Dans le but de responsabiliser les organismes de gestion des données personnelles, le règlement général sur la protection des données a été mis sur pied. Celui-ci permet de renforcer les droits des personnes dont les données sont traitées vis-à-vis des organismes qui se chargent du traitement. La notion revêt un intérêt certain surtout après l’adoption d’un texte spécifique sur la protection des données. Alors qu’est-ce que vous devez savoir sur le règlement général de protection des données ? Découvrez quelques éléments de réponse dans cet article.
Le RGPD c’est quoi ?
Le Règlement Général sur la Protection des Données ou RGPD est entré en vigueur depuis le 25 mai 2018. Son objectif consiste en l’encadrement du traitement et la circulation des données à caractère personnel sur l’ensemble du territoire européen. Depuis son entrée en vigueur, le texte est applicable et détient une force obligatoire.
Sa mise sur pied est attachée à la volonté des pays membres de l’union européenne de créer un cadre juridique unifié, dans le but de répondre efficacement aux enjeux majeurs qui tournent autour du traitement de données personnelles.
Le RGPD concerne qui ?
Le Règlement Général sur la Protection des Données touche tous les organismes, sans distinction de taille, qui ont pour mission le traitement des données personnelles. Le texte ne fait aucune distinction sur le fait que l’organisme traite les données pour son intérêt personnel ou non. Il suffit que ce dernier soit établi sur le territoire de l’union européenne ou alors que son activité touche des résidents européens de manière directe.
Ainsi, on peut bien voir que le RGPD a un champ d’application très étendu car il s’adresse à toutes les entreprises exerçant sur le territoire européen sans distinction de leur taille ou de leur effectif.
Par ailleurs, l’employeur est le garant de l’application du RGPD dans son établissement car il est le responsable du traitement des données des usagers. Celui-ci doit alors vérifier la conformité du traitement des données au RGPD et faire preuve d’une grande vigilance.
L’OBJECTIF DU RGPD
Depuis sa rédaction, le RGPD a pour objectif de devenir le nouveau texte de référence dans l’Union européenne en ce qui concerne la protection des données personnelles. Il vient pour remplacer une ancienne directive qui date de 1995 et qui semblait dépassée. La législation européenne a donc procédé à une actualisation de ses textes pour se conformer à l’apparition de nouveaux usages et à la mise en place de nouveaux modèles économiques.
L’autre enjeu majeur de ce texte, c’est d’harmoniser le paysage juridique de l’Europe en ce qui concerne la protection des données personnelles, pour qu’il n’y ait plus qu’un seul texte qui s’applique à tous les États membres de l’Union européenne. C’est aussi un moyen d’éviter qu’il y ait une certaine fragmentation juridique comme cela a été dans le passé.
L’entrée en vigueur du RGPD
Pour que le Règlement Général sur la Protection des Données soit applicable sur le sol européen, les autorités ont procédé en deux temps. D’abord, le texte a été adopté définitivement le 14 avril 2016 par le Parlement européen, avant d’être promulgué au Journal officiel le 27 du même mois. Ensuite, sa mise en application a été retardée de deux ans, pour le 25 mai 2018.
Les autorités européennes ont décidé de marquer un temps d’arrêt afin de donner du temps aux différentes législations nationales ainsi qu’aux organismes chargés de la collecte et du traitement des données personnelles de se préparer à son entrée en vigueur. Les États membres ont progressivement intégré les dispositions du RGPD dans leurs législations internes et ont ajusté les traitements déjà effectués afin que ceux-ci se conforment au nouveau texte. Désormais, depuis son entrée en vigueur le 25 mai 2018, des sanctions sont infligées pour le non-respect des règles du RGPD.
Qu’est-ce qu’une donnée personnelle au sens du RGPD ?
Le Règlement Général sur la Protection des Données se base essentiellement sur la notion de donnée personnelle. Mais à quoi renvoie-t-elle exactement ?
