Vous entendez parler du RGPD depuis des mois mais vous avez toujours du mal à comprendre de quoi il s’agit ? Vous vous demandez comment il fonctionne et ce qu’il a réellement changé ? Le Règlement Général sur la Protection des Données est en vigueur depuis mai 2018 – et pourtant, il soulève toujours de nombreuses questions.
On fait le point !
Qu’est-ce que le RGPD ?
Le RGPD est le nouveau texte de référence de l’Union européenne au sujet des données personnelles. Grâce à sa mise en place, le traitement des données est encadré de manière égalitaire sur tout le territoire européen.
La précédente règlementation datait de 1995 et était vétuste – pour plusieurs raisons :
- l’explosion du numérique a complètement modifié le rapport que nous avons avec nos données personnelles
- l’apparition de nouveaux usages a changé notre façon de consommer les informations
Une nouvelle réglementation était alors nécessaire pour encadrer ces usages et renforcer la loi relative à la protection des données en ligne.
Quels en sont les objectifs ?
L’objectif du RGPD est d’harmoniser la règlementation européenne en termes de protection des données personnelles, dans l’objectif qu’un seul et unique cadre s’applique au sein des États membres.
De manière concrète, le RGPD a un double objectif :
- enforcer les droits des individus dont les données sont traitées
- responsabiliser les organismes professionnels traitant des données
- traitées de manière licite, loyale et transparente
- collectées à des fins déterminées, explicites et légitimes
- adéquates, pertinentes et limitées
- exactes et tenues à jour
- conservées pendant une durée raisonnable
- traitées de façon à garantir leur protection
- droit d’accès (aux différentes informations et / ou données les concernant). L’entreprise dispose d’un délai d’un mois pour fournir ces données à la personne en ayant fait la demande
- droit de rectification (si les données sont inexactes ou incomplètes)
- droit d’opposition (toute personne physique peut s’opposer à ce qu’une entreprise détienne des informations la concernant)
- droit d’effacement (l’entreprise doit alors supprimer les données personnelles de la personne en ayant fait la demande le plus rapidement possible)
- droit à la limitation du traitement (une personne physique peut faire la demande à une entreprise de ne pas se servir des données qu’elle possède)
- d’un prénom / nom
- d’une photographie
- d’une pièce d’identité
- d’une empreinte
- d’une adresse IP
- d’un numéro de sécurité sociale
- d’un mail
- etc.
- une orientation sexuelle
- une opinion politique
- un engagement syndical
- une appartenance religieuse
- une situation médicale
- etc.
Le RGPD et les entreprises
Depuis mai 2018, les données récoltées par les entreprises doivent être :
Le RGPD s’applique à toute structure publique ou privée effectuant de la collecte et / ou du traitement de données. La règlementation est la même pour toutes les entreprises, quel que soit leur secteur d’activité ou leur taille ; et que celles-ci exercent sur le territoire de l’Union Européenne ou bien qu’elles soient implantées hors UE si leur activité cible directement des résidents européens.
Chaque entreprise doit donc mettre en place les mesures nécessaires pour garantir sa conformité à ces nouvelles règles en vigueur.
Le RGPD et les personnes physiques
Une personne physique dont les données ont été récoltées bénéficie désormais des droits suivants :
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle – ou donnée à caractère personnel – est une information qui concerne une personne physique, et qui permet d’identifier cette personne de manière directe ou indirecte. Il peut s’agir :
Certaines données sont sensibles et leur collecte nécessite au préalable un consentement écrit, clair et explicité – voire une validation de la CNIL dans des cas particuliers. Il s’agit de données touchant à des informations qui peuvent générer des préjugés ou de la discrimination, comme :
Le RGPD et le DPO
Pour encadrer cette nouvelle réglementation, toute structure doit nommer un DPO (Data Privacy Officer ou délégué de protection des données en français) – soit une personne en charge de la protection des données et du respect de la réglementation en vigueur au sein d’une entreprise.
Le délégué a un rôle de coordination : il informe, conseille et assiste les différents acteurs dans la mise en place de la réglementation et le respect des règles de sécurité. Il est l’interlocuteur privilégié de tout organisme effectuant du traitement de données personnelles.
Les grandes entreprises peuvent recruter un DPO et l’embaucher à plein temps. Cela n’est cependant pas nécessaire pour les plus petites entreprises, qui peuvent faire appel à un prestataire externe.
Le Règlement Général sur la Protection des Données est entré en vigueur en mai 2018 – pour autant sa mise en place dans les entreprises nécessite du temps, de l’information et de l’accompagnement.
Commentaires récents