Experts en droit de l'internet et de l'informatique depuis plus de 20 ans, à votre écoute : +33(0)1 42 60 04 31

Le RGPD : Présentation générale

Le Règlement Général sur la Protection des Données, dit RGPD, est entré en vigueur le 25 mai 2018.

L’objectif du RGPD est d’harmoniser les règles relatives à la protection des données au sein de l’Union européenne en la dotant d’un cadre juridique unique sur ce sujet. Le règlement est ainsi directement applicable à toutes les entreprises, publiques comme privées, des 28 Etats membres.

1) Quel est le champ d’application du RGPD ?

Le RGPD s’applique aux traitements de données à caractère personnel, que ceux-ci soient automatisés ou non, qu’ils soient mis en œuvre par des entreprises, des associations ou des organismes publics, quelles que soient leur taille ou leur forme.

Les données concernées sont toute information se rapportant à la personne physique identifiée ou identifiable par un nom, un numéro, un identifiant technique ou tout autre procédé permettant de lui attribuer des données.

Concernant son champ d’application territorial, le RGPD s’applique aux organismes établis dans l’Union européenne ou offrant des biens ou services dans l’Union.

2) Quels sont les principes clés de ce règlement ?

Le règlement prévoit le principe de responsabilité : l’organisme doit être en mesure de démontrer la conformité de son traitement au règlement en adoptant des règles internes et en mettant en œuvre les mesures appropriées. Le responsable du traitement doit identifier et documenter les mesures mises en œuvre pour se conformer aux exigences issues du règlement.

Ces obligations sont dynamiques, en ce sens que les procédures mises en place doivent être contrôlées et actualisées chaque fois que nécessaire. Le règlement appelle donc à la mise en place d’une véritable gouvernance des données personnelles, et à intégrer l’enjeu « protection des données personnelles » dans la stratégie des entreprises.

Beaucoup d’entreprises doivent désigner un délégué à la protection des données (DPO) chargé de veiller à la conformité de l’entreprise à la réglementation en matière de protection des données. Le délégué à la protection des données est obligatoire pour les organismes du secteur public.

Les organismes dont les traitements mis en œuvre sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques doivent également mettre en place une étude d’impact.

Les prestataires ou sous-traitants (par exemple les hébergeurs de données personnelles) sont soumis à des responsabilités spécifiques (sécurité du traitement, obligation de tenir un registre des traitements, désignation d’un DPO dans certains cas, etc.) se traduisant par des clauses contractuelles ad hoc.

En cas d’atteinte à la sécurité des données, les organismes doivent en informer la CNIL, ainsi que la personne concernée lorsqu’il existe un risque élevé pour ses droits et libertés.

Le règlement consacre également le principe de « privacy by design » qui impose aux organismes de prendre en compte des exigences relatives à la protection des données dès la conception des produits, services et systèmes exploitant des données à caractère personnel.

Toutes les entreprises de plus de 250 salariés ont l’obligation d’établir un registre de l’ensemble des traitements. Les entreprises de moins de 250 salariés effectuant des traitements pouvant comporter des risques pour les droits et obligations des personnes, ou comportant des données sensibles, doivent également établir un registre.

3) Quels sont les droits dont bénéficient les personnes ?

Le droit à la protection des données personnelles est un droit fondamental. Les personnes concernées bénéficient de nombreux droits :

  • droit à l’information : les politiques relatives à la vie privée doivent être expliquées dans un langage clair et compréhensible ; les données doivent être traitées de manière transparente ;
  • droit d’opposition élargi au droit d’opposition des consommateurs au profilage ;
  • droit à l’effacement des données (droit à l’oubli) qui n’est toutefois pas absolu ;
  • droit à la portabilité : droit de transférer ses données vers un autre fournisseur de services ;
  • protection spécifique pour les mineurs : l’accord des parents est nécessaire lorsque l’enfant est âgé de moins de 15 ans pour ouvrir un compte sur les services en ligne (ce qui couvre les réseaux sociaux).

4) Quelles sont les sanctions prévues en cas de non-conformité ?

La CNIL dispose de différents moyens pour contraindre les organismes à se conformer au RGPD. Elle peut ainsi :

  • prononcer un avertissement ;
  • enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • limiter temporairement ou définitivement un traitement ;
  • suspendre les flux de données ;
  • ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • prononcer une amende administrative.

Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Ces sanctions peuvent être rendues publiques.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt