RGPD : tout savoir sur la protection des données pour l'appliquer correctement

Qu'est-ce que le Règlement général sur la protection des données (RGPD) ? (Signification)

Le Règlement général sur la protection des données (plus connu sous son acronyme "RGPD") est un règlement adopté par le législateur de l'Union européenne (UE), le 27 avril 2016 et applicable depuis le 25 mai 2018 (1). Ce texte ambitieux organise et harmonise la collecte, le traitement et la protection des données personnelles (en entreprise, sur les sites internet, applications mobiles, les programmes de fidélités, les rapports avec les clients, etc.)..

Son objectif est donc simple : il vise, depuis plusieurs années maintenant, à protéger les données personnelles des citoyens européens, en leur garantissant des droits, mais aussi en responsabilisant ceux qui sont amenés à traiter leurs données (entreprises, organismes, associations, etc.).

À savoir : le RGPD renvoyait à la réglementation nationale pour certains éléments, or la réglementation interne, c'est-à-dire française, pouvait être en contradiction avec le RGPD.

Pour se mettre en règle, la France a, par étape, adapté sa législation interne au nouveau cadre européen :

• la loi du 20 juin 2018 (2) a modifié la loi informatique et liberté (3) pour la rendre conforme au RGPD ;

• le décret d'application de la loi informatique et liberté a lui-même été modifié, toujours dans un souci de mise en conformité avec le RGPD, par le décret du 1er août 2018 (4) ;

• la loi informatique et liberté a été réécrite et mise en cohérence par ordonnance du 12 décembre 2018 (5) ;

• un nouveau décret d'application a été élaboré pour la loi informatique et liberté en date du 29 mai 2019 (6).

Obtenez le guide complet sur le RGPD

Mettez vous en conformité avec notre dossier complet.
Inclus dans ce dossier : 40 questions-réponses ; 4 modèles de lettres ; 2 fiches explicatives à télécharger !

Téléchargez

Qui est concerné par le RGPD et doit obligatoirement l'appliquer ?

Le RGPD s’applique à toutes les entreprises et les organismes qui traitent des données personnelles dès lors : 

• qu’ils sont établis sur le territoire de l’Union européenne ;

• ou qu’ils sont établis dans des pays tiers à l'UE mais proposent des biens et des services à des résidents européens.

Il n’est pas possible de déroger aux dispositions du RGPD si l’on fait partie d’un de ces deux cas, sous peine de sanctions administratives, voire de sanctions pénales.

Exemple :

Une entreprise de vente en ligne établie en France devra respecter le RGPD tandis qu’une entreprise américaine qui fournit des services exclusivement aux résidents des États-Unis n’a aucune obligation de respecter le RGPD. 
En revanche, si les clients/utilisateurs sont situés en France, le service, même basé aux États-Unis, doit se conformer au RGPD. C'est pour cette raison que certains réseaux sociaux (exemple : Meta détenant Facebook, Whatsapp ou encore Instagram) sont parfois condamnés sur ce motif.

Quelles données sont protégées par le RGPD ?

Avec le règlement général, il est question de la protection des données personnelles, mais de quoi parle-t-on exactement ?

Que signifie l'expression "données personnelles" ?

Une donnée personnelle est définie comme "toute information se rapportant à une personne physique identifiée ou identifiable" (7).

Ces données peuvent être sous une forme physique ou numérique, peu importe leur mode de collecte et leur mode de traitement.

Quelques exemples de données à caractère personnel :

• le nom ou prénom ;

• une adresse postale ;

• une adresse e-mail ;

• le numéro de téléphone ;

• un numéro de carte d’identité, de Sécurité sociale ;

• des données de localisation (GPS, IP) ;

• etc.

Quelles sont les données sensibles ?

Parmi les données personnelles, le RGPD prévoit une catégorie spéciale de données considérées comme “sensibles” (8) :

• l'origine raciale ou ethnique ;

• les opinions politiques ;

• les convictions religieuses ou philosophiques ;

• l'appartenance syndicale ;

• le traitement des données génétiques ;

• les données biométriques destinées à vous identifier de manière unique en tant que personne physique ;

• la santé ;

• la vie sexuelle ou l'orientation sexuelle.

