Le RGPD : définition et mission
Le RGPD est le règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Son objectif est d’harmoniser les règles de protection des données à travers l’Union européenne, tout en garantissant aux individus un meilleur contrôle de leurs données personnelles. Pour tout savoir sur le règlement européen et ses dispositions, rendez-vous sur le site pia rgpd.
Qu’est-ce qu’une donnée personnelle ?
Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable. Cela inclut, sans s’y limiter :
- les noms ;
- adresses ;
- adresses électroniques ;
- photos ;
- adresses IP.
Qu’est-ce que la libre circulation des données à caractère personnel ?
La libre circulation des données personnelles est la capacité des individus à transférer librement leurs données personnelles d’un pays à l’autre au sein de l’Union européenne.
Qu’est-ce qu’une donnée sensible ?
Les données sensibles constituent une catégorie spéciale de données personnelles qui nécessitent une protection supplémentaire. Cela inclut, sans s’y limiter les informations sur :
- l’origine raciale ou ethnique d’une personne ses opinions politiques ;
- ses croyances religieuses ou philosophiques ;
- son appartenance syndicale ;
- ses données génétiques ;
- ses données biométriques ;
- ses données de santé.
Des sanctions encadrées, graduées et renforcées
Le RGPD prévoit une série de sanctions en cas de non-respect de ses dispositions, notamment :
- des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise ;
- la suspension des activités de traitement des données ;
- l’interdiction de certaines activités de traitement de données.
Ces sanctions sont graduées et adaptées en fonction de la gravité et de la durée de l’infraction, du caractère intentionnel ou négligent de l’infraction, et des mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le préjudice subi par les personnes.
Droit à l’oubli
Le droit à l’oubli est le droit des personnes de voir leurs données à caractère personnel effacées lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, lorsqu’elles retirent leur consentement ou lorsqu’il n’y a pas d’autre motif légal pour traitement. Ce droit n’est pas absolu, et des exceptions s’appliquent, notamment lorsque le traitement des données est nécessaire à l’exercice du droit à la liberté d’expression ou au respect d’une obligation légale.
Portabilité des données
La portabilité des données est le droit des personnes de recevoir leurs données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine, et de voir ces données transférées sans entrave à un autre responsable du traitement. Ce droit ne s’applique que dans certaines circonstances, par exemple lorsque le traitement des données est fondé sur le consentement ou sur un contrat, et lorsque le traitement des données est effectué par des moyens automatisés.
Protection de la vie privée dès la conception et par défaut
Le respect de la vie privée dès la conception exige des responsables du traitement des données qu’ils prennent en compte les considérations relatives au respect de la vie privée à chaque étape de leur travail, de la planification à du développement au déploiement. Le respect de la vie privée par défaut exige des responsables du traitement des données qu’ils veillent à ce que leurs produits et services soient configurés de manière à ce que seule la quantité minimale de données personnelles nécessaires soit traitée.
Minimisation des données
La minimisation des données est le principe selon lequel les responsables du traitement ne doivent collecter et traiter que le minimum de données personnelles nécessaires aux fins pour lesquelles elles sont traitées. Ce principe s’applique quelle que soit la base juridique du traitement et exige que les responsables du traitement prennent des mesures pour s’assurer que les données personnelles sont exactes, à jour et supprimées lorsqu’elles ne sont plus nécessaires.
Sécurité des données à caractère personnel
Le RGPD exige que les responsables du traitement prennent des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou non autorisée, la perte, l’altération ou l’accès non autorisé.
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute entreprise qui traite les données personnelles des individus dans l’UE, que le traitement ait lieu dans l’UE ou non. Il s’applique également aux entreprises situées en dehors de l’UE qui proposent des biens ou des services à des individus dans l’UE.
Les 4 principes clés du RGPD et les mesures qui en découlent
Les dispositions du RGPD s’articulent autour de 4 principes clés :
- le consentement : en vertu du RGPD, les entreprises doivent obtenir le consentement librement donné, spécifique, informé et sans ambiguïté des personnes avant de traiter leurs données personnelles ;
- la transparence : les responsables du traitement des données fournissent aux individus des informations claires et concises sur leurs droits et le traitement de leurs données personnelles. ;
- le droit des personnes : le règlement donne aux individus le droit d’accéder à leurs données personnelles, le droit de rectifier les données inexactes, le droit d’effacer les données qui ne sont plus nécessaires et le droit de s’opposer au traitement qui est disproportionné ou inutile.;
- la responsabilité (accountability) : le RGPD exige que les responsables du traitement des données assument la responsabilité du traitement des données personnelles et soient en mesure de démontrer leur conformité au règlement.
Les objectifs du RGPD
Les trois objectifs du RGPD visent à :
- renforcer les droits des individus ;
- l’introduction de nouvelles obligations pour les entreprises ;
- la création de nouveaux pouvoirs d’exécution pour les autorités de surveillance.
Renforcement des droits des individus
Le RGPD renforce et clarifie les droits des individus en ce qui concerne leurs données personnelles. Il s’agit notamment des droits suivants :
- le droit d’être informé du traitement de leurs données personnelles ;
- le droit d’accès à leurs données personnelles ;
- le droit de rectifier des données inexactes ;
- le droit d’effacer les données qui ne sont plus nécessaires ;
- le droit de s’opposer à un traitement disproportionné ou inutile.
Introduction de nouvelles obligations pour les organisations
Le RGPD impose de nouvelles obligations aux entreprises dans plusieurs domaines, notamment :
- la nécessité d’obtenir le consentement des personnes avant de traiter leurs données personnelles ;
- l’obligation de fournir des informations claires et concises sur le traitement des données personnelles ;
- la nécessité de prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou non autorisée, la perte, l’altération ou l’accès non autorisé.
Création de nouveaux pouvoirs d’exécution pour les autorités de contrôle
Le RGPD crée de nouveaux pouvoirs d’exécution pour les autorités de contrôle, notamment le pouvoir d’imposer des amendes administratives pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en fonction de la gravité de l’infraction.
L’impact du RGPD sur votre structure
Le RGPD aura un impact significatif sur la façon dont les organisations traitent les données personnelles. Les organisations qui traitent les données personnelles des individus dans l’UE devront revoir leurs pratiques et mettre en place des mesures appropriées pour assurer la conformité avec le RGPD. Les organisations qui traitent les données personnelles d’individus dans l’UE devront prendre les mesures suivantes pour se conformer au RGPD :
- revoir leurs pratiques de collecte, de stockage et d’utilisation des données personnelles ;
- mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre l’accès non autorisé ou accidentel, la destruction, l’altération ou l’utilisation non autorisée ;
- désigner un délégué à la protection des données (DPD) ;
- coopérer avec les autorités de contrôle ;
- tenir des registres de leurs activités de traitement ; et
- se conformer aux nouvelles règles relatives aux droits des personnes concernées.
- Le GDPR entrera en vigueur le 25 mai 2018. Les organisations qui traitent les données personnelles des personnes dans l’UE devront se conformer au RGPD à cette date.
- Les objectifs du RGPD sont de :
- renforcer les droits des personnes ;
- introduire de nouvelles obligations pour les entreprises ;
- créer de nouveaux pouvoirs d’exécution pour les autorités de surveillance.
Conclusion
Les objectifs du RGPD doivent s’assurer que toutes les données personnelles sont protégées et qu’elles sont en mesure de démontrer leur conformité au règlement.