Qu'est-ce que le RGPD ?

Tout savoir sur le Règlement Général sur la Protection des Données

Cet article a pour but de vous présenter de façon générale le RGPD et de vous familiariser avec les termes et concepts qui lui sont associés.

Définition du RGPD

Entrée en vigueur en mai 2018, le Règlement Général sur la Protection des Données (RGPD) est le texte européen qui pose le cadre légal en matière de protection des données personnelles.

Si vous manipulez ce type données en provenance de l’Union européenne (UE) ou depuis le sol européen, vous devez vous conformer à cette réglementation.

Mais concrètement, à quoi sert le RGPD ?

Le RGPD sert avant tout à protéger les personnes dont les données sont collectées.

Grâce au RGPD, ces personnes physiques pourront accéder à leurs données collectées, décider de les rectifier ou de les effacer, et solliciter leur portabilité.

Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Celui-ci est garant de la conformité de ses activités et doit pouvoir le démontrer.

Qu’est-ce qu’une donnée personnelle ?

C’est une information qui concerne une personne physique identifiée (article 4 RGPD).

Logiquement cela peut être son nom ou son prénom. Mais cela peut aussi être son numéro de téléphone, son numéro de sécurité sociale, son ADN.

Cela peut même être un faisceau de données qui permettent d’identifier cette personne, comme la localisation, l’âge, les comportements d’achat.

Pourquoi parle-t-on de traitement de données personnelles ?

C’est une opération faite sur une donnée permettant l’identification d’une personne physique.

Cela peut-être la collecte, l’enregistrement, la transmission ou la diffusion de ces données.

CNIL et RGPD

En France, le RGPD est placé sous l'autorité de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Elle est chargée de veiller au respect du RGPD par les entreprises et les administrations.

On peut donc dire qu’elle est le gendarme du RGPD !

À ce titre, elle a le pouvoir de sanctionner les organismes non conformes, en cas de manquement, de violation ou de plainte.

D'ailleurs, la CNIL a publié son plan stratégique pour 2022/2024 que l'on a analysé ici.

À qui le RGPD s’applique-t-il ?

Il s’applique à toute entité se situant en UE ou ciblant des personnes en UE.

Toutes les entreprises présentes sur le territoire de l’Union européenne et stockant des données personnelles sont concernées.

Le RGPD s’applique :

  • pour toute taille d’entreprise
  • pour tout chiffre d’affaires
  • pour les entreprises privées ou les organismes publics
  • pour le B2B ou le B2C

Le règlement s’applique aussi aux sous-traitants, même si ceux-ci ne sont pas basés en UE.

💡 Pour rappel, le sous-traitant est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

Quels sont les objectifs du RGPD ?

Ses objectifs sont de :

  1. protéger la vie privée des citoyens européens
  2. éviter tout accès non autorisé aux données personnelles
  3. éviter toute manipulation non conforme aux données personnelles

Pour cela, le RGPD permet de vérifier la mise en application de différents droits :

Quand faut-il s’occuper du RGPD ?

L’idéal est comme souvent de la prévoir dès le départ. Donc d’an-ti-ci-per ! 😊

S’en préoccuper au dernier moment, quand tout est déjà en place, est souvent une mauvaise idée.

Pourquoi ?

Parce que certaines mesures techniques et organisationnelles demanderont plus d’effort de mise en place si cela n’a pas été prévu dès le départ.

Qu’est-ce que le Privacy by Design ?

C’est justement le fait de prévoir en amont, dès la conception, la prise en compte des problématiques liées au RGPD.

Le but est de définir, le plus tôt possible, la méthodologie pour le traitement et le stockage des données à caractère personnel.

Le Privacy by Design implique donc de réfléchir à la nature des données à traiter, à leurs finalités et aux risques associés. Puis, de prendre les mesures nécessaires pour garantir la conformité au RGPD. Pour plus d'informations, nous avons rédigé un article dédié ici.

C’est une approche préventive qui est fortement recommandée par le RGPD et qui permet d’assurer la prise en compte de la protection de la vie privée dès le début.

Qu’est-ce que l’analyse d’impact sur la vie privée ?

Le Privacy Impact Assessment (PIA) permet de vérifier les risques de sécurité touchant aux données personnelles.

C’est le responsable des traitements qui doit réaliser un PIA en amont de leurs mises en œuvre.

Cela consiste à décrire les risques liés traitements à réaliser et les mesures à prendre. Pour mieux comprendre de quoi il s'agit, nous avons rédigé un article ici.

La CNIL propose un guide et un outil sur son site, pour vous aider à réaliser un PIA.

Qu’est-ce que le Délégué à la Protection des Données (DPO) ?

Le DPO c'est la personne chargée de mettre en œuvre le RGPD au sein d’un organisme.

Dans certains cas, sa désignation est obligatoire (article 37 RGPD). Il peut être interne ou externe.

La CNIL le qualifie de « Chef d’orchestre » et il sera son interlocuteur privilégié, en cas de besoin (article 38 RGPD).

Il s’occupera de toutes les questions relatives à la protection des données personnelles (article 39 RGPD).

Et si le DPO n’est pas obligatoire, il conviendra au minimum de désigner un pilote responsable de la gestion des données personnelles.

