Tout savoir sur le RGPD

le_rgpd_europeen

Tout savoir sur le RGPD

 

Le RGPD est l’acronyme de Règlement Général sur la Protection des Données, ou GDPR en anglais pour General Data Protection Regulation. Il est entré en vigueur en mai 2018, dans toute l’Union européenne, et même au-delà dans certains cas. Il vise à encadrer le traitement des données personnelles sur tout le territoire de l’Union européenne, en prenant en compte les évolutions technologiques. Il suit la logique de la loi française Informatique et Libertés de 1978 et offre un nouveau cadre juridique uniforme pour toutes les entreprises qui collectent des données de citoyens européens. L’idée est de redonner le contrôle de l’utilisation des données personnelles aux personnes concernées.

Les données personnelles

Une donnée personnelle est définie par la CNIL comme “toute information se rapportant à une personne physique identifiée ou identifiable”. En effet, une personne peut être identifiée de façon directe (par les nom et prénom) ou de façon indirecte (par un numéro de client, un numéro de téléphone, une information biométrique, des données relatives à son physique, sa génétique, sa voix…). Il peut s’agir d’une identification à partir d’une seule information ou à partir d’un croisement de plusieurs données. 

Le traitement de données personnelles

Le traitement de données personnelles désigne une ou plusieurs opérations, notamment la collecte, l’enregistrement, la conservation, la modification, la consultation, l’utilisation, la diffusion, etc. Ce traitement des données personnelles n’est pas toujours numérique : les fichiers papier sont soumis à la même protection.

Le RGPD impose désormais aux entreprises d’avoir un objectif clair et précis quant à la collecte et l’utilisation de données. Il ne peut pas s’agir d’un traitement de données personnelles fait au hasard, simplement au cas où elles pourraient être utiles. L’objectif doit donc être légal et légitime en fonction de l’activité de l’entreprise.

Les organismes concernés par le RGPD

Le RGPD peut concerner tous types d’entreprises. En effet, tout organisme public ou privé qui traite les données personnelles d’utilisateurs européens, que ce soit pour son compte ou pour un tiers, qu’il se situe sur le territoire de l’Union européenne ou non, est concerné par le RGPD. Par exemple, une entreprise basée en-dehors de l’Europe qui possède un site e-commerce livrant tout de même sur le continent est tout aussi concernée qu’une société basée en France et exploitant les données de citoyens français.

Les entreprises qui sous-traitent, c’est-à-dire qui effectuent le traitement de données personnelles pour le compte d’autres sociétés, sont également concernées et tenues de respecter le RGPD. 

Les sanctions du RGPD

En cas d’infraction, le RGPD sanctionne les entreprises qui ne respectent pas les règles. En effet, l’amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Il s’agit de sanctions publiques.

La formation restreinte de la CNIL peut, si le RGPD n’est pas respecté :

- faire un rappel à l’ordre
- ordonner une remise en conformité

- limiter le traitement de données personnelles de façon provisoire ou définitive

- stopper les flux de données

- ordonner de répondre aux demandes des individus quant à l’exercice de leurs droits

- imposer une amende administrative