Le Règlement Général sur la Protection des Données (RGPD) une protection renforcée et unifiée des données en Europe.

23-08-2017

RDGP - illustration

Définitivement adopté par le parlement européen le 14 avril 2016, le règlement général sur la protection des données (RDGP ou en anglais General Data Protection Regulation - GDPR ) sera applicable dès le 25 mai 2018.

Objectifs : renforcer la protection des données personnelles et harmoniser la législation européenne.

Une protection des données personnelles applicables dès 2018

Le règlement général sur la protection des données (GDPR) vient remplacer la précédente directive sur la protection des données personnelles adoptée en 1995, alors qu’Internet n’en était qu’à ses balbutiements.

Ce texte est un règlement européen. Contrairement à une directive, il est directement applicable dans l’ensemble de l’Union Européenne, sans nécessiter de transposition dans les différents Etats membres. Les traitements de données existants devront donc être mis en conformité avec ce règlement pour le 25 mai 2018.

Ce texte poursuit trois grands objectifs :

  • Renforcer les droits des personnes sur leurs données personnelles
  • Responsabiliser les acteurs traitant les données, qu’ils soient responsables de traitement ou sous-traitants
  • Crédibiliser la régulation grâce à une coopération et des sanctions

Qui est concerné par le règlement général sur la protection des données (RGPD) ?

Ce droit européen s’appliquera à chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Ce règlement s’appliquera :

  • Dès que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne,
  • Si la mise en œuvre du traitement vise à fournir des biens et services aux résidents européens
  • Si la mise en œuvre du traitement vise à cibler les résidents européens.

1er objectif : un renforcement des droits des personnes

Le règlement européen sur la protection des données renforce, à travers plusieurs mesures, le droit des personnes autour des données personnelles :

  • Le consentement est renforcé et un effort de transparence est demandé. La matérialisation du consentement doit être non ambiguë et les utilisateurs doivent être informés de l’usage de leurs données, donner leur consentement avant le traitement de ces données et pouvoir s’y opposer.Ce texte de loi impose ainsi la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées. Une façon de lutter contre les conditions générales d’utilisation (CGU) des services écrits dans une langue étrangère, en petits caractères ou dans un jargon incompréhensible.

De nouveaux droits sont également intégrés :

  • Le droit à la portabilité des données : les personnes pourront récupérer les données fournies à un service et les réutiliser dans un autre service. (Ex : passer d’une boite mail à une autre).
  • Les données des enfants : l’information sur les données concernant les mineurs de moins de 16 ans doivent être rédigés en termes clairs et compréhensible par l’enfant. Le titulaire de l’autorité parentale doit donner son consentement. Devenu adulte, le consentement donné doit pouvoir être retiré et les données effacées.
  • Possibilité de recours collectifs en matière de protection des données personnelles
  • Droit à réparation des dommages matériel ou moral

2nd objectif : Responsabilisation des acteurs et transparence :

  • La protection des données dès la conception et par défaut (privacy by design). Les responsables de traitements des données doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaire à la protection des données personnelles, à la fois dès la conception du produit ou du service par défaut. Il y a aussi le principe dit de « minimisation » : limiter la quantité de données traitée dès le départ.
  • Un allègement des formalités administratives et une responsabilisation des acteurs : Suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Mais une conformité et une protection qu’il faut pouvoir démontrer à tout moment.

De nouveaux outils de conformité sont aussi avancés :

  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduites
  • le DPO (délégué à la protection des données ou Data Protection Officer). Obligation de désigner un délégué si les responsables de traitements et sous-traitants :
  1. appartiennent au secteur public,
  2. ou si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, 
  3. ou si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
  • les études d’impact sur la vie privée (EIVP) : Pour tout traitement à risque (notamment les traitements de données sensibles : origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, santé, orientation sexuelle, mais aussi les données génétiques ou biométriques), le responsable du traitement doit conduire une étude d’impact complète. Cela concerne aussi tout ce qui est du ressort du profilage. En cas de risque élevé, le responsable du traitement devra consulter l’autorité de protection des données, les CNIL européennes.

3ème objectif : des responsabilités partagées et des sanctions renforcées

Le règlement général sur la protection des données vise à responsabiliser les acteurs des traitements de données :

  • Le représentant légal peut être consulté en complément ou à la place du responsable de traitement. 
  • Le sous-traitant est tenu de respecter les obligations spécifiques en matière de sécurité, confidentialité, conformité, etc. Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.

En cas de manquement grave, les autorités de protection peuvent notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l'effacement des données.

L’autorité peut retirer ou faire retirer la certification délivrée à l’organisme.

Les amendes peuvent s’élever selon la catégorie de 10 à 20 millions d’euro ou dans le cas d’une entreprise de 2 à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Sources :

Pour prolonger votre lecture :

Pour aller plus loin :