RGPD : décryptage et explication

Cela va faire bientôt un an que le RGPD est appliqué au sein de l’Union européenne. Il s’agit d’un texte qui règlemente la collecte, le traitement et l’utilisation des données personnelles. Tour d’horizon sur les explications pertinentes concernant le RGPD.

RGPD : explications

RGPD explication

Vous avez peut-être déjà entendu parler du RGPD et de sa mise en application en France. Peut-être même que vous savez qu’il s’agit d’un texte ayant un lien avec le traitement des données personnelles. Pour vous aider à y voir plus clair, quelques recherches ont été effectuées afin de vous fournir toutes les explications nécessaires concernant le RGPD. Appelé GDPR en anglais, le règlement général de la protection des données (RGPD) a été mis en vigueur au sein de l’Union européenne, et notamment en France le 25 mai 2018. En pratique, ce texte encadre l’accès et l’usage des données personnelles que vous confiez à divers entreprises et organismes privés et publics. Pour l’internaute, il met en place et renforce la sécurité de sa navigation et de ses données sensibles. Ainsi, dans le cadre de l’application de cette norme, les entreprises doivent obtenir le consentement écrit, clair et explicite de l’utilisateur avant toute manipulation des données personnelles. Ce qui explique les nombreux emails que vous recevez pour obtenir votre consentement. Ces requêtes permettent aux services auxquels vous êtes abonnés de continuer à envoyer des courriers.
L’adoption du RGPD s’explique aussi par la volonté des États de conforter le contrôle parental sur plusieurs points. Par exemple, les réseaux sociaux ne sont accessibles aux enfants (en dessous d’un certain âge) qu’après obtention d’un consentement explicite des parents. Trouvez plus d’explications sur le RGPD sur cette vidéo :

Définition et objectifs du RGPD

Le RGPD est un cadre européen appliqué pour défendre les utilisateurs quant au traitement et à la circulation de leurs données personnelles sur Internet. Compte tenu de l’évolution de l’informatique, cette règlementation abroge les directives de protection des données personnelles de 1995. Elle est également considérée comme étant une mise à jour du « règlement du Parlement européen du Conseil du 27 mai 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ». L’objectif du RGPD est d’instaurer une seule et même directive en matière de protection des données pour l’ensemble des États membres de l’UE, mais aussi de renforcer la protection des citoyens européens contre l’utilisation illégale de leurs données. Il vise également à mettre le cadre juridique européen à jour pour améliorer la sécurité des données traitées en ligne. Néanmoins, le RGPD autorise les États membres à renforcer les dispositions de cette directive par leurs propres lois. Depuis la mise en vigueur de cette loi, toutes les entreprises qui ne respectent pas ses dispositions sont soumises à de lourdes sanctions.

Données personnelles et droit de la personne

Pour comprendre l’utilité du RGPD, il est essentiel de définir ce qu’on entend par données à caractère personnel. Le terme donnée personnelle est défini par la nouvelle règlementation comme étant l’ensemble des données qui permettent d’identifier directement ou indirectement une personne. Le règlement de protection des données personnelles conforte le respect des droits du citoyen européen. Ainsi, dans son cadre d’application, la personne concernée garde un droit de regard sur ses renseignements personnels. Elle peut ainsi en demander la correction ou l’effacement à tout moment. Elle peut aussi réclamer que ses informations ne fassent pas l’objet d’un traitement automatique. Enfin, le responsable de traitement ou son sous-traitant doit déployer les moyens nécessaires pour préserver les droits et libertés des citoyens.