La notion de donnée personnelle s’étend sur un certain nombre de domaine. La CNIL a tout de même essayé de lui donner une définition en disant qu’il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». De ce fait, on peut identifier une personne de deux manières : l’identification directe se base sur le nom, le prénom, et l’adresse postale. Tandis que l’identification indirecte s’appuie sur des éléments physiques, l’adresse IP, le numéro, etc.
Par ailleurs, l’on peut également classer dans la catégorie des données personnelles, celles qui permettent d’identifier une personne par le croisement de plusieurs informations comme la date de naissance, le sexe, les études, la ville, etc.
Quelles obligations pour les entreprises ?
Depuis l’entrée en vigueur du RGPD, les entreprises ont six principales obligations à respecter. Ces obligations sont énoncées à l’article 5.1 du RGPD. Selon cet article, les données personnelles devront être :
- Collectées à des fins déterminée, explicite et légitimes ;
- Traitées de façon à garantir leur protection ;
- Traitées d’une façon licite, loyale et transparente ;
- Exactes et tenues à jour ;
- Adéquates, pertinentes et limitées ;
- Conservées pendant une durée raisonnable.
En France, la mise en conformité des entreprises et le respect des règles imposées par le RGPD passe par la mise en place de six actions préconisées par la CNIL.
Désigner un pilote
La première mesure que recommande la CNIL à l’ensemble des entreprises, c’est de désigner une personne chargée de piloter la mise en conformité avec le RGPD. Cette personne facilitera le dialogue avec les autorités de protection des données et permettra ainsi de réduire les risques de contentieux.
Pour les entreprises de traitement des données dites « sensibles », elles sont obligées de désigner un délégué à la protection des données.
Cette mesure est aussi obligatoire pour les organismes publics et les entreprises dont l’activité commande un suivi permanent des personnes à grande échelle pour déceler leurs opinions politiques, philosophiques ou religieuses.
Recenser les fichiers
Les entreprises qui disposent de plus de 250 salariés doivent obligatoirement constituer un registre de traitement des données. Ce dernier permet d’identifier les activités principales de l’entreprise qui exigent que les données personnelles soient collectées et traitées.
Ensuite, les entreprises, en fonction de leur domaine d’activités, sont censées définir le responsable du processus, la catégorie de données utilisées, l’objectif du traitement, les personnes qui y ont accès et la durée de conservation des données collectées.
Un modèle du registre de traitement des données est proposé par la CNIL sur son site Internet : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.
Identifier les traitements à risque
Le responsable du traitement doit pouvoir prouver à tout moment que les traitements de données dont il a la charge sont conformes au RGPD. C’est la raison pour laquelle il est conseillé aux entreprises de faire un tri dans leurs données dans le but de vérifier que chaque sauvegarde effectuée est nécessaire et pertinente.
Par ailleurs, la CNIL prévient les entreprises contre un certain type de traitements qui exige une vigilance particulière. Cela concerne notamment les traitements des données des personnes vulnérables, le croisement d’ensembles de données, à la surveillance systématique des personnes, ou encore au traitement de données dites « sensibles ».
Ainsi, dans le cas où le traitement des données en question respecte au moins deux des critères prévus par le RGPD, il faudra alors effectuer une analyse d’impact sur la protection des données.
Respecter le droit des personnes
Il est exigé aux entreprises de fournir à leurs salariés les informations concernant la collecte et le traitement de leurs données. Ceci devra être effectué à partir de collecte des données ou alors dans un délai d’un mois après la collecte quand les informations sont recueillies de manière indirecte.
La notification des salariés peut être faite sur le support papier ou électronique permettant la collecte des données. Ils peuvent également être notifiés par une note de service, par affichage ou diffusion sur l’intranet de l’entreprise, au moment de mise en place d’un dispositif de surveillance.
En outre, les entreprises doivent garantir les droits des personnes qui voient leurs données être traitées en garantissant l’effectivité de ces droits. L’entreprise est donc tenue de fournir aux personnes concernées certains moyens matériels, comme une adresse de messagerie, un numéro de téléphone, ou un formulaire sous format papier ou électronique.
Sécuriser les données
Les entreprises doivent assurer la sécurité des données personnelles en limitant les risques de perte de données ou de piratage.
Pour sécuriser de manière efficace les données, il est recommandé de mettre à jour les logiciels et les antivirus et de changer régulièrement les mots de passe, en mettant des mots de passe complexes.
S’assurer du respect du RGPD par le prestataire en cas de sous-traitance
Dans le cas où l’entreprise recourt à des sous-traitants, il faut se rassurer que ceux-ci se conforment des obligations particulières de transparence, d’assistance, d’alerte, de conseil. Dans l’exercice de leurs missions, ils sont tenus de garantir la sécurité et la protection des données traitées. De plus, une clause spécifique doit être incluse dans le contrat de sous-traitance sur la protection des données personnelles.
Les droits des personnes dans le traitement des données
Lorsqu’on parle des droits des personnes dont les données sont collectées, il peut s’agir non seulement des clients d’une entreprise, mais aussi les collaborateurs travaillant dans cette même entreprise.
Pour protéger l’internaute, le RGPD consacre un certain nombre de droits. Les entreprises sont tenues au préalable de récolter un consentement écrit, clair et explicite de l’internaute avant d‘effectuer un quelconque traitement. Les entreprises doivent également s’assurer qu’une autorisation parentale est attribuée aux enfants en-dessous d’un certain âge avant de s’inscrire sur un réseau social.
Les droits des personnes se résument au :
Droit d’accès : la personne concernée peut obtenir du responsable de traitement l’information de savoir si des données personnelles sont traitées ou non. Lorsque c’est le cas, elle peut demander l’accès à ces données. Suite à cette demande, l’entreprise dispose d’un délai d’un mois pour fournir toutes les informations demandées par la personne concernée.
Droit d’effacement (droit à l’oubli) : la personne concernée peut obtenir du responsable du traitement l’effacement des données personnelles sur elle dans les meilleurs délais.
Droit de rectification : il s’agit du droit dont dispose la personne concernée pour obtenir du responsable du traitement, la rectification des données inexactes la concernant et ceci dans les meilleurs délais.
Droit à la portabilité : la personne concernée peut, s’il en fait la demande, obtenir et réutiliser ses données personnelles collectées pour ses besoins personnels.
Droit d’opposition : c’est le droit pour la personne concernée de s’opposer à un traitement des données personnelles qui la concerne à cause de sa situation particulière.
Droit à la limitation du traitement : la personne concernée est capable d’interdire au responsable du traitement d’utiliser certaines données collectées.
Que faire en cas de faille dans la sécurité ?
La CNIL identifie une violation des données personnelles comme étant une violation qui entraîne de manière accidentelle ou illicite, la perte, la destruction, la divulgation non autorisée ou l’altération de données personnelles.
Lorsqu’une violation des données personnelles est observée, l’employeur fait face à une double obligation de notification. En effet, il doit informer la CNIL dans un délai de soixante-douze heures et la personne concernée doit l’être dans les meilleurs délais.
Le contrôle exercé par la CNIL
La CNIL exerce un contrôle sur les organismes de traitement des données. Elle peut effectuer un contrôle sur place, sur pièces, sur audition ou en ligne.
Les sanctions encourues suite à la violation du traitement des données
Après le non-respect des obligations relatives au traitement des données, des sanctions sont prévues. En France par exemple, lorsque les dispositions du RGPD ne sont pas respectées, seule la CNIL est habilitée à sanctionner les entreprises.
Les sanctions prononcées par la CNIL sont de nature administrative à savoir l’avertissement, la mise en demeure, l’injonction de cesser le traitement, la suspension des flux de données, l’ordre de satisfaire aux demandes d’exercice des droits des personnes ou de rectifier, limiter ou effacer des données.
En outre, l’entreprise peut, en cas de non-respect, se voir imputer des amendes administratives. Selon la catégorie de l’infraction, l’amende peut s’élever à 10 ou 20 millions d’euros, ou encore de 2% à 4% du chiffre d’affaires annuel mondial de l’entreprise.
Entrepreneur, investisseur immobilier et passionné de liberté financière, j’ai accompagné des milliers de personnes à réussir sur internet au travers de formations en ligne, guides et coaching personnalisés.
