Tout comprendre sur le règlement général sur la protection des données
Dernière date de mise à jour le : 8 mars 2024 à 09:51 am
-A l’ère des réseaux sociaux, du commerce numérique et des moteurs de recherche, le traitement des données, leur protection ainsi que le droit à l’oubli constituent un cheval de bataille autour duquel s’affrontent deux visions.
- Celle de l’Europe, qui cherche à protéger les utilisateurs.
- Et celle des Etats-Unis, qui militent pour une liberté sur Internet. Ce qui donnerait une plus grande marge de manoeuvre aux GAFA.
Toutes les entreprises, institutions ou associations des États membres de la communauté européenne qui traitent des données à caractère personnel sont maintenant tenues de se mettre en conformité avec le Règlement Général sur la Protection des Données.
Mais le cadre légal du RGPD ne s’arrête pas là. Il s’applique aussi aux entreprises enregistrées hors d’Europe et qui traitent les données de ressortissants européens. Le RGPD concerne donc aussi Google, Amazon, Facebook, Apple, Windows, etc.
Qu’est-ce que le RGPD ? Comment vous affecte-t-il ? C’est ce que nous allons voir ensemble dans cet article.
Qu’est ce que le RGPD : définition
Adopté par le Parlement Européen en 2016, le Règlement Général sur la Protection des Données, ou RGPD, est entré en vigueur le 25 mai 2018.
Il détermine un cadre légal clair et exigeant en matière de protection des données personnelles sur le territoire européen. Avec pour but de responsabiliser toute entité amenée à traiter des données à caractère personnel.
Il renforce de même le droit des personnes dont les données sont traitées. Il vient en complément de la Loi Informatique et Libertés de 1978.
C’est par exemple, le RGPD qui oblige les sites internet que vous visitez à vous informer sur les données à caractère personnel qu’ils collectent lors de votre visite et de vos interactions avec leurs services.
Le RGPD – ou GDPR pour General Data Protection Regulation en anglais – repose sur trois grands principes fondateurs du droit sur la protection des données en Europe : transparence, responsabilité et respect des droits.
- Transparence : l’entité qui collecte vos données doit l’indiquer clairement, et communiquer clairement sur leur utilisation, leur conservation, leur traitement. Le consentement au traitement des données doit être le fruit de démarches de l’utilisateur.
- Responsabilité : les entreprises doivent être proactives et faire preuve de responsabilité à toutes les étapes de leur interaction avec l’utilisateur et ses données. Elles restent responsables de vos données lorsqu’elles sont transmises à des sous-traitants.
- Respect des droits : les utilisateurs de l’Union Européenne ont des droits clairement établis et protégés en termes de collecte, traitement, transmission, conservation et suppression de leurs données personnelles.
Quelles sont les données personnelles couvertes par le RGPD ?
Les données dites personnelles sont toutes les données qui se rapportent à la personne physique concernée. Les données personnelles les plus courantes :
- Nom,
- Prénom,
- Adresse postale,
- Email,
- Numéro de téléphone,
- Date de naissance.
Elles permettent de vous identifier, de vous localiser, de vous contacter…
Mais la notion de données personnelles encadre beaucoup plus de types d’informations différents.
Votre historique de visites sur un site, par exemple, permet d’identifier vos préférences personnelles. Votre historique d’achat en ligne, permet aux sites marchands de dresser votre profil d’acheteur. Et de vous proposer des produits susceptibles de vous plaire.
Même votre adresse IP est une donnée personnelle. Elle permet à certains acteurs du web, commerçants comme pirates, d’en apprendre beaucoup sur vous. Du nom de votre FAI à votre localisation… Elle permet aussi de relier votre trafic internet à votre appareil, et donc à vous.
C’est d’ailleurs pourquoi de plus en plus de gens utilisent un VPN pour protéger leur historique de navigation et masquer leur adresse IP. Le site VPNpro a une liste pratique des meilleurs VPN avec un essai gratuit si vous voulez vous aussi en essayer un sans risque.
Les données personnelles peuvent aussi concerner des domaines plus sensibles de votre vie privée : votre historique médical est connu par les sites de consultation en ligne et par les applications de santé qui se trouvent sur votre mobile ou votre smartwatch.
De même, votre orientation sexuelle est une donnée (très) personnelle. Elle peut être utilisée à des fins marketing pour vous vendre certains produits. Mais qui, entre de mauvaises mains, pourrait être utilisée pour vous faire du tort.
Opinion politique, croyance religieuse, appartenance syndicale, charité, volontariat, casier judiciaire… Toutes ces informations sont des données personnelles dont le traitement est encadré par le RGPD.
Celui-ci distingue d’ailleurs plusieurs catégories de données qui bénéficient d’une protection adaptée au risque qu’elles font peser sur vos droits et libertés. Plus elles sont sensibles, plus l’exigence de protection est accrue.
A qui s’applique le RGPD ?
Le Règlement général sur la protection des données s’applique à toutes les entreprises, organismes et associations sans distinction de taille ou d’activité, publics ou privés.
À partir du moment où l’entité est établie sur le territoire de l’Union européenne ou qu’elle traite des données, pour son compte ou non, de résidents de l’Union Européenne, elle est assujettie au RGPD.
