Zoom sur les principes du RGPD

Le RGPD ou GDPR en anglais est un texte règlementaire de l’Union européenne utilisé dans le cadre de la collecte et le traitement des données des utilisateurs. Suivez le guide pour plus de détails !

Qu’est- ce que le RGPD ?

Le règlement n° 2016/679 dit RGPD ou Règlement Général sur la Protection des données est un règlement européen mis en place pour encadrer la protection des données à caractère personnel. Il renforce et unifie de manière égalitaire le traitement des données individuelles sur le territoire de l’Union européenne. Il a été définitivement adopté par le Parlement européen le 14 avril 2016 après quatre ans de négociations. Depuis le 25 mai 2018, les dispositions de ce règlement ont été directement appliquées sur tout le territoire européen. En France notamment, la loi du 6 janvier 1978 encadrant la protection des données personnelles a été adaptée aux dispositions de ce règlement. Compte tenu de sa position de règlement, il ne requiert aucune adaptation juridique dans les États membres de l’UE. De ce fait, son application doit être effectuée de la même manière dans tous les pays concernés. Ce règlement a comme objectif d’aider les entreprises européennes à effectuer leurs activités numériques dans un contexte légal et compétitif Par ailleurs, les principaux objectifs du RGPD sont :

  • renforcer les droits de tout individu ;
  • sensibiliser les professionnels traitant des données ;
  • certifier la régulation à travers un accord renforcé entre les autorités de protection de données.

[Sur cet article][https://particuliers.engie.fr/assistance-client/conseils/du-cote-engie/RGPD-2018.html), vous en saurez davantage sur ce qui change en France avec l’application du RGPD.

Le texte du RGPD

RGPD 1 Adopté le 14 avril 2016 par le Parlement européen, le texte du RGPD a été promulgué dans le Journal officiel le 27 avril. Voici quelques termes à retenir :

| Termes RGPD | Signification | |------------------------------------------|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Droit à la portabilité | Grâce à ce droit, les utilisateurs peuvent récupérer leurs données personnelles dans un format lisible pour les conserver ou les remettre à un tiers. | | Donnée à caractère personnel (DCP) | Toute information se référant à une personne physique identifiée ou indentifiable | | Data protection officer (DPO) | Personne dans une entreprise qui se charge du contrôle de la mise en conformité au RGPD | | Accountability | L’obligation de mettre en place des dispositifs et des systèmes internes permettant de prouver le respect des règlementations relatives à la protection des données |

Ce nouveau texte permettrait ainsi aux utilisateurs européens d’être réellement propriétaires de leurs données. Il est ainsi légitime de se demander s’ils ont le droit de vendre les données personnelles collectées.

RGPD : qui est concerné ?

Le RGPD concerne la majorité des entreprises et des organismes publics susceptibles de collecter des données grâce à leur site internet. Que dit la CNIL concernant ce règlement ?

RGPD 2

Données personnelles : le principe

La CNIL décrit une donnée personnelle comme une information se référant à une personne physique identifiable ou identifiée. Ainsi, selon la CNIL, le RGPD répond à deux points :

  • la protection des données en respectant les principes déjà établis par la CNIL concernant la loyauté du traitement, la durée de conservation ou la pertinence des données.
  • De nouveaux droits et de nouvelles obligations à l’instar du droit à la portabilité des données.

Les entreprises concernées

Le RGPD concerne toute organisation, privée ou publique, qui traite des données personnelles pour son compte ou non. Il s’applique aux entreprises dès lors qu’elles sont basées sur le territoire européen ou que leurs activités ciblent directement des citoyens européens. Par ailleurs, toutes les entreprises pouvant recueillir les données de leurs clients via leur site web et susceptibles de les conserver sont concernées par le RGPD. Le RGPD concerne également les entreprises qui traitent des données personnelles pour le compte d’une autre entité (association, collectivité…). De ce fait, tous les réseaux sociaux y compris Facebook sont concernés par cette politique de protection de données personnelles.

Quelle que soit la taille de l’entreprise, respecter ce règlement consiste à :

  • Veiller à ce que les bonnes applications de sécurisation et d’usage des données soient respectées au sein de l’organisme ;
  • Se mettre en conformité aux nouvelles obligations ;
  • Assurer aux clients et aux collaborateurs le bon respect de la nouvelle règlementation.

Les enjeux pour les entreprises

Pour les entreprises, la mise en conformité aux obligations du RGPD est applicable depuis le 25 mai 2018. Pour se mettre en conformité avec ce règlement, les institutions sont tenues de présenter certaines garanties en termes de sécurité et d’usage des données :

  • Respect de la protection des données.
  • Sauvegarde et sécurisation des données.
  • Destruction des données lorsque l’autorisation de traitement est expirée. Ce délai est de 13 mois pour le consentement pour les cookies.
  • Droit à la portabilité des données.
  • Droit de référencement et d’information.

À noter que le considérant 30 du RGPD précise l’obligation de supprimer les cookies. En effet, toute information permettant d’identifier directement ou indirectement un individu est présumée comme étant une donnée personnelle.

Au travail, le règlement n° 2016/679 porte notamment sur la protection des données des collaborateurs. Il est ainsi obligatoire de les informer sur les traitements de données réalisés par l’entreprise.

En revanche, la loi RGPD maintient :

  • les traitements constitués de numéro d’inscription des individus au répertoire national d’identification des personnes physiques (NIR) ;
  • les traitements des données de santé utiles pour une finalité d’intérêt public ;
  • les traitements portant sur la sûreté de l'État, la sécurité publique ou la défense.

RGPD : les sanctions

En cas de non-respect du RGPD, plusieurs sanctions peuvent être appliquées aux entreprises.

Les sanctions administratives

Les conditions permettant à la CNIL d’appliquer une sanction administrative aux organismes et entreprises sont listées par l’article 83 du RGPD. Une amende administrative peut atteindre 10 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’année précédente. À noter que le montant pris en compte est celui de la sanction la plus élevée. Cette amende est appliquée dans les cas suivants :

  • manquement aux obligations se rapportant au responsable du traitement et au sous-traitant ;
  • manquement aux obligations se rapportant à l’entreprise chargée du suivi des codes de conduite ;
  • manquement aux obligations se rapportant à l’organisme de certification.

L’amende administrative peut atteindre 20 000 000 euros en cas d’infractions plus importantes. Dans ce cas, les violations doivent concerner :

  • les droits des personnes concernées ;
  • les principes de base d’un traitement ;
  • les obligations résultant du droit des pays européens membres ;
  • le non-respect d’une injonction, d’une suspension ou d’une limitation temporaire ou définitive des flux de données imposée par l’organisme de contrôle.

Les sanctions pénales

En vertu de l’article 84 du RGPD, les États membres sont tenus de mettre en place des sanctions pénales pour compléter le règlement lui-même. En France, par exemple, les sanctions pénales applicables peuvent osciller les 300 000 euros d’amende avec 5 ans d’emprisonnement. D’autres sanctions complémentaires peuvent entrer en vigueur en cas de violation à l’une des dispositions du RGPD. En effet, il est possible de porter plainte contre l’entreprise dans le cas où le comportement des responsables n’est pas conforme aux règles du RGPD.