Par défaut, recueillir et utiliser ces données est interdit. Toutefois, il est possible d’y déroger dans les cas suivants : 

• si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique et informée) ;

• si les informations sont manifestement rendues publiques par la personne concernée ;

• si elles sont nécessaires à la sauvegarde de la vie humaine ;

• si leur utilisation est justifiée par l'intérêt public et autorisée par la CNIL ;

• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

Découvrez l'assistance juridique Juritravail

Consultez en illimité notre base documentaire et posez toutes vos questions à nos juristes experts grâce à nos solutions spécialement conçues pour les professionnels !

Découvrir

Qu’est-ce qu’un traitement de données personnelles ?

Définition d’un traitement

Le traitement d’une donnée personnelle représente toute action qui s’y rapporte : enregistrement, conservation, modification, transmission, etc.

Le traitement n’est pas nécessairement informatisé, une donnée sur un support papier peut également faire l’objet d’un traitement.

La finalité d’un traitement

Le traitement doit poursuivre une finalité déterminée. 

Le principe de finalité est la pierre angulaire du RGPD : c’est le “pourquoi” du traitement, ce à quoi il va servir. Il faut déterminer l’objectif que vise le traitement (ex : gestion de prospects, recrutement, gestion du personnel). 

Cet objectif doit être légitime, clair et compréhensible et conditionne la durée de conservation des données.

La base légale d’un traitement

Un traitement de données à caractère personnel est obligatoirement basé sur 1 des 6 bases juridiques prévues par le RGPD (9) : 

• le consentement : la personne a consenti au traitement de ses données ;

• le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

• l’obligation légale : le traitement est imposé par des textes légaux ;

• la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

• l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

• la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un traitement poursuit plusieurs finalités, il est nécessaire de définir une base légale pour chacune des finalités.

Le saviez-vous ?

En entreprise, un délégué à la protection des données à caractrère personnel peut être nommé afin de traiter ces questions. Dans certaines d'entre elles, il est parfois même obligatoire ! Découvrez plus de détail sur cette fonction au sein de notre dossier.

Quels sont les règles et principes majeurs du RGPD ?

Proportionnalité et pertinence (ou principe de minimisation)

Les données personnelles collectées doivent être pertinentes et limitées en rapport avec les finalités pour lesquelles elles sont utilisées. Elles doivent également être le plus exactes et à jour possible.

En bref : le minimum de données doit être collectées, strictement proportionnées à l’utilisation visée.

Exemple : 

Une société demandait aux candidats à l'embauche de fournir obligatoirement leur lieu de naissance, leur nationalité, leur situation de famille (situation de couple, profession du conjoint, le nombre d'enfants ainsi que leur âge), ou encore l'ensemble des salaires perçus dans les entreprises précédentes (10). 
Après avoir indiqué que certaines informations demandées au salarié sont interdites car relatives à la vie privée et susceptibles de discrimination, la CNIL a rappelé à la société le principe de minimisation, c'est-à-dire que les informations demandées doivent être limitées et, dans ce cas, seulement nécessaire au recrutement. Par exemple, collecter les données relatives à la situation de couple d'un candidat ne peut avoir pour objectif de valider, ou non, la candidature d'un individu.
Après une mise en demeure, la société s'est d'ailleurs conformée à ce principe.

Une durée de conservation limitée

Dans la continuité du principe de proportionnalité, les données personnelles ne doivent pas être conservées plus longtemps que la finalité ne l’exige. La durée de conservation des données doit être fixée à l’avance et celles-ci doivent être supprimées ou anonymisées à l’expiration de ce délai.

La traçabilité des traitements de données à caractère personnel

Le RGPD introduit le concept d’accountability, c’est-à-dire l’obligation de mettre en œuvre des procédures internes qui permettent de s’assurer du respect des règles relatives à la protection des données personnelles. 

Sécurité des données

Le RGPD impose aux organismes qui traitent les données personnelles d’assurer la sécurité des données. Il faut donc prendre des mesures afin de garantir la confidentialité, l’intégrité et la disponibilité des données. 

Ces mesures peuvent être : le chiffrement des données, l'amélioration de la résilience des systèmes informatiques, une bonne gestion des incidents, la mise à jour régulière des appareils informatiques, etc. 

Quels sont les droits des personnes physiques sur leurs données ?

