Comprendre le RGPD

Comprendre le Règlement Général sur la Protection des Données

10 questions/réponses pour mieux comprendre le règlement général sur la protection des données.

1. Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) a été adopté par le Parlement européen en 2016. Entré en application le 25 mai 2018, le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

2. Qui est concerné par le RGPD ?

Toute entité publique ou privée manipulant les données personnelles de résidents européens doit se conformer au RGPD qu’il s’agisse d’une entreprise, d’une collectivité ou d’une association, et ce, même installée en dehors de l’Union européenne.

3. Qui veille à l’application du RGPD en France ?

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de référence en France pour :

  • Accompagner la conformité et conseiller 
  • Informer et protéger les droits 
  • Contrôler le respect des dispositions imposées par le cadre réglementaire européen et sanctionner le cas échéant 

4. Quels sont les objectifs de la réforme de la protection des données

  • Renforcer les droits des personnes 
  • Responsabiliser les acteurs traitant de données 
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de contrôle

5. Quels sont les principaux acteurs de la conformité RGPD ?

  • Le DPO : chef d’orchestre de la conformité, le Délégué à la Protection des Données peut être interne, externe ou mutualisé.
  • Le responsable de traitement : la personne morale ou physique qui détermine les finalités et les moyens d’un traitement.
  • La CNIL : l’autorité de régulation en France.

6. Qu’est-ce qu’un traitement de données ?

Un traitement de données personnelles est une opération ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition ou rapprochement.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

7. Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. 

Une personne physique peut être identifiée :

  • Directement (exemple : nom et prénom) ;
  • Indirectement (par un numéro de téléphone, NIR, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • A partir d’une seule donnée (exemple : nom) ;
  • A partir du croisement d’un ensemble de données (exemples : femme  + adresse + date de naissance et membre dans telle association).

Dès lors qu’une entreprise collecte et traite des données à caractère personnel, elle doit mettre en place toutes les mesures techniques et organisationnelles pour garantir la sécurité desdites données.

8. Le RGPD : quelles sont les obligations ?

Le Règlement Général sur la Protection des Données impose :

  • Une transparence parfaite vis-à-vis des personnes dont vous collectez les données quant à l’utilisation de ces dernières.
  • Le respect de la vie privée des personnes concernées.
  • La sécurisation des données via des mesures techniques et organisationnelles appropriées au contexte.
  • Le recueil du consentement libre, spécifique, éclairé et univoque et la preuve de celui-ci lorsque cela est nécessaire.
  • Le respect des droits des personnes concernées dès lors qu’elles l’exercent 
  • La tenue d’un registre des traitements. 
  • Dans certains cas, la désignation d’un DPO. 

L’encadrement des relations contractuelles et transferts.

9. Quelles sont les sanctions encourues ?

Les organisations publiques comme privées peuvent faire l’objet de sanctions en cas de non-respect des dispositions du RGPD.

La CNIL, autorité de contrôle, peut :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données
  • Sanctionner financièrement l’entité.

10. Qu’est-ce qu’une mise en conformité au RGPD ?

La mise en conformité au RGPD peut être redoutée par les entreprises car elle impose dans la plupart des cas un changement radical des habitudes en matière de collecte, traitement et sécurisation des données. Cette démarche est souvent précédée d’une analyse complète de l’organisation et est confortée par le déploiement d’un plan d’action qui vise à remédier aux défaillances et manquements constatés. Une fois ce cap franchi, les organisations doivent veiller au maintien de leur conformité.