Principe de règlementation du RGPD

Le RGPD répond à plusieurs principes, dont la transparence, la légitimité et la loyauté. Il est d’ailleurs stipulé dans le texte que les données doivent être manipulées de manière « licite, loyale et transparente ». Concernant la collecte, elle doit être faite dans un cadre « déterminé et limité ». Ainsi, pour que le traitement soit jugé légal, l’entreprise doit se conformer aux conditions suivantes :

  • L’obtention du consentement écrit et explicite de la personne avant tout traitement de données. Ainsi, l’organisme doit informer la personne intéressée de la nature des données collectées et de l’usage qu’il va en faire.
  • La société doit garantir la sécurité et la confidentialité maximale des renseignements fournis. En cas de fuite, elle peut être poursuivie en justice.
  • Elle doit conserver la transparence tout au long du processus de traitement : elle doit ainsi informer et conseiller continuellement le propriétaire des données.
  • Avant tout traitement, elle doit effectuer une analyse préalable des éventuels risques et développer les mesures de gestion adéquates pour la sécurité des informations qui lui sont confiées.
  • Pour les firmes dont le volume dépasse les 250 personnes, la tenue d’un registre de traitement est obligatoire.

Champs d’application du RGPD

La nouvelle règlementation s’applique au traitement automatisé des données européennes. Le RGPD concerne ainsi toutes les entités qui manipulent les données personnelles concernant des citoyens européens. Qu’il s’agisse d’une entreprise, d’un organisme public ou privé ou encore d’un sous-traitant, et même d’une association, nul ne peut aller au-delà du cadre établi par les règlementations de protection des données. À savoir que le texte s’applique également aux groupes extérieurs à l’Europe comme les firmes américaines, chinoises ou japonaises qui collectent et utilisent des données personnelles européennes. Aussi, toutes ces sociétés sont égales à l’égard de la directive : la taille, les activités et le caractère public ou privé de la société ne sont pas considérés dans l’application du RGPD. De ce fait, même les géants d’Internet comme Google, Facebook, Twiter, Amazon et autres doivent se conformer aux modalités du RGPD pour pouvoir continuer à fournir des biens et services sur le territoire européen. Même les petites entreprises qui débutent dans le domaine de l’e-santé sont impliquées. À noter que les informations sur la santé sont classées parmi les données les plus sensibles. Toutefois, le champ d’application du RGPD n’empiète pas sur les activités strictement personnelles ou domestiques. Il arrive également que les libertés individuelles soient ouvertes dans certains cas :

  • sécurité et de la défense nationale ;
  • sécurité publique ;
  • prévention des infractions ;
  • intérêt public.

Les sanctions prévues par le RGPD

RGPD explication

Comme dit plus haut, le défaut de conformité au RGPD implique de lourdes sanctions pour l’organisme fautif. Le RGPD prévoit essentiellement des sanctions administratives pour réprimander les infractions à ses dispositions. Toutefois, la juridiction pénale peut être saisie en cas de violation grave des normes de traitement informatique. En plus de ces pénalités, l’entreprise peut être obligée de verser des dommages et intérêts aux victimes des préjudices liés à sa négligence. En France, le contrôle de conformité au RGPD est confié à la CNIL (commission nationale de l’informatique et des libertés). Cet organisme dispose d’un budget annuel d’environ 17 millions d’euros et d’environ 200 collaborateurs pour couvrir ses obligations : contrôle, dissuasion et répression des non-conformités. Pour ce faire, un système de sanction graduelle est aussi mis à sa disposition. La mesure de répression adoptée varie ainsi en fonction de la gravité des délits. Les sanctions administratives comportent quatre grandes étapes : 1. Avertissement et mise en demeure de l’entreprise par rapport à sa non-conformité ; 2. Injonction de se conformer au RGPD ; 3. Limitation ou suspension (temporaire ou définitive) des activités de traitement de données ; 4. Application des amendes administratives.

En cas de manquement à la directive relative à la protection des données, le montant de l’amende peut grimper jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise fautive. Concernant les délits qui ne sont pas mentionnés dans le texte du RGPD, le relais est pris par le Code pénal. Ainsi, les violations graves comme les fuites d’informations sont traductibles en justice pénale. Les responsables peuvent encourir jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amendes. Pour en savoir plus sur la mise en conformité d’une entreprise à la RGPD, trouvez des informations supplémentaires sur cet article.