Le sigle RGPD signifie « Règlement Général sur la Protection des Données ». Le RGPD est un texte réglementaire européen qui encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il est entré en application le 25 mai 2018.
Le RGPD s’inscrit dans la continuité de la loi française « Informatique et Liberté » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.
Le RGPD est le premier texte de référence dans l'Union Européenne en matière de données personnelles qui se veut d'obtenir un seul et même cadre afin de n'avoir aucune différence au sujet de la protection des données personnelles (unifier et harmoniser).
L'objectif du RGPD est de permettre aux citoyens européens de vérifier et faire valoir leurs droits sur leurs données personnelles : droit à l'information, droit d'accès, droit d'opposition, droit de rectification, droit à l'oubli, droit à la portabilité.
A qui s’adresse le RGPD ?
Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union européenne, ainsi qu’à tout organisme implanté hors de l’UE dont l’activité cible directement des résidents européens.
Le RGPD concerne également les sous-traitants qui traiteraient ou collecteraient des données personnelles pour le compte d’une autre entité.
Qu’est-ce qu’une donnée personnelle ?
Une donnée à caractère personnel (ou « donnée personnelle ») est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
Directement : nom, prénom
Indirectement : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image.
En quoi consiste le traitement des données personnelles ?
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné à un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Comment faire concrètement ?
La CNIL recommande ces précautions élémentaires en matière de protection des données personnelles :
Constituer un registre de vos traitements de données (par exemple, un fichier client)
Faire le tri dans vos données (ne collectez que les données vraiment nécessaires)
Respecter les droits des personnes en matière de consultation, de rectification ou de suppression des données
Sécuriser vos données.
Je vous invite à consulter le guide de la CNIL sur leur site https://www.cnil.fr/.
Quelles sont les sanctions en cas de non-respect du RGPD ?
Les organismes (entreprises, associations, établissements publics, etc.) non conformes peuvent être sanctionnés par la CNIL, l'autorité française compétente en matière de protection des données. Les sanctions peuvent aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial ainsi que le paiement de dommages et intérêts au civil pour la Direction.
Les risques augmentent en cas de violation de données ou de plaintes déposées par des parties prenantes de votre organisme (usagers, utilisateurs, clients, prestataires, etc.).
Le RGPD est important à connaître et à appliquer dans votre activité professionnelle. Prenez le temps de bien vous informer sur le sujet et de mettre en place les bonnes pratiques.
Pour aller plus loin:
Emilie FAVRET
Sources :