C’est le dirigeant de l’entreprise qui est responsable de la mise en œuvre de la protection des données durant leur traitement. Les entreprises ont ainsi plusieurs obligations, parmi lesquelles :
- S’assurer que le traitement des données est licite, loyal et transparent ;
- Collecter des données à des fins déterminées, claires et explicites ;
- S’assurer que les données sont pertinentes, exactes, limitées et mises à jour ;
- Garantir que leur durée de conservation est raisonnable ;
- Enfin, le traitement des données doit garantir leur protection.
En France c’est la CNIL qui est responsable de s’assurer que les données traitées le sont conformément au règlement général. C’est aussi la Commission Nationale Informatique et Libertés qui est chargée de verbaliser les entreprises en cas de manquement à la loi.
Quelles sanctions sont prévues par le RGPD ?
Si une entreprise ou une institution qui traite les données de résidents européens ne prend pas toutes les mesures nécessaires au respect des règles du RGPD elle s’expose à de lourdes sanctions. La réaction de la CNIL sera graduée en fonction de la gravité des manquements constatés. Elle peut :
- Prononcer un simple rappel à l’ordre ;
- Astreindre de mettre le traitement des données en conformité avec les dispositions du règlement général ;
- Limiter un traitement de données temporairement ou définitivement ;
- Suspendre le flux des données traitées par l’organisme;
- Ordonner de se conformer à l’exercice des droits des personnes concernées, ou de rectifier, limiter, ou effacer certaines données ;
- Prononcer une amende administrative.
Afin de garantir l’effet dissuasif du RGPD auprès des entreprises les plus riches, comme les GAFA, les amendes que la CNIL peut donner peuvent atteindre entre dix et vingt millions d’euros, ou représenter de 2% à 4% du chiffre d’affaires annuel mondial de l’entreprise. C’est toujours le montant le plus élevé qui est retenu.
Quelles sont les obligations des entreprises ?
Les entreprises doivent obéir à certains principes essentiels à la bonne protection des données. La multiplication des fuites de données chez des organismes respectables et au-dessus de tout soupçon a mené aux concepts de Privacy by Design et de Privacy by Default, qu’on peut traduire par Confidentialité dès la conception et Confidentialité par défaut.
Que signifie Privacy by Design ?
Ce principe de Confidentialité ou Protection dès la conception apparaît dans l’article 25 du règlement général sur la protection des données.
Il stipule que tout organisme doit réfléchir à et mettre en œuvre la protection des données en amont de leur collecte et traitement.
Cette réflexion doit prendre en compte toutes les sortes de données traitées et les différents acteurs qui prennent part au traitement des données :
- Employés,
- Sous-traitants,
- Partenaires commerciaux,
- Etc.
Il s’agit de prendre des mesures techniques et organisationnelles pour s’assurer d’être en conformité avec le RGPD d’une part, mais aussi de s’assurer que la vie privée des personnes sera protégée.
Le principe de Privacy by Design consiste donc à adopter une attitude préventive pour s’assurer de la bonne conformité de la manipulation des données.
Que signifie Privacy by Default ?
Le principe de Privacy by Design ne suffit pas aux entreprises pour garantir leur conformité avec le RGPD. Pour assurer un niveau de protection suffisant, il faut aussi intégrer le principe de Privacy by Default.
La Confidentialité ou protection par défaut est assurée lorsque le produit ou le service de l’entreprise respecte également les standards de protection des données du RGPD sans intervention extérieure.
L’utilisateur ou l’acheteur ne doivent donc pas avoir besoin d’effectuer des modifications aux paramètres, réglages ou configurations du service ou produit pour protéger leurs données.
Les recommandations de la CNIL
La CNIL a par ailleurs recommandé aux entreprises 6 actions à mettre en place pour se mettre en conformité :
- Désigner une personne chargée de garantir la mise en conformité avec le RGPD. Cette désignation est obligatoire pour les entreprises traitant certaines données sensibles, et pour tous les organismes publics.
- Constituer un registre de traitement des données. Identifier les activités de l’entreprise qui nécessitent le traitement de données. Puis répertorier un responsable du traitement, la catégorie des données, les personnes y ayant accès, etc.
- Repérer les traitements à risque. Les responsables doivent être en mesure d’identifier les données qui peuvent demander un traitement particulier en effectuant un tri et une mise à jour régulièrement.
- Respecter le droit des personnes. Les organismes doivent assurer aux salariés, clients, utilisateurs la connaissance de leurs droits et une information claire sur les données personnelles collectées et leur traitement.
- Sécuriser les données. En mettant à jour leurs systèmes, en utilisant un antivirus, des mots de passe solides, et en s’assurant que leurs employés connaissent ces règles.
- S’assurer que les sous-traitants respectent le RGPD. Les contrats de sous-traitance doivent contenir une clause sur la protection des données personnelles.
Quels sont les droits des personnes ?
En tant qu’utilisateur d’un service, salarié ou client d’une entreprise, vous avez des droits clairs, inaliénables et nécessaires dans le cadre du RGPD. Vous avez droit :
- D’accès permanent aux données personnelles collectées et traitées vous concernant ;
- De rectification permanent, et le responsable du traitement des données personnelles doit effectuer les rectifications dans les meilleurs délais ;
- D’opposition qui vous permet de vous opposer au traitement de vos données personnelles dans des situations particulières ;
- À l’oubli, càd de demander l’effacement des données personnelles traitées dans les meilleurs délais ;
- Vous avez le droit à la portabilité des données. Ce qui vous permet d’obtenir et réutiliser vos données à des fins personnelles
- Enfin vous avez le droit à la limitation du traitement. Ce qui vous permet de décider dans quelles limites vos données personnelles peuvent être traitées.