Le RGPD consacre de nombreux droits pour les personnes sur leurs données (11) : 

• d’être informé de la collecte de leurs données et des finalités du traitement (droit à l'information) ; 

• d'obtenir gratuitement une copie des données la concernant (droit d'accès) ;

• de faire rectifier les données qui se révèleraient inexactes ou de les compléter (droit de rectification) ;

• de faire effacer, sous conditions, de ces données, notamment lorsqu'elles ne sont plus nécessaires, que l'intéressé s'oppose au traitement ou encore lorsqu'il retire son consentement (droit à l'oubli ou droit à l'effacement);

• de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données, sauf motif légitime du responsable du traitement (droit d'opposition).

Lettre de réponse à une demande d'accès à ses données personnelles

Une personne vous demande l'accès à ses données personnelles ? Notifiez lui votre réponse grâce à notre modèle crée par nos juristes experts !

Téléchargez

🔍 Vous êtes un particulier ? Ce modèle peut vous intéresser : Lettre de demande d'accès à ses données personnelles

Quel est le rôle de la CNIL dans le respect du RGPD en France ? Quelles sanctions en cas de manquements ?

La Commission nationale de l'informatique et des libertés de France (CNIL) est compétente pour s'assurer que la collecte et le traitement des données personnelles sont licites (12). Ainsi, elle a pour mission de réguler ces traitements : 

• en accompagnant les professionnels dans leur mise en conformité au RGPD ;

• en informant les particuliers sur leurs droits.

Dans le cadre de sa mission, la CNIL procède à des contrôles et peut sanctionner en cas de violation de données personnelles. Pour ce faire, elle dispose de moyens lui permettant de veiller à la bonne application du RGPD.

Sur décision de son Président, la CNIL peut procéder à différents types de contrôles :

• sur pièces ;

• sur convocation ;

• sur place ;

• en ligne.

Une question juridique ?

Pour vous accompagner, nos juristes sont à votre disposition et répondent gratuitement à votre 1ère question juridique en seulement 24h.

Testez !

La mission de contrôle a pour objectif d'apprécier les conditions dans lesquelles est mis en œuvre le traitement des données à caractère personnel, et de s'assurer que celles-ci répondent aux exigences réglementaires en vigueur.

La délégation de la CNIL peut demander :

• tous documents nécessaires à l'accomplissement de sa mission quel qu'en soit le support ;

• l'accès aux programmes informatiques et aux données ;

• la copie des contrats de location de fichiers, de sous-traitance informatique, formulaires, dossiers papiers, bases de données, etc.

Dans le cadre de son activité répressive, elle dispose de 2 procédures de sanction : 

• la procédure ordinaire, le RGPD prévoit des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL peut aussi infliger des rappels à l’ordre, des amendes administratives ainsi que limiter ou suspendre des traitements ou des flux de données.

• la procédure simplifiée est basée sur la loi Informatique et Libertés et prévoit des sanctions moins importantes avec un rappel à l’ordre, une mise en conformité sous astreinte ou encore une amende administrative d’un montant maximal de 20.000 euros.

En 2023, selon les dernières données publiées, la CNIL a prononcé 42 sanctions (à hauteur de 90 millions d'euros), 168 mises en demeure, et, enfin, 33 rappels aux obligations légales (13) !

Découvrez également :

Nos articles sur la thématique :
​​​​- Comprendre et expliquer le RGPD aux salariés
- RGPD : Vidéosurveillance au travail et respect de votre vie privée
- Cyber-attaques entreprise : comment faire face ?
- Le nom de domaine pour votre entreprise : coût, enregistrement, protection
- Litiges avec la DGCCRF, CNIL : comment les régler ?
- Demande de suppression de données personnelles
- Quels sont vos droits et interdictions en termes de surveillance des salariés ?

Nos modèles de lettres RGPD pour les professionnels : 
- Lettre de demande d'autorisation d’utilisation de certaines données personnelles aux salariés
- Informer les clients dont les données personnelles ont été rendues publiques
- Lettre informant de la prolongation du délai de réponse à une demande d’accès aux données personnelles

RGPD, IA, Cybersécurité : Visionnez notre webconférence sur comment protéger votre entreprise et réagir face aux attaques ?