Skip to content
  1. HomeLegalPlace
  2. Guides
  3. RGPD

Le règlement général sur la protection des données (RGPD)

Articles Catégories

Dernière mise à jour le 05/04/2024

Sommaire

Obtenir un devis RGPDObtenir un devis RGPD

Le RGPD (règlement général sur la protection des données) est une législation européenne entrée en vigueur le 25 mai 2018. Il vise à renforcer et à unifier la protection des données personnelles des citoyens de l’Union européenne, ainsi qu’à réglementer leur traitement par les entreprises et les organisations. Ce règlement impose des obligations strictes en matière de collecte, de stockage et de traitement des données personnelles, et prévoit des sanctions financières significatives en cas de non-conformité RGPD.

Obtenir un devis gratuit RGPD

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) instaure un cadre légal pour la protection des données personnelles en Europe. 

Son champ d’application dépasse les frontières de l’UE, s’appliquant à toute entité manipulant des données personnelles de résidents européens, même si ces traitements ont lieu en dehors de l’UE.

Ce règlement renforce la protection des individus dont les données sont collectées et établit des droits clairs pour les personnes concernées.

Ces droits comprennent notamment la possibilité d’accéder à leurs données personnelles, de les rectifier, de les effacer ou de les transférer à d’autres services. 

En parallèle, le RGPD impose aux responsables de traitement de respecter diverses obligations. Telles que la tenue d’un registre des traitements ou la notification des violations de données à l’autorité de contrôle compétente, comme la CNIL en France.

Cette réglementation place une responsabilité importante sur les acteurs traitant les données, exigeant qu’ils garantissent et démontrent la conformité de leurs activités au RGPD. 

Les responsables de traitement doivent justifier leurs pratiques de protection des données.

Ils doivent aussi prendre des mesures pour assurer la sécurité et la confidentialité des informations personnelles collectées.

Quel est le champ d’application du RGDP ?

Le champ d’application du RGPD est vaste et concerne différents acteurs et types de données. 

A qui s’applique-t-il ?

Le RGPD, ou règlement général sur la protection des données, s’applique à différentes entités et organisations. 

Voici à qui il s’applique.

Entreprises et organisations établies dans l’Union européenne (UE)

Le RGPD s’applique à toutes les entreprises et organisations, qu’elles soient publiques ou privées, grandes ou petites, établies dans l’UE et traitant des données personnelles.

Entreprises et organisations non établies dans l’UE

Le RGPD s’applique également à toute entreprise ou organisation qui traite des données personnelles de citoyens de l’UE. Même si elle n’est pas établie dans l’UE.

Même les entreprises hors de l’UE doivent respecter le RGPD si elles ciblent ou surveillent les personnes de l’UE.

Bon à savoir : Le RGPD s’applique à toute organisation qui traite des données personnelles de citoyens de l’UE, qu’elle soit établie dans l’UE ou non. Cela garantit une protection uniforme des données personnelles dans toute l’Union européenne. Ainsi qu’une protection accrue pour les citoyens de l’UE où qu’ils se trouvent dans le monde.

Quels types de données sont concernés ?

Le RGPD concerne tous les types de données personnelles. Les données personnelles sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable. 

Cela inclut une grande variété d’informations, telles que :

  1. Les données d’identification : nom, prénom, adresse, numéro d’identification, numéro de sécurité sociale, etc.
  2. Les données de contact : adresse email, numéro de téléphone, adresse postale, etc.
  3. Les données démographiques : âge, sexe, nationalité, etc.
  4. Les données financières : numéro de carte bancaire, informations bancaires, historique des transactions, etc.
  5. Les données professionnelles : poste, entreprise, historique professionnel, etc.
  6. Les données de santé : informations médicales, dossier médical, résultats d’examens, etc.
  7. Les données génétiques et biométriques : empreintes digitales, ADN, caractéristiques physiques uniques, etc.
A noter : Tous les types de données qui peuvent être utilisés pour identifier directement ou indirectement une personne physique sont concernées par le RGPD. Il vise à protéger la confidentialité et la sécurité de ces données. Ainsi que les droits et libertés des individus auxquels elles se rapportent.

Quels sont les acteurs concernés par le RGPD ?

Le RGPD concerne plusieurs acteurs impliqués dans le traitement des données personnelles.

Voici les principaux acteurs concernés.

