Qu'est-ce que le Règlement général sur la protection des données (RGPD) ? (Signification)
Le Règlement général sur la protection des données (plus connu sous son acronyme "RGPD") est un règlement adopté par le législateur de l'Union européenne (UE), le 27 avril 2016 et applicable depuis le 25 mai 2018 (1). Ce texte ambitieux organise et harmonise la collecte, le traitement et la protection des données personnelles (en entreprise, sur les sites internet, applications mobiles, les programmes de fidélités, les rapports avec les clients, etc.)..
Son objectif est donc simple : il vise, depuis plusieurs années maintenant, à protéger les données personnelles des citoyens européens, en leur garantissant des droits, mais aussi en responsabilisant ceux qui sont amenés à traiter leurs données (entreprises, organismes, associations, etc.).
À savoir : le RGPD renvoyait à la réglementation nationale pour certains éléments, or la réglementation interne, c'est-à-dire française, pouvait être en contradiction avec le RGPD.
Pour se mettre en règle, la France a, par étape, adapté sa législation interne au nouveau cadre européen :
-
la loi du 20 juin 2018 (2) a modifié la loi informatique et liberté (3) pour la rendre conforme au RGPD ;
-
le décret d'application de la loi informatique et liberté a lui-même été modifié, toujours dans un souci de mise en conformité avec le RGPD, par le décret du 1er août 2018 (4) ;
-
la loi informatique et liberté a été réécrite et mise en cohérence par ordonnance du 12 décembre 2018 (5) ;
-
un nouveau décret d'application a été élaboré pour la loi informatique et liberté en date du 29 mai 2019 (6).
Qui est concerné par le RGPD et doit obligatoirement l'appliquer ?
Le RGPD s’applique à toutes les entreprises et les organismes qui traitent des données personnelles dès lors :
-
qu’ils sont établis sur le territoire de l’Union européenne ;
-
ou qu’ils sont établis dans des pays tiers à l'UE mais proposent des biens et des services à des résidents européens.
Il n’est pas possible de déroger aux dispositions du RGPD si l’on fait partie d’un de ces deux cas, sous peine de sanctions administratives, voire de sanctions pénales.
Quelles données sont protégées par le RGPD ?
Avec le règlement général, il est question de la protection des données personnelles, mais de quoi parle-t-on exactement ?
Que signifie l'expression "données personnelles" ?
Une donnée personnelle est définie comme "toute information se rapportant à une personne physique identifiée ou identifiable" (7).
Ces données peuvent être sous une forme physique ou numérique, peu importe leur mode de collecte et leur mode de traitement.
Quelques exemples de données à caractère personnel :
-
le nom ou prénom ;
-
une adresse postale ;
-
une adresse e-mail ;
-
le numéro de téléphone ;
-
un numéro de carte d’identité, de Sécurité sociale ;
-
des données de localisation (GPS, IP) ;
-
etc.
Quelles sont les données sensibles ?
Parmi les données personnelles, le RGPD prévoit une catégorie spéciale de données considérées comme “sensibles” (8) :
-
l'origine raciale ou ethnique ;
-
les opinions politiques ;
-
les convictions religieuses ou philosophiques ;
-
l'appartenance syndicale ;
-
le traitement des données génétiques ;
-
les données biométriques destinées à vous identifier de manière unique en tant que personne physique ;
-
la santé ;
-
la vie sexuelle ou l'orientation sexuelle.
Par défaut, recueillir et utiliser ces données est interdit. Toutefois, il est possible d’y déroger dans les cas suivants :
-
si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique et informée) ;
-
si les informations sont manifestement rendues publiques par la personne concernée ;
-
si elles sont nécessaires à la sauvegarde de la vie humaine ;
-
si leur utilisation est justifiée par l'intérêt public et autorisée par la CNIL ;
-
si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
Qu’est-ce qu’un traitement de données personnelles ?
Définition d’un traitement
Le traitement d’une donnée personnelle représente toute action qui s’y rapporte : enregistrement, conservation, modification, transmission, etc.
Le traitement n’est pas nécessairement informatisé, une donnée sur un support papier peut également faire l’objet d’un traitement.
La finalité d’un traitement
Le traitement doit poursuivre une finalité déterminée.
Le principe de finalité est la pierre angulaire du RGPD : c’est le “pourquoi” du traitement, ce à quoi il va servir. Il faut déterminer l’objectif que vise le traitement (ex : gestion de prospects, recrutement, gestion du personnel).
Cet objectif doit être légitime, clair et compréhensible et conditionne la durée de conservation des données.
La base légale d’un traitement
Un traitement de données à caractère personnel est obligatoirement basé sur 1 des 6 bases juridiques prévues par le RGPD (9) :
-
le consentement : la personne a consenti au traitement de ses données ;
-
le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
-
l’obligation légale : le traitement est imposé par des textes légaux ;
-
la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
-
l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
-
la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.
Lorsqu’un traitement poursuit plusieurs finalités, il est nécessaire de définir une base légale pour chacune des finalités.
Quels sont les règles et principes majeurs du RGPD ?
Proportionnalité et pertinence (ou principe de minimisation)
Les données personnelles collectées doivent être pertinentes et limitées en rapport avec les finalités pour lesquelles elles sont utilisées. Elles doivent également être le plus exactes et à jour possible.
En bref : le minimum de données doit être collectées, strictement proportionnées à l’utilisation visée.
Une durée de conservation limitée
Dans la continuité du principe de proportionnalité, les données personnelles ne doivent pas être conservées plus longtemps que la finalité ne l’exige. La durée de conservation des données doit être fixée à l’avance et celles-ci doivent être supprimées ou anonymisées à l’expiration de ce délai.
La traçabilité des traitements de données à caractère personnel
Le RGPD introduit le concept d’accountability, c’est-à-dire l’obligation de mettre en œuvre des procédures internes qui permettent de s’assurer du respect des règles relatives à la protection des données personnelles.
Sécurité des données
Le RGPD impose aux organismes qui traitent les données personnelles d’assurer la sécurité des données. Il faut donc prendre des mesures afin de garantir la confidentialité, l’intégrité et la disponibilité des données.
Ces mesures peuvent être : le chiffrement des données, l'amélioration de la résilience des systèmes informatiques, une bonne gestion des incidents, la mise à jour régulière des appareils informatiques, etc.
Quels sont les droits des personnes physiques sur leurs données ?
Le RGPD consacre de nombreux droits pour les personnes sur leurs données (11) :
-
d’être informé de la collecte de leurs données et des finalités du traitement (droit à l'information) ;
-
d'obtenir gratuitement une copie des données la concernant (droit d'accès) ;
-
de faire rectifier les données qui se révèleraient inexactes ou de les compléter (droit de rectification) ;
-
de faire effacer, sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement (droit à l'oubli ou droit à l'effacement);
-
de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement (droit d'opposition).
🔍 Vous êtes un particulier ? Ce modèle peut vous intéresser : Lettre de demande d'accès à ses données personnelles
Quel est le rôle de la CNIL dans le respect du RGPD en France ? Quelles sanctions en cas de manquements ?
La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites (12). Ainsi, elle a pour mission de réguler ces traitements :
-
en accompagnant les professionnels dans leur mise en conformité au RGPD ;
-
en informant les particuliers sur leurs droits.
Dans le cadre de sa mission, la CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles. Pour ce faire, elle dispose de moyens lui permettant de veiller à la bonne application du RGPD.
La politique initiée en matière répressive depuis 5 ans, privilégie la mise en conformité à la mesure punitive."
CNIL (13)
Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :
-
sur pièces ;
-
sur convocation ;
-
sur place ;
-
en ligne.
168 mises en demeureprononcées en 2023
La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en œuvre le traitement des données à caractère personnel, et de s'assurer que celles-ci répondent aux exigences réglementaires en vigueur.
La délégation de la CNIL peut demander :
-
tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;
-
l'accès aux programmes informatiques et aux données ;
-
la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc.
Dans le cadre de son activité répressive, elle dispose de 2 procédures de sanction :
-
la procédure ordinaire, le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL peut aussi infliger des rappels à l’ordre, des amendes administratives ainsi que limiter ou suspendre des traitements ou des flux de données.
-
la procédure simplifiée est basée sur la loi Informatique et Libertés et prévoit des sanctions moins importantes avec un rappel à l’ordre, une mise en conformité sous astreinte ou encore une amende administrative d’un montant maximal de 20.000 euros.
En 2023, selon les dernières données publiées, la CNIL a prononcé 42 sanctions (à hauteur de 90 millions d'euros), 168 mises en demeure, et, enfin, 33 rappels aux obligations légales (13) !
RGPD, IA, Cybersécurité : Visionnez notre webconférence sur comment protéger votre entreprise et réagir face aux attaques ?
Références :
(1) Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit RGPD)
(2) Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(4) Décret n°2018-687 du 1er août 2018 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
(5) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel
(6) Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(7) Article 4 du RGPD
(8) Article 9 du RGPD
(9) Article 6 du RGPD
(10) "Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles de candidats", CNIL, publié le 25 avril 2024
(11) Chapitre III du RGPD
(12) Article 51 du RGPD
(13) "Sanctions et mesures correctrices : la CNIL présente le bilan 2023 de son activité répressive", CNIL, publié le 16 février 2024
Mise à jour convention collective Rapide et peu cher lorsqu'on prend la version numérique