Skip to content

Le règlement général sur la protection des données (RGPD)

Dernière mise à jour le 08/03/2022

Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’inscrit dans la continuité de la Loi Informatique et Libertés. Il a pour but d’encadrer le traitement des données personnelles sur le territoire de l’Union européenne. Suite à l’entrée en vigueur du RGPD, de nombreux organismes ont dû se mettre en conformité avec le règlement.

Qu’est-ce que le RGPD ?

Afin de mieux comprendre ce qu’est le RGPD, il convient de définir les éléments qui le constituent à savoir :

  • La notion de données personnelles
  • La notion de traitement des données personnelles
  • Les objectifs du RGPD.

La notion de données personnelles

La notion de donnée personnelle est particulièrement large. En effet, elle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable « … » directement ou indirectement notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » selon l’article du 4 RGPD.

Ainsi, l’identification peut se faire :

  • Directement : par un nom ou un prénom
  • Indirectement : par un identifiant, un numéro de téléphone, une donnée biométrique, ect.

Cette identification peut s’effectuer :

  • A partir d’une seule donnée
  • A partir du croisement de plusieurs données

Le traitement des données personnelles

La notion de traitement de données personnelles est également très large et est définit par l’article 4 du RGPD comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, … ». Le traitement des données doit avoir une finalité légale et légitime au regard de l’activité professionnelle du responsable de traitement.

Les objectifs du RGPD

La question de la protection des données personnelles n’a jamais été aussi importante qu’aujourd’hui. En effet, le recours aux nouvelles technologies a poussé le législateur à accentuer la protection des données personnelles circulant de plus en plus facilement.

Le RGPD poursuit principalement 3 objectifs :

  • Le renforcement des droits des personnes
  • La responsabilisation des acteurs traitant des données personnelles (responsables de traitement et sous-traitants)
  • La crédibilisation de la régulation par une coopération renforcée entre autorités de protection des données

A qui s’applique le RGPD ?

Afin de mieux comprendre à qui s’applique le RGPD, il convient de définir son champ d’application.

Le RGPD s’applique à toute organisation qu’elle soit publique ou privée, quels que soient son pays d’implantation ou son activité, qu’elle traite des données personnelles pour son compte ou non à partir du moment où :

  • Elle est établie sur le territoire de l’Union européenne
  • Son activité cible des résidents européens
A noter : Le RGPD s’applique également aux sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Comment s’effectue la mise en conformité au RGPD ?

Tout organisme traitant des données personnelles est tenu de respecter les dispositions du RGPD. Pour garantir ce respect, il doit procéder à une mise en conformité au RGPD sous peine d’être sanctionné.

Les principes posés par le RGPD

Le RGPD vient poser 5 grands principes en termes de protection des données personnelles, à savoir :

  • Le principe de finalité : les informations enregistrées par le responsable de traitement doivent impérativement servir une finalité définie.
  • Le principe de proportionnalité et de pertinence : les informations enregistrées doivent être pertinentes et strictement nécessaires à la finalité du traitement.
  • Le principe de durée de conservation limitée : les informations ne peuvent être conservées que pour une durée précisément fixée selon le type d’information ainsi que la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des informations qu’il traite.

Le respect des droits des personnes

Le RGPD vient également renforcer le droit des personnes par l’instauration de mécanismes tels que :

  • L’importance du recueil du consentement : le responsable de traitement doit prouver qu’il détient le consentement clair et précis de la personne concernée avant de procéder au traitement de ses données.

Bon à savoir : De ce fait, les personnes concernées peuvent reprendre le contrôle de leurs données personnelles, ce qui permet de stimuler la concurrence.

Les mécanismes à mettre en place

Divers mécanismes sont à mettre en place afin d’assurer la mise en conformité des entreprises au RGPD :

  • Nomme un DPO
  • Tenir un registre de traitement des données
  • Réaliser une analyse d’impact relative à la protection des données (AIPD)

Nommer un DPO

Tous les organismes ne sont pas soumis à l’obligation de nommer un DPO, bien qu’il leur soit vivement recommandé d’en désigner un. En effet, ce dernier joue un rôle majeur dans la mise en conformité des organismes à la réglementation en vigueur. Il se chargera notamment de l’accomplissement des tâches suivantes :

  • Tenue du registre de traitement des données
  • Réalisation des analyses d’impact
  • Rôle d’information, de conseil et de sensibilisation à la politique de protection des données personnelles
A noter : Il peut également avoir la charge de rédiger la politique de confidentialité ou des mentions légales du RGPD.

Tenir un registre de traitement des données

Les organismes doivent tenir un registre des activités de traitement destiné à recenser les traitements des données personnelles et ainsi de disposer d’une vue d’ensemble de l’utilisation des données personnelles.

On y retrouve une documentation détaillée comprenant :

  • Les différents traitements effectués
  • Les types de traitements effectués
  • Les conditions d’exécution des traitements
  • Les acteurs traitant les données
  • Les types de données recueillies et utilisées
  • La durée de conservation des données personnelles
A noter : Ce registre doit impérativement pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Réaliser une analyse d’impact relative à la protection des données (AIPD)

L’AIPD correspond à une étude des risques préalables aux traitements des données personnelles vis-à-vis de la vie privée des personnes concernées. Ce document permet la gestion des risques liés au traitement des données personnelles au sein d’un organisme.

Il appartient à tout responsable de traitement et sous-traitant d’effectuer ces analyses afin de prouver la conformité de leurs traitements au RGPD.

Les sanctions en cas de non-respect du RGPD

Si une entreprise ne respecte pas le cadre posé par le RGPD concernant le traitement des données personnelles, elle s’expose à diverses sanctions.

Les sanctions administratives

En premier lieu des sanctions administratives, sont appliquées de manière graduelles par des organismes de contrôle tel que la CNIL :

  • Avertissement et mise en demeure de l’organisme de rendre le traitement des données conforme au RGPD
  • Injonction de cesser la violation des données personnelles
  • Limitation ou suspension temporaire des traitements de données
  • Sanctions et amendes

Le montant des amendes administratives est fixé selon la gravité de la violation des données personnelles. Il est compris entre 2 à 4% du chiffre d’affaires annuel d’un organisme et peut aller jusqu’à 20 millions d’euros.

Les sanctions pénales

Le RGPD prévoit également la mise en place de sanctions pénales à l’article 84 du règlement disposant que les Etats membres ont jusqu’au 25 mai 2018 pour notifier à la commission les différentes sanctions qu’ils envisagent d’appliquer.

En France, l’article 226-16 du code pénal sanctionne le non-respect aux dispositions du RGPD par 5 ans d’emprisonnement et 300 000 euros d’amende.

La condamnation au versement de dommages et intérêts et le déficit d’image

La personne concernée peut également percevoir des dommages et intérêts en cas de violation de ses données personnelles si elle est victime d’un dommage matériel et/ou moral, généralement suite à une fuite de données.
Cette sanction suit la politique européenne de renforcement des droits des citoyens européens. La personne concernée par les données personnelles violées peut demander le versement de dommages et intérêts grâce à des actions de groupe à travers des associations.

Attention : C’est une sanction supplémentaire. Elle s’additionne aux amendes administratives et aux sanctions pénales.

Enfin, une des sanctions non négligeables de la non-conformité au RGPD concerne le fait que l’image ainsi que la réputation de l’entreprise puisse s’en trouver ternie. En effet, elle risque de perdre sa réputation si elle ne respecte pas les dispositions du RGPD. Cela entraîne une perte de concurrence sur le marché car une violation du RGPD nuit à son image au regard des consommateurs européens.

FAQ

Pourquoi faut-il être en conformité avec le RGPD ?

Le RGPD est un règlement contraignant concernant la protection des données personnelles. Il exige une profonde modification des pratiques concernant le traitement des données personnelles. En cas de non-respect du règlement, les organismes s’exposent à des sanctions.

Est-il obligatoire de désigner un DPO selon le RGPD ?

Selon le RGPD, il n’est pas obligatoire de désigner un DPO. Il existe 3 situations dans lesquelles la désignation d’un DPO sera obligatoire. C'est le cas d'une entreprise qui traite des données sensibles ou encore lorsque le traitement est effectué par un organisme public.

Le RGPD est-il obligatoire ?

Le RGPD est obligatoire pour toutes les personnes concernées par son application. Tous les organismes amenés à traiter des données personnelles sont dans l’obligation de respecter le RGPD sous peine de sanction (exemple: le paiement d’une amende).

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 08/03/2022

S’abonner
Notifier de
guest
5 Commentaires
le plus ancien
le plus récent
Inline Feedbacks
View all comments
Hub
Hub
mai 7, 2019 1:58

Bonjour, quelles sont les conséquences pour un employeur de procéder à de la rétention d’informations suite à la demande d’un salarié d’obtenir son dossier personnel ?
Merci
Cdt.

LegalPlace SAS
LegalPlace SAS
mai 17, 2019 10:15
Reply to  Hub

Bonjour, Afin d’être sanctionné, ce comportement contrevenant au RGPD de l’employeur doit être porté à la connaissance de la CNIL ou de l’inspection du travail. La rétention d’information lors de la communication du dossier personnel sur demande de l’employé est en effet considérée comme un traitement illégal de données. La CNIL peut alors procéder à une enquête et vérifier la conformité des traitements de données effectués par l’employeur, en particulier par l’examen du registre des activités de traitements que l’employeur doit impérativement maintenir à jour. Plusieurs sanctions sont susceptibles d’être prononcées de façon graduelle, allant du rappel à l’ordre à… Lire la suite »

Philippa Puig
Philippa Puig
avril 14, 2022 8:17

Bonjour,

Combien de temps mon entreprise peut elle garder les données de ses clients et salariés ?
Merci pour votre réponse,
Cordialement,
P.Puig

Cyrine
Éditeur
Cyrine
avril 14, 2022 9:19
Reply to  Philippa Puig

Bonjour,

Conformément à la CNIL (Commission nationale de l’informatique et des libertés), l’entreprise conserve les données des salariés durant 5 ans maximum.

En espérant avoir su répondre à vos interrogations.
L’équipe LegalPlace

Philippa Puig
Philippa Puig
avril 14, 2022 9:29
Reply to  Cyrine

Merci beaucoup vous êtes géniale

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

CRÉER UNE MICRO-ENTREPRISE