Le responsable du traitement des données

Il s’agit de l’entité (entreprise, organisation, administration publique, etc.) qui détermine les finalités et les moyens du traitement des données personnelles. 

Le responsable du traitement est responsable de garantir que le traitement des données est conforme au RGPD et doit mettre en place les mesures nécessaires pour assurer la protection des données.

Le sous-traitant

Le sous-traitant est une entité qui traite des données personnelles pour le compte du responsable du traitement.

Il peut s’agir par exemple d’un prestataire de services informatiques, d’un centre d’appels ou d’un service de cloud computing.

Le sous-traitant doit également respecter les dispositions du RGPD et mettre en œuvre des mesures de sécurité appropriées.

Les personnes concernées

Les personnes concernées sont les individus auxquels les données personnelles se rapportent. 

Ils ont des droits spécifiques en vertu du RGPD. Tels que le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la portabilité des données, etc.

Les autorités de contrôle

Les autorités de contrôle veillent à l’application du RGPD et punissent les violations.

Chaque État membre de l’UE a une autorité de contrôle indépendante qui surveille le respect du RGPD sur son territoire.

A noter : le RGPD concerne tous les acteurs impliqués dans le traitement des données personnelles, depuis les responsables du traitement jusqu’aux personnes concernées. En passant par les sous-traitants et les autorités de contrôle. Chacun a un rôle spécifique à jouer dans le respect des dispositions du RGPD et la protection des données personnelles.

Quels sont les principes de base de ce règlement ?

Les principes du RGPD sont les suivants :

  1. Légalité, loyauté et transparence : les données personnelles doivent être traitées de manière licite, équitable et transparente et à l’égard de la personne concernée.
  2. Finalité limitée : les données personnelles doivent être collectées à des fins spécifiques, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
  3. Minimisation des données : seules les données personnelles nécessaires à la réalisation des finalités doivent être collectées et traitées.
  4. Exactitude des données : Les données personnelles doivent être exactes et tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données inexactes soient rectifiées ou effacées.
  5. Limitation de la conservation : les données personnelles ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées.
  6. Intégrité et confidentialité : les données personnelles doivent être traitées de manière à garantir leur sécurité, notamment contre toute perte, destruction ou accès non autorisé. reformule tout ça à la voix active

Les responsables du traitement des données doivent traiter les données personnelles de manière à garantir leur sécurité, notamment en les protégeant contre toute perte, destruction ou accès non autorisé.

🔎 Zoom : La manipulation des données est source d’actualités et demande une grande rigueur pour les entreprises. Afin de vous aider dans cette tâche difficile, LegalPlace vous propose de réaliser un devis de mise en conformité RGPD : une solution simple, efficace et économique !

Comment le consentement est-il défini et obtenu ?

Le consentement est défini comme une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que ses données à caractère personnel fassent l’objet d’un traitement. 

Pour être valable, le consentement doit être donné de manière explicite et active, sans être assorti de conditions abusives ou ambiguës. Il peut être obtenu par le biais d’une case à cocher, d’une signature électronique, ou de tout autre moyen clair et non équivoque.

Quelles sont les obligations en matière de transparence et de responsabilité ?

Les responsables du traitement des données doivent informer clairement les personnes concernées sur la manière dont leurs données sont utilisées.

Cela inclut fournir des informations telles que l’identité du responsable du traitement, les objectifs du traitement, les destinataires des données, et également les droits des personnes concernées.

De plus, les responsables du traitement doivent être en mesure de démontrer leur conformité avec les principes et les obligations du RGPD en tenant des registres de leurs activités de traitement, en mettant en œuvre des mesures de sécurité appropriées, en réalisant des analyses d’impact sur la protection des données lorsque cela est nécessaire, et en désignant éventuellement un délégué à la protection des données (DPO).

A noter : Il peut également avoir la charge de rédiger la politique de confidentialité ou des mentions légales conformes au RGPD.

Quelles sont les sanctions en cas de non-conformité au RGPD ?

En cas de non-conformité au RGPD, les autorités de contrôle compétentes peuvent imposer des sanctions.

Ces sanctions peuvent être administratives ou pécuniaires. Et leur montant dépend de la gravité de la violation et des circonstances spécifiques de chaque cas.

Voici un aperçu des sanctions prévues par le RGPD.

Avertissement ou mise en demeure

Les autorités de contrôle peuvent adresser un avertissement ou une mise en demeure à l’entité en infraction. Lui demandant de se conformer aux dispositions du RGPD dans un délai déterminé.

