Le RGPD, qu’est-ce que c’est ?
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne (UE). Il est entré en application le 25 mai 2018.
Le RGPD s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de trois objectifs :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant des données
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.
Parmi les droits renforcés par le RGPD on retrouve entre autres :
- Le droit à être informé : un internaute doit désormais être informé et savoir, de façon simple et claire, à quoi vont servir ses données personnelles, s’il décide de les mettre à disposition, combien de temps elles seront conservées et si elles quittent l’Union européenne, notamment.
- Le droit d’accéder à ses données, à les corriger et les supprimer
- Le droit à l’oubli : c’est-à-dire le fait de ne plus voir apparaître des liens lors d’une recherche de contenus portant préjudice à une personne.
- Le droit de transférer ses données : l’entreprise dont l’utilisateur se sépare doit pouvoir transférer les données à la nouvelle entreprise prestataire ou, à défaut, remettre l’ensemble des données à l’utilisateur dans un format de fichier qui permette de l’intégrer à un autre système.
Données personnelles : de quoi parle-t-on ?
Une donnée à caractère personnel (ou « donnée personnelle ») est décrite par la Commission nationale de l’informatique et des libertés (CNIL) comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe deux types d’identification :
- Identification directe (nom, prénom, etc.)
- Identification indirecte (identifiant, numéro, etc.)
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles.
La CNIL donne les actions suivantes à titre d’exemple du traitement des données :
- Tenue d’un fichier de ses clients
- Collecte de coordonnées de prospects via un questionnaire
- Mise à jour d’un fichier de fournisseurs.
Êtes-vous concerné par le RGPD ?
Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.
À noter que le RGPD concerne également les sous-traitants qui traiteraient ou collecteraient des données personnelles pour le compte d’une autre entité.
Conformité au RGPD : Le guide pratique « RGPD » de la CNIL
La CNIL propose un guide pour accompagner les acteurs traitant des données personnelles. Au travers d’un ensemble de fiches pratiques, la Commission rappelle les précautions élémentaires en matière de protection des données personnelles, notamment les quatre réflexes à adopter :
- Constituez un registre de vos traitements de données
- Faîtes le tri dans vos données (ne collectez que les données vraiment nécessaires)
- Respectez les droits des personnes en matière de consultation, de rectification ou de suppression des données
- Sécurisez vos données.