Qu'est-ce que le RGPD ? Signification et définition
Le règlement général sur la protection des données (RGPD) est un règlement adopté par le législateur européen, le 27 avril 2016 et applicable depuis le 25 mai 2018 (1). Ce texte ambitieux organise et harmonise la collecte, le traitement et la protection des données personnelles des citoyens européens.
À savoir : le RGPD renvoyait à la réglementation nationale pour certains éléments, or la réglementation interne, c'est-à-dire française, pouvait être en contradiction avec le RGPD.
C'est pourquoi la France, par étape, a adapté sa législation interne au nouveau cadre européen :
-
la loi du 20 juin 2018 (2) a modifié la loi informatique et liberté (3) pour la rendre conforme au RGPD ;
-
le décret d'application de la loi informatique et liberté a lui-même été modifié, toujours dans un souci de mise en conformité avec le RGPD, par le décret du 1er août 2018 (4) ;
-
la loi informatique et liberté a été réécrite et mise en cohérence par ordonnance du 12 décembre 2018 (5) ;
-
un nouveau décret d'application a été élaboré pour la loi informatique et liberté en date du 29 mai 2019 (6).
Qui doit appliquer le RGPD ? Est-ce que ce règlement est obligatoire ?
Le RGPD s’applique à toutes les entreprises et les organismes qui traitent des données personnelles dès lors :
-
qu’ils sont établis sur le territoire de l’Union européenne ;
-
ou qu’ils sont établis dans des pays tiers à l'UE mais proposent des biens et des services à des résidents européens.
Il n’est pas possible de déroger aux dispositions du RGPD si l’on fait partie d’un de ces deux cas.
Quelles données sont protégées par le RGPD ?
Avec le règlement général, il est question de la protection des données personnelles, mais de quoi parle-t-on exactement ?
Les données personnelles
Une donnée personnelle est définie comme "toute information se rapportant à une personne physique identifiée ou identifiable" (7).
Ces données peuvent être sous une forme physique ou numérique, peu importe leur mode de collecte et leur mode de traitement.
Quelques exemples de données personnelles :
-
le nom ou prénom ;
-
une adresse postale ;
-
une adresse e-mail ;
-
un numéro de carte d’identité, de Sécurité sociale ;
-
des données de localisation (GPS, IP) ;
-
etc.
Les données sensibles
Parmi les données personnelles, le RGPD prévoit une catégorie spéciale de données considérées comme “sensibles” (8) :
-
origine raciale ou ethnique ;
-
opinions politiques ;
-
convictions religieuses ou philosophiques ;
-
appartenance syndicale ;
-
traitement des données génétiques ;
-
données biométriques destinées à vous identifier de manière unique en tant que personne physique ;
-
santé ;
-
vie sexuelle ou orientation sexuelle.
Par défaut, recueillir et utiliser ces données est interdit. Toutefois, il est possible d’y déroger dans les cas suivants :
-
si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique et informée) ;
-
si les informations sont manifestement rendues publiques par la personne concernée ;
-
si elles sont nécessaires à la sauvegarde de la vie humaine ;
-
si leur utilisation est justifiée par l'intérêt public et autorisée par la CNIL ;
-
si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
Qu’est-ce qu’un traitement de données personnelles ?
Définition d’un traitement
Le traitement d’une donnée personnelle représente toute action qui s’y rapporte : enregistrement, conservation, modification, transmission, etc.
Le traitement n’est pas nécessairement informatisé, une donnée sur un support papier peut également faire l’objet d’un traitement.
La finalité d’un traitement
Le traitement doit poursuivre une finalité déterminée.
Le principe de finalité est la pierre angulaire du RGPD : c’est le “pourquoi” du traitement, ce à quoi il va servir. Il faut déterminer l’objectif que vise le traitement (ex : gestion de prospects, recrutement, gestion du personnel).
Cet objectif doit être légitime, clair et compréhensible et conditionne la durée de conservation des données.
La base légale d’un traitement
Un traitement de données à caractère personnel est obligatoirement basé sur 1 des 6 bases juridiques prévues par le RGPD (9) :
-
le consentement : la personne a consenti au traitement de ses données ;
-
le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
-
l’obligation légale : le traitement est imposé par des textes légaux ;
-
la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
-
l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
-
la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.
Lorsqu’un traitement poursuit plusieurs finalités, il est nécessaire de définir une base légale pour chacune des finalités.
Quels sont les règles et principes majeurs du RGPD ?
Proportionnalité et pertinence (ou principe de minimisation)
Les données personnelles collectées doivent être pertinentes et limitées en rapport avec les finalités pour lesquelles elles sont utilisées. Elles doivent également être le plus exactes et à jour possible.
En bref : le minimum de données doit être collectées, strictement proportionnées de l’utilisation visée.
Une durée de conservation limitée
Dans la continuité du principe de proportionnalité, les données personnelles ne doivent pas être conservées plus longtemps que la finalité ne l’exige. La durée de conservation des données doit être fixée à l’avance et celles-ci doivent être supprimées ou anonymisées à l’expiration de ce délai.
La traçabilité des traitements de données à caractère personnel
Le RGPD introduit le concept d’accountability, c’est-à-dire l’obligation de mettre en œuvre des procédures internes qui permettent de s’assurer du respect des règles relatives à la protection des données personnelles.
Sécurité des données
Le RGPD impose aux organismes qui traitent les données personnelles d’assurer la sécurité des données. Il faut donc prendre des mesures afin de garantir la confidentialité, l’intégrité et la disponibilité des données.
Ces mesures peuvent être : le chiffrement des données, amélioration de la résilience des systèmes informatiques, une bonne gestion des incidents, etc.
Quels sont les droits des personnes physiques sur leurs données ?
Le RGPD consacre de nombreux droits pour les personnes sur leurs données (11) :
-
d’être informé de la collecte de leurs données et des finalités du traitement ;
-
d'obtenir gratuitement une copie des données la concernant ;
-
de faire rectifier les données qui se révèleraient inexactes ou de les compléter ;
-
à l'effacement ("droit à l'oubli”), sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement ;
-
de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement.
💡 Vous êtes un particulier ? Ce modèle peut vous intéresser : Lettre de demande d'accès à ses données personnelles
Quel est le rôle de la CNIL dans le respect du RGPD en France ? Quelles sanctions en cas de manquements ?
La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites (12). Ainsi, elle a pour mission de réguler ces traitements :
-
en accompagnant les professionnels dans leur mise en conformité au RGPD ;
-
en informant les particuliers sur leurs droits.
Dans le cadre de sa mission, la CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles.
Elle dispose de moyens lui permettant de veiller à la bonne application du RGPD.
Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :
-
sur pièces ;
-
sur convocation ;
-
sur place ;
-
en ligne.
La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en œuvre le traitement des données à caractère personnel, et de s'assurer que celles-ci répondent aux exigences réglementaires en vigueur.
La délégation de la CNIL peut demander :
-
tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;
-
l'accès aux programmes informatiques et aux données ;
-
la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc.
Elle dispose de 2 procédures de sanction :
-
la procédure ordinaire, le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL peut aussi infliger des rappels à l’ordre, des amendes administratives ainsi que limiter ou suspendre des traitements ou des flux de données.
-
la procédure simplifiée est basée sur la loi Informatique et Libertés et prévoit des sanctions moins importantes avec un rappel à l’ordre, une mise en conformité sous astreinte ou encore une amende administrative d’un montant maximal de 20.000 euros.
RGPD, IA, Cybersécurité : Visionnez notre webconférence sur comment protéger votre entreprise et réagir face aux attaques ?
Références :
(1) Règlement (UE) 2016/679 du 27 avril 2016
(2) Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(4) Décret n°2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
(5) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel
(6) Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(7) Règlement (UE) 2016/679 du 27 avril 2016, article 4
(8) Règlement (UE) 2016/679 du 27 avril 2016, article 9
(9) Règlement (UE) 2016/679 du 27 avril 2016, article 6
(10) CNIL, "Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles de candidats", 25 avril 2024
(11) Règlement (UE) 2016/679 du 27 avril 2016, chapitre 3
(12) Règlement (UE) 2016/679 du 27 avril 2016, article 51
Dossier très complet et informatif