Restriction temporaire ou définitive du traitement des données

Les autorités de contrôle peuvent ordonner la suspension temporaire ou définitive du traitement des données personnelles. Elles le font si elles estiment que celui-ci est effectué de manière non conforme au RGPD.

Ordre de rectification, de limitation ou d’effacement des données

Les autorités de contrôle peuvent ordonner à l’entité en infraction de rectifier, de limiter ou d’effacer les données personnelles concernées. Cela concerne les données inexactes, incomplètes ou traitées de manière non conforme au RGPD.

Amendes administratives

Les autorités de contrôle peuvent infliger des amendes administratives aux entreprises ou organisations en infraction.

Le montant des amendes peut atteindre jusqu’à 20 millions d’euros, pu dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent selon le montant le plus élevé.

A noter : les sanctions en cas de non-conformité au RGPD peuvent être sévères et avoir des conséquences financières importantes pour les entreprises ou organisations en infraction. Il est donc essentiel de se conformer aux dispositions du RGPD et également de mettre en place les mesures nécessaires pour assurer la protection des données personnelles.

FAQ

Quelles sont les différences entre le RGPD et la directive précédente sur la protection des données ?

Cette question explore les différences clés entre le RGPD et la directive précédente sur la protection des données, notamment en termes de portée, de sanctions, de droits des individus et d’exigences pour les entreprises.

Comment les autorités de protection des données appliquent-elles les sanctions ?

Les autorités de protection des données appliquent les sanctions en cas de non-conformité au RGPD de manière progressive et proportionnée, allant de notifications et recommandations à des sanctions administratives telles que des amendes.

Quels sont les mécanismes de notification en cas de violation de données ?

En cas de violation de données personnelles, les entreprises doivent notifier l’autorité de protection des données compétente dans les 72 heures suivant la prise de connaissance de la violation, sauf si la violation ne présente pas de risque pour les droits et libertés des personnes concernées.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 05/04/2024

S’abonner
Notification pour
guest

5 Commentaires
Le plus ancien
Le plus récent
Commentaires en ligne
Afficher tous les commentaires
Hub
Hub
mai 7, 2019 1:58 pm

Bonjour, quelles sont les conséquences pour un employeur de procéder à de la rétention d’informations suite à la demande d’un salarié d’obtenir son dossier personnel ?
Merci
Cdt.

Répondre
LegalPlace SAS
LegalPlace SAS
mai 17, 2019 10:15 am
Répondre à  Hub

Bonjour, Afin d’être sanctionné, ce comportement contrevenant au RGPD de l’employeur doit être porté à la connaissance de la CNIL ou de l’inspection du travail. La rétention d’information lors de la communication du dossier personnel sur demande de l’employé est en effet considérée comme un traitement illégal de données. La CNIL peut alors procéder à une enquête et vérifier la conformité des traitements de données effectués par l’employeur, en particulier par l’examen du registre des activités de traitements que l’employeur doit impérativement maintenir à jour. Plusieurs sanctions sont susceptibles d’être prononcées de façon graduelle, allant du rappel à l’ordre à… Lire la suite »

Répondre
Philippa Puig
Philippa Puig
avril 14, 2022 8:17 am

Bonjour,

Combien de temps mon entreprise peut elle garder les données de ses clients et salariés ?
Merci pour votre réponse,
Cordialement,
P.Puig

Répondre
Cyrine
Cyrine
avril 14, 2022 9:19 am
Répondre à  Philippa Puig

Bonjour,

Conformément à la CNIL (Commission nationale de l’informatique et des libertés), l’entreprise conserve les données des salariés durant 5 ans maximum.

En espérant avoir su répondre à vos interrogations.
L’équipe LegalPlace

Répondre
Philippa Puig
Philippa Puig
avril 14, 2022 9:29 am
Répondre à  Cyrine

Merci beaucoup vous êtes géniale

Répondre

Rédigé par

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Télécharger notre guide gratuit

Articles similaires

Le principe d’accountability RGPD
Les obligations d'une association avec le RGPD
Le RGPD pour les TPE
Rédiger une politique de confidentialité conforme au RGPD
Le RGPD et les données de santé
Le consentement explicite et positif dans le RGPD
Les sanctions en cas de non-respect du RGPD
Le droit à la portabilité des données personnelles
Le RGPD et le profilage
Se mettre en conformité au RGPD en quelques étapes