Est-ce que le RGPD est obligatoire ?

Le RGPD est bien obligatoire dans l’ensemble des 28 états membres de l’UE.

Tout acteur européen utilisant des données personnelles doit se conformer à ce règlement.

Il s’applique également aux données des européens traitées par des acteurs en dehors de l’UE.

Les cinq principes clés du RGPD

L'article 5 RGPD énonce les grands principes qui doivent guider votre réflexion concernant les données que vous avec déjà collectées ou que vous allez collecter :

Principe de finalité

Vous devez limiter votre collecte des données privées à un seul but précis et identifié. Ces données ne doivent pas être utilisées à d’autres fins.

Principe de minimisation

Vous ne devez utiliser que des données nécessaires à l’atteinte de votre objectif. Les autres données ne doivent pas être enregistrées.

Principe de durée limitée

Vous ne devez conserver les données collectées que le temps nécessaire à la réalisation de votre objectif.

Principe de sécurité

Vous devez garantir l’intégrité et la confidentialité des données collectées. Par exemple, aucun tiers non autorisé ne doit pouvoir y accéder.

Principe des droits des personnes

Vous devez laisser la maîtrise des données collectées aux personnes concernées par les traitements. Il faut donc :

  • les informer de la collecte
  • leur laisser la possibilité d’accéder à leurs données
  • leur permettre de modifier leurs données
  • leur laisser le droit de s’opposer à la collecte
  • leur permettre de supprimer leurs données

Comment s’assurer d’être conforme au RGPD ?

Pour cela, il s’agit de :

  1. Collecter uniquement les données pertinentes (principe de minimisation)
  2. Recenser les données stockées et vérifier leur conformité
  3. Être transparent en informant clairement des données collectées
  4. Maîtriser l’utilisation des données collectées
  5. Sécuriser les données collectées et stockées
  6. Identifier et gérer les risques associés aux traitements des données personnelles

Par où commencer ?

La CNIL recommande de suivre ces 4 étapes pour commencer :

  1. Mettez en place un registre des traitements de données. Le but est d’avoir une cartographie exhaustive de traitements que vous réalisez.
  2. Vérifiez si vos données collectées et stockées sont nécessaires à votre activité.
  3. Informez des données que vous collectez, permettez leur modification, leur suppression ou leur portabilité.
  4. Sécurisez vos données. Vous devez réduire au maximum le risque de perte de données. Pour cela, de nouveaux réflexes doivent être mis en place concernant les mots de passe, les mises à jour de logiciel, le chiffrement des données, les sauvegardes, etc.

Quelles sanctions en cas de non-conformité ?

Les sanctions peuvent être assez lourdes :

  • Sanctions pénales : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende
  • Sanctions administratives : injonction de cesser la violation des données personnelles, avertissement et mise en demeure à se conformer au RGPD, limitation ou suspension temporaire du traitement des données, amende comprise entre 2 et 4% du chiffre d’affaires annuel (jusqu’à 20 millions d’euros)
  • Sanctions additionnelles : versement de dommages et intérêts en cas dommage matériel ou moral ou de déficit d’image, sans oublier l’impact réputationnel d’une telle sanction sur votre entreprise qui peut avoir l’effet d’une double sanction !

Il est donc fortement conseillé de se conformer au RGPD ! 😊

Faut-il se doter d’un outil spécifique pour répondre au RGPD ?

Le RGPD responsabilise les différents acteurs qui doivent être capables de démontrer le bon respect des règles.

Il est donc vital d’instaurer de nouvelles procédures pour s’assurer d’être conforme au RGPD.

Certains outils informatiques, comme Leto, peuvent aider à minimiser les risques de sanctions.

Si vous traitez et stockez de nombreuses données personnelles, les vérifications manuelles auront rapidement une limite. Il faudra alors penser à automatiser vos processus en matière de données personnelles.

Conclusion

La CNIL sanctionne de plus en plus régulièrement les entreprises fautives. Certaines amendes atteignent même des montants astronomiques (50 millions pour Google ou 405 millions d’euros pour Instagram, par exemple).

Les signalements sont aussi de plus en plus nombreux.

Cela indique que les sociétés, même les plus fortunées, n’arrivent pas à gérer et protéger leurs données efficacement.

Le plus souvent, les entreprises sont dépassées face à cette gestion complexe des données personnelles.

On peut retenir les erreurs typiques suivantes :

  • Ne pas bien comprendre les enjeux du RGPD
  • Ne pas avoir de support de sa direction
  • Confondre intégrité des données et conformité au RGPD
  • Ne pas adopter une méthodologie claire et un plan précis

Si vous avez un doute sur votre politique interne concernant le RGPD, c’est sûrement que celle-ci n’est pas la hauteur pour garantir une bonne conformité.

N’hésitez pas à prendre rendez-vous avec l’équipe Leto pour en discuter!

Ci-dessous, vous trouverez l'ensemble des articles du RGPD, complété de notre analyse et interprétation de chaque article. L'objectif : comprendre ce règlement et avoir immédiatement des pistes de mises en oeuvre pratiques et actionnables pour votre entreprise.

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre