Skip to content

Le règlement général sur la protection des données (RGPD)

Dernière mise à jour le 31/08/2021

Le Règlement général sur la protection des données (RGPD) est une règlementation européenne, entrée en vigueur en 2018. Il a principalement pour but d’encadrer le traitement des données personnelles des citoyens européens.

Pour cela, les organismes doivent mettre en place de nouvelles procédures afin d’effectuer une mise en conformité avec le RGPD. Toutefois, il convient tout d’abord de savoir qui est concerné par le RGPD.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) trouve son application en France au sein de la loi “Informatique et Libertés”. Il a ainsi principalement pour but d’encadrer le traitement des données personnelles.

La notion de données personnelles

L’article 4 du RGPD pose plusieurs définitions liées au traitement de données personnelles. Ainsi, il définit une donnée personnelle comme étant une donnée permettant d’identifier une personne physique.

Cette identification peut être :

  • directe : la donnée correspond alors à un nom, prénom, etc.
  • indirecte : cela peut être un pseudonyme, un numéro d’identifiant, etc.

Toutefois, afin que le RGPD puisse s’appliquer, ces données personnelles doivent faire l’objet d’un traitement. Ainsi, le traitement de données personnelles se définit comme toute opération concernant des données permettant d’identifier des personnes. Il s’agit ainsi de la collecte, l’enregistrement, la conservation ou l’utilisation de données.

A noter : les données sensibles, telles que les données de santé, font l’objet d’une réglementation beaucoup plus stricte par le RGPD.

Les enjeux du RGPD

Le RGPD réforme en profondeur la législation européenne de protection des données personnelles des citoyens européens. En effet, il vise à harmoniser la réglementation sur la protection des données au sein de l’Union européenne.

Ainsi, le RGPD a pour principal but de conférer aux citoyens européens une protection optimale de leurs données. C’est pourquoi, il confère aux citoyens de nombreux droits tels que le droit :

  • à l’effacement (ou droit à l’oubli) : selon l’article 17 du RGPD, toute personne peut demander au responsable du traitement d’effacer ses données personnelles. Cette demande s’appuie alors sur plusieurs motifs tels que le retrait de son consentement ou l’opposition au traitement de ses données personnelles.
  • d’accès ou de rectification : toute personne dispose de la possibilité de demander au responsable de traitement d’accéder à ses données et de les rectifier si besoin.

Qui est concerné par le RGPD ?

Tous les organismes amenés à traiter des données personnelles sont concernés par le RGPD. En effet, si le traitement des données leur permet de fonctionner correctement ou de gérer leurs activités, ils ont l’obligation de respecter le RGPD.

Ainsi, il importe peu que l’organisme soit une TPE ou une association de loi 1901. En effet, si celles-ci répondent aux critères imposés, elles sont dans l’obligation de respecter le RGPD.

Par ailleurs, les organismes concernés sont autant les organismes privés que publics. Il s’agit ainsi des entreprises, des associations ou collectivités. L’article 3 du RGPD définit également son champ d’application territorial. Ainsi, il concerne les organismes :

  • établi sur le territoire de l’Union européenne
  • dont l’activité cible des personnes résidant sur le territoire de l’Union européenne

Ainsi, tous les organismes répondant à ces critères sont dans l’obligation de se mettre en conformité avec le RGPD.

Bon à savoir : le responsable du traitement des données personnelles mais également ses sous-traitants doivent être conformes au RGPD. En effet, le RGPD suit une logique de co-responsabilité.

Comment se mettre en conformité avec le RGPD ?

Lorsque vous êtes concernés par le RGPD, il est impératif de procéder à une mise en conformité. En effet, celle-ci est requise afin d’éviter d’être sanctionné. Ainsi, pour cela, il faut respecter plusieurs principes et mettre en place de nombreuses procédures.

Les principes posés par le RGPD

Le RGPD a instauré de nombreux principes afin de garantir la protection des données personnelles. Il appartient donc aux organismes d’adapter le traitement des données personnelles aux nouvelles règles imposées par le RGPD.

