Le RGPD, ou Règlement Général sur la Protection des Données personnelles, est applicable pour TOUTES les entreprises depuis le 25 Mai 2018. Focus sur tout ce qu’il faut savoir sur le RGPD en 2020.
RGPD : Qu’est-ce que c’est ?
Le règlement général sur la protection des données personnelles (dit RGPD ou GDPR pour l’acronyme anglais) constitue le nouveau cadre juridique de la protection des données personnelles. Il est applicable depuis le 25 mai 2018.
Il est transposé en droit français dans la loi Informatique et Libertés (LIL) n° 78-17 du 6 janvier 1978 qui fait régulièrement l’objet de modifications afin de permettre la mise en conformité de notre droit national aux exigences issues du RGPD directement applicable et préciser les dispositions qui sont laissées à la compétence des Etats membres de l’Union européenne.
Etude de cas : Comment nous avons mis en place le RGPD chez Axens.
Les données à caractère personnel
L’objectif du RGPD est simple : protéger les données à caractère personnel. Une donnée revêt un caractère personnel dès lors qu’elle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée :
- Directement (exemple : nom et prénom)
- Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
Des coordonnées d’entreprises générales comme un mail type compagnie1@email.fr ne sont pas, en principe, des données personnelles.
À qui s’applique le RGPD ?
Le règlement général sur la protection des données personnelles s’applique à toutes les entreprises privées ou publiques, tous les organismes publics (autorités publiques) ou privés, responsables de traitement ou sous-traitant traitant des données personnelles, dès lors qu’ils exercent leur activité sur le territoire de l’Union européenne.
L‘application du RGPD repose sur deux critères alternatifs et successifs (RGPD, art. 3) :
- L’existence d’un établissement sur le territoire de l’Union qui participe au traitement dans le cadre de ses activités, que le traitement lui-même ait lieu ou non dans l’Union.
- Un résident européen est ciblé par un traitement de données à des fins commerciales (fourniture de biens ou de services même gratuits) ou de suivi régulier de comportement, cela même si ni le responsable de traitement, ni le sous-traitant ne sont établis sur le territoire de l’Union européenne.
Pour aller plus loin : RGPD votre entreprise est forcément concernée.
Les principes consacrés par le RGPD
Le responsable de traitement ou le sous-traitant doivent jouer un rôle actif et continu dans la garantie de la conformité du traitement des données personnelles : ce sont les principes de Privacy by design et Privacy by default (RGPD, art. 25).
Il s’agit d’une part d’assurer la protection de la vie privée dès la phase de conception du design du projet de traitement en intégrant les contraintes juridiques et techniques.
D’autre part, le responsable de traitement ou le sous-traitant doivent garantir que ne seront collectées que les données, dans un périmètre limité, pour une durée de conservation strictement nécessaires à la finalité du traitement.
De ces deux notions découlent plusieurs principes consacrés par le RGPD tel que par exemple la pseusonymisation ou la minimisation qui a pour objectif de réduire la gravité des risques d’atteinte aux données personnelles (RGPD, art. 4, 5 et 5,1,c).
Le responsable de traitement et le sous-traitant doivent être en mesure de pouvoir démontrer, à tout moment et par tous moyens, aux autorités de contrôle qu’ils respectent bien les règles applicables.
Les droits des personnes sont également renforcés, comme le droit d’accès ou le droit à l’information et de nouveaux droits sont introduits comme le droit à la limitation du traitement (RGPD, art. 18), le droit de s’opposer au profilage, le droit à la portabilité des données (RGPD, art. 20) ou encore le droit à l’effacement également appelé « droit à l’oubli » (RGPD, art. 17) et le droit de rectification (RGPD, art. 16).
Le consentement des personnes dont les données sont collectées est clé et doit être actif sous peine de s’exposer à de lourdes sanctions.
À découvrir : Les Arnaques RGPD.
LE DPO ou Data Protection Officer
Le délégué à la protection des données ou DPO (pour Data Protection Officer) a pour rôle de coordonner les processus de conformité. Il exerce une mission d’information, de conseil et de contrôle en interne. Il assure également la sécurité juridique du traitement des données personnelles.
Il peut également être l’interlocuteur approprié de la CNIL et des personnes concernées pour l’exercice de leurs droits. Le RGPD impose la désignation d’un DPO dans certains cas (traitement à grande échelle constituant un suivi régulier et systématique des personnes concernées ou concernant des données sensibles) mais la recommande plus généralement aux responsables de traitement et aux sous-traitants pour faciliter le respect de la conformité aux règles applicables.
Pour aller plus loin : Consultez l’interview de notre DPO Elisa.
RGPD : De lourdes sanctions
Le règlement général sur la protection des données personnelles a renforcé le pouvoir de sanction de la CNIL en augmentant le plafond des amendes administratives. Les sanctions RGPD peuvent aller de 10 à 20 M€ ou de 2 à 4 % du chiffre d’affaires annuel mondial (RGPD, art. 83).
Ceci sans compter que les Etats peuvent déterminer le régime des autres sanctions applicables en cas de violation des obligations prévues par le RGPD comme les sanctions pénales (RGPD, art. 84).
À lire : Axens vous accompagne pour la mise en place RGPD dans votre entreprise.
