RGPD – Règlement général pour la protection des données

De nos jours, les données personnelles sont partout. Alors pour protéger les citoyens d’une utilisation abusive de leurs informations sensibles, le règlement général pour la protection des données a été mis en place. De quoi s’agit-il ? À qui s’adresse le RGPD ? Quelles sont les sanctions applicables ? Et comment s’y conformer ?

Qu’est-ce que le Règlement général pour la protection des données (RGPD) ?

Depuis le 25 mai 2018, le règlement général pour la protection des données est entré en vigueur en France et dans le reste de l’Europe. Le RGPD s’est imposé du fait des évolutions technologiques et reprend les principes fondateurs de la Loi Informatique et Libertés datant de 1978.

L’objectif de ce règlement européen est de rendre les organisations responsables du traitement des données personnelles collectées.

Les données personnelles sont toutes les informations relatives à une personne physique ou identifiable. Cela concerne, entre autres, le nom ou le prénom d’une personne, son adresse, son numéro de sécurité sociale, etc.

Même si la donnée ne désigne pas directement la personne, mais qu’elle permet son identification à travers un ensemble de données, le RGPD s’applique. C’est par exemple le cas d’une base de données marketing qui reprend l’âge, le sexe, la localisation et le comportement d’achat des utilisateurs. Et ce, même si le nom desdites personnes est absent.

Bon à savoir : ces données ne sont pas nécessairement numériques. En effet, les données sous format papier sont également concernées par le RGPD dès lors qu’elles traitent d’informations personnelles relatives à un ou plusieurs individus.

Par ailleurs, le traitement des données personnelles concerne diverses opérations telles que la collecte, le stockage, la modification, le partage, etc.

Quels sont les principes du RGPD ?

Le règlement général sur la protection des données répond à plusieurs principes fondateurs :

• La finalité : le traitement des données doit poursuivre un objectif légal. Par exemple, la gestion de la clientèle, la prospection, la création d’un nouveau service, le paiement d’une facture, de taxes, etc.
• La proportionnalité et la pertinence : dans le même esprit, les entreprises peuvent traiter les données personnelles dès lors que ce traitement est proportionnel et pertinent au regard de l’objectif recherché.
• La durée de conservation : dans cet objectif de proportionnalité, la durée de conservation dépend du type de donnée et du but visé.
• Le consentement : l’accord des personnes concernées doit être obtenu avant de traiter leurs données.
• La sécurité et la confidentialité : les organisations doivent veiller à la sécurité de leurs datas. Si des données sensibles sont divulguées, il en est de leur responsabilité. C’est le cas, par exemple, des informations de paiement conservées par les banques ou les sites de e-commerce.

À qui s’adresse le règlement relatif à la protection des données ?

Toutes les organisations traitant les données des tiers doivent respecter le RGPD. Et ce, même si les informations sont collectées pour le compte d’autrui (comme les sous-traitants). Autrement dit, le règlement général pour la protection des données concerne toutes les organisations, qu’elles soient publiques ou privées.

Par ailleurs, comme il s’agit d’un règlement européen, il s’applique à toutes les entreprises situées sur le territoire européen, ou dont les données concernent des citoyens européens. Ainsi, les sociétés américaines qui proposent des produits ou des services en France doivent respecter le RGPD.

Quels sont les risques en cas de non-respect du RGPD ?

La CNIL (Commission Nationale de l’Informatique et des Libertés) est responsable du respect du RGPD par les organisations. En cas de violation du règlement, cet organisme peut appliquer diverses sanctions, telles que :

• Le rappel à l’ordre ;
• L’injonction de se conformer à la norme ;
• L’interdiction de traiter les données ;
• La suspension des flux de données ;
• La sentence pécuniaire (20 millions d’euros ou 4 % du chiffre d’affaires annuel).

Comment se conformer au RGPD ?

Pour éviter de subir ces sanctions, nous vous conseillons de mettre en place diverses actions :

• La nomination d’un data protection officer (DPO) : il est chargé de veiller au respect du règlement général pour la protection des données.
• La mise en place d’une stratégie de gouvernance : il convient de faire un état des lieux du traitement des données en interne en s’assurant du respect du RGPD. À défaut, des processus de mise en conformité doivent être implémentés.
• L’identification des failles : il est primordial de détecter les failles de sécurité du système et d’en informer la CNIL rapidement afin d’éviter toute sanction.

Même si le RGPD représente une contrainte pour les organisations, il faut également voir ce règlement comme une nouvelle opportunité : celle d’améliorer la gouvernance de ses données et de renforcer la confiance des clients, prospects ou administrés.