Ainsi, les acteurs concernés sont dans l’obligation de respecter les principes tels que :

  • la licéité du traitement : l’article 6-1 du RGPD prévoit six conditions dans lesquelles le traitement des données personnelles est permis.
Attention : Si le traitement des données personnelles ne répond pas aux six conditions, celui-ci ne sera pas licite.
  • la minimisation des données : les responsables de traitement ont l’obligation de limiter la collecte des données à celles strictement nécessaires par rapport à la finalité du traitement. Ainsi, ils doivent collecter des données uniquement pour répondre à l’objectif défini.
  • le principe d’accountability : les entreprises sont responsables en cas de non-respect des principes posés par le RGPD. Ainsi, les acteurs concernés doivent mettre en place des mesures pour garantir les principes du RGPD.
  • le principe de “privacy by design” : les organismes doivent veiller à prendre en compte la protection des données personnelles dès la conception du produit ou d’un service.
A noter : Les responsables de traitement doivent également respecter les règles strictes imposées en matière de profilage par le RGPD.

Le respect des droits des personnes

Le RGPD confère également de nombreux droits aux personnes dont les données sont collectées. Ainsi, les organismes doivent veiller à respecter notamment :

  • le droit à la portabilité des données : toute personne a le droit de récupérer les données qu’elle a fournies à un responsable de traitement ou demander leurs transferts. Ainsi, une personne peut demander à un site de streaming tel que Spotify de transférer l’ensemble de ses données personnelles à un concurrent – tel que Deezer dans le cas présent.
Bon à savoir : Les personnes concernées peuvent ainsi reprendre le contrôle sur leurs données personnelles. Cela permet également de stimuler la concurrence entre les entreprises.
  • le recueil du consentement dans le cadre du RGPD : Le responsable du traitement a la charge de prouver qu’il a recueilli le consentement clair et précis de la personne concernée avant tout traitement des données. De plus, le consentement ne peut pas être donné de manière générale mais doit être donné au cas par cas.

Les acteurs concernés sont ainsi dans l’obligation de mettre en place des mesures veillant à respecter ces droits.

A noter : Le RGPD confère de nombreux autres droits aux citoyens européens. Ceux-ci sont reportés au Chapitre 3 du Règlement.

Les procédures à mettre en place

Afin de pouvoir respecter les principes énoncés, les organismes doivent mettre en place de nombreuses procédures.

La nomination d’un DPO

La nomination d’un délégué à la protection des données (DPO) n’est pas obligatoire pour tous les organismes. Toutefois, elle est vivement recommandé.

En effet, celui-ci a pour principal objectif de s’assurer de la mise en conformité de l’organisme avec la règlementation. Il sera alors en charge de tenir le registre de traitement des données et de réaliser les analyses d’impact.

Il a donc un rôle d’information, de conseil et de sensibilisation au RGPD constant vis-à-vis de la politique de protection des données personnelles au sein de l’organisme et auprès du responsable de traitement.

A noter : Il peut également être en charge de la rédaction de la politique de confidentialité RGPD ou des mentions légales RGPD.

La tenue d’un registre de traitement des données

La mise en conformité au RGPD implique une documentation détaillée des opérations liées aux données personnelles. Ainsi, les organismes doivent disposer d’un registre des activités de traitement. Celui-ci permet ainsi de recenser les traitements des données personnelles et de disposer d’une vue d’ensemble sur l’utilisation des données personnelles.

Ainsi, le registre doit contenir :

  • Les différents traitements effectués ;
  • les types des traitements ;
  • les types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger) ;
  • les acteurs traitant des données ;
  • les conditions d’exécution du traitement ;
  • la durée de conservation des données personnelles.
A noter : Ce registre doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

La réalisation d’une Analyse d’impact relative à la protection des données (AIPD)

L’analyse d’impact est l’étude des risques préalables aux traitements des données personnelles vis-à-vis de la vie privée des personnes concernées.

C’est un document clé car il permet la gestion des risques liés au traitement des données personnelles au sein d’un organisme. Tout responsable de traitement et tout sous-traitant doit effectuer ces analyses pour prouver la conformité de leurs traitements au RGPD.

Quelles sont les sanctions en cas de non-respect du RGPD?

Le RGPD prévoit deux sortes de sanctions si une entreprise n’est pas conforme à ses dispositions dans le cadre d’un traitement de données personnelles. Ces sanctions ont un rôle dissuasif du fait de leur montant extrêmement élevé.
Les autorités de contrôle telles que la CNIL (Commission nationale de l’informatique et des libertés) ont le rôle de veiller au respect et à l’application du RGPD. Elles ont donc le droit d’imposer des sanctions.

Les sanctions administratives et pénales

C’est un système de sanctions graduel :

  • Avertissement et mise en demeure de l’organisme de rendre le traitement des données personnelles conforme au RGPD ;
  • Injonction de cesser la violation des données personnelles ;
  • Limitation ou suspension temporaire des traitements de données ;
  • Sanctions et amendes pour finir.

Ainsi, le montant des amendes administratives est fixé selon la gravité de la violation des données personnelles. Il est compris entre 2 à 4% du chiffre d’affaire annuel d’un organisme et peut aller jusqu’à 20 millions d’euros.

Par ailleurs, pour les infractions pénales liées aux données personnelles telles que le détournement de la finalité des données personnelles collectées, les sanctions peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Dommages et intérêts et déficit d’image

La personne concernée peut également percevoir des dommages et intérêts en cas de violation de ses données personnelles si elle est victime d’un dommage matériel et moral, généralement suite à une fuite de données.
Cette sanction suit la politique européenne de renforcement des droits des citoyens européens. La personne concernée par les données personnelles violées peut demander le versement de dommages et intérêts grâce à des actions de groupe à travers des associations.

Attention ! C’est une sanction supplémentaire. Elle s’additionne aux amendes administratives et aux sanctions pénales.

Enfin, une des sanctions non négligeables de la non-conformité au RGPD est le déficit d’image pour une entreprise. En effet, elle risque de perdre sa réputation si elle ne respecte pas les dispositions du RGPD. Cela entraîne une perte de concurrence sur le marché car une violation du RGPD nuit à son image au regard des consommateurs européens.

FAQ

Pourquoi se mettre en conformité avec le RGPD ?

Le RGPD est un règlement contraignant concernant la protection des données personnelles. Il est entré en vigueur en 2018 et exige une profonde modification des pratiques concernant le traitement des données personnelles. Ainsi, en cas de non-respect de celui-ci, les organismes s’exposent à des sanctions.

Est-il obligatoire de désigner un DPO selon le RGPD ?

Selon le RGPD, il n’est pas obligatoire de désigner un DPO. En effet, on recense uniquement trois situations dans lesquelles la désignation d’un DPO est obligatoire. C’est par exemple le cas lorsqu’une entreprise traite des données sensibles ou lorsque le traitement est effectué par un organisme public.

Le RGPD est-il obligatoire ?

Le RGPD est obligatoire pour toutes les personnes concernées par son application. Ainsi, les organismes amenés à traiter des données personnelles sont dans l’obligation de respecter le RGPD. Si tel n’est pas le cas, ils s’exposent alors à de lourdes sanctions, telles que le paiement d’une amende.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 31/08/2021

S’abonner
Notifier de
guest
2 Commentaires
le plus ancien
le plus récent
Inline Feedbacks
View all comments
Hub
Hub
mai 7, 2019 1:58

Bonjour, quelles sont les conséquences pour un employeur de procéder à de la rétention d’informations suite à la demande d’un salarié d’obtenir son dossier personnel ?
Merci
Cdt.

LegalPlace SAS
LegalPlace SAS
mai 17, 2019 10:15
Reply to  Hub

Bonjour, Afin d’être sanctionné, ce comportement contrevenant au RGPD de l’employeur doit être porté à la connaissance de la CNIL ou de l’inspection du travail. La rétention d’information lors de la communication du dossier personnel sur demande de l’employé est en effet considérée comme un traitement illégal de données. La CNIL peut alors procéder à une enquête et vérifier la conformité des traitements de données effectués par l’employeur, en particulier par l’examen du registre des activités de traitements que l’employeur doit impérativement maintenir à jour. Plusieurs sanctions sont susceptibles d’être prononcées de façon graduelle, allant du rappel à l’ordre à… Lire la suite »

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris