licite que si le consentement est donné, ou autorisé, par le titulaire de la responsabilité parentale à l’égard du mineur.

Tout comme pour le consentement des majeurs, la preuve du consentement du mineur et de son représentant légal doit pouvoir être rapporté par le Responsable de traitement. 

En France, l’âge légal retenu par la loi informatique et libertés est de 15 ans.

bandeau-cabinet

La sécurité des traitement des données à caractère personnel

Le RGPD impose aux organismes traitant des données à caractère personnel de mettre en œuvre des mesures techniques et organisationnelles appropriées pour veiller à la sécurité du traitement (article 5.1.e du RGPD).

Le Responsable de traitement doit ainsi protéger les données à caractère personnel dont il a la garde contre :

  • Un traitement non autorisé ou illicite 
  • La perte ou la destruction 
  • L’altération 
  • La divulgation non autorisée 
  • Des dégâts d’origine accidentelle 

Les moyens mis en place contre ces risques doivent être proportionnés au traitement effectué par l’organisme. Le traitement de données de santé, considérées comme des données sensibles, ne sera pas soumis aux mêmes exigences de sécurité que le traitement des données d’une personne demandant un devis pour des travaux. 

Le RGPD prévoit une liste des mesures techniques et organisationnelle (article 32 du RGPD) pouvant être mise en place si besoin :

  • La pseudonymisation et le chiffrement des données à caractère personnel 
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement 
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique 
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

La violation de données à caractère personnel

En corrélation directe avec l’obligation de sécurisation des traitements de données à caractère personnel, le RGPD prévoit une définition des violations de données.

Celle-ci est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données (article 4.12 du RGPD).

Lorsque le Responsable de traitement est victime d’une violation de données à caractère personnel des obligations reposent sur lui.