Qu’est ce que le RGPD ?

Le règlement général sur la protection des données personnelles (UE) 2016/679, plus souvent appelé le «RGPD», est le nouveau règlement remplaçant la directive 95/46/CE et s’appliquant aux personnes morales ou physiques traitant des données à caractère personnel.

Il est applicable depuis le 25 mai 2018 après une période de transition de deux ans débutée en 2016.

A quoi sert le RGPD ?

Du fait des nouvelles technologies et du volume croissant de données collectées, il est de plus en plus facile d’analyser le comportement des individus ou de connaître leur passé (profil de réseaux sociaux etc.). 

Le Réglement a pour but de répondre aux risques accrus d’intrusion disproportionnée ou non autorisée dans la sphère intime des individus :

  • en appliquant les principes de protection des données (voir ici ) de manière plus stricte ;

 

  • en donnant plus de contrôle aux individus sur leurs données ;  et

 

  • en responsabilisant les personnes traitant ce types données (c-à-d. les responsables du traitement et sous-traitants (voir ici pour plus de détails sur ces notions).
Quand le RGPD s’applique-t-il ?

Sous réserve de remplir certaines conditions notamment de territorialité, le RGPD est la réglementation applicable dès lors qu’une personne traite des données à caractère personnel.

Les données à caractère personnel sont toutes les données permettant d’identifier directement ou indirectement une personne physique. Dès lors qu’un individu peut être identifié par la personne traitant les données, toutes les données la concernant peuvent être considérées comme à caractère personnel (ex: nom, couleur des yeux, intérêts, commentaires, photos, habitudes de vie, heure de visite, emails, historique, transactions financières, amis/réseaux etc.).

Les traitements de données sont toutes opérations ou ensemble d’opérations mis en oeuvre sur  des données à caractère personnel tels que l’accès, la consultation, l’enregistrement, l’analyse, l’effacement etc.

Ainsi, le RGPD a un périmètre d’application très large.

Quels sont les principales nouveautés par rapport à la directive 95/46/CE ?

Le nouveau format

Le passage d’une directive à un règlement vise à assurer une approche et une application cohérente des règles relatives à la protection des données au sein de l’Union Européenne. En effet le règlement  s’applique directement dans chaque État Membre sans qu’il soit nécessaire de le transposer dans une nationale.

Toutefois, certaines divergences subsistent entre les États Membres dans des domaines spécifiques tels que le traitement des données relatives à la RH ou à la liberté d’expression ( ex: l’utilisation par les journalistes de données à caractère personnel). Ainsi chaque Etat membre a publié une loi nationale pour répondre aux points que le RGPD ne couvraient pas.

Le RGPD est d’application extra-territoriale 

Puisqu’il concerne à la fois les organisations établies dans et en-dehors l’Union Européenne lorsque certains critères sont remplis (voir «Le RGPD s’applique-t-il à votre activité ?»). Ceci permet de toucher plus directement les entreprises situées hors UE mais opérant sur les marchés européens.

Le principe directeur du RGPD est le principe de responsabilité 

Les responsables du traitement ne doivent plus notifier les autorités de leurs activités de traitement mais en retour, il doivent être en mesure de démontrer leur conformité au réglement. Ceci implique de nouvelles obligations pour les responsables du traitement (voir ici) et les sous-traitants (voir ici)

En particulier, le responsable du traitement doit respecter les principes de protection des données dès la conception et par défaut lorsqu’il projette de mettre en oeuvre un traitement de données,  conduire des analyses d’impacts sur la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées et être en mesure de notifier certaines failles de sécurité dans un délai 72 heures.

Les individus voient leurs droits et leur contrôle sur les données renforcés 

Les responsables du traitement doivent fournir des informations plus détaillées aux individus concernées (voir ici), et le droit des personnes sur leur données est renforcées, détaillées et/ou rendu explicite (ex: droit à l’oubli, droit à la portabilité des données, droit de retrait du consentement à tout moment etc.). (voir les droits des personnes ici)

Une coopération accrues des autorités (CEPD, guichet unique, mécanisme de coopération)

Le RGPD prévoit la création du Comité Européen à la Protection des Données (CEPD) réunissant les autorités de contrôle de chaque Etat membre. Celles-ci ont l’obligation de coopérer via un mécanisme de contrôle de la cohérence pour assurer une application uniforme du Règlement. Par ailleurs, lorsqu’un traitement est transfrontalier, un système de guichet unique permet à une autorité chef-de-file, de superviser les éventuels contrôles et de sanctionner le acteurs fautifs au nom de toutes les autres autorités.

Des sanctions potentiellement très élevées

De moins d’un million d’euros en 2016, le montant des amendes potentielles peut maintenant s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé s’appliquant. Les sous-traitant peuvent également être directement sanctionnés par les autorités de contrôle.

Cela devrait encourager toute organisation à prendre la protection des données personnelles au sérieux. Pour plus de détails, voici un lien vers le RGPD et ici une version plus accessible

Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.

Qu’est ce que le RGPD ?

Cette publication est également disponible en en_GB.

Étiqueté avec :