Le RGPD en 10 questions

18.12.2023

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD), ou General Data Protection Regulation (GDPR) en anglais, est un règlement européen adopté le 14 avril 2016 et entré en application le 25 mai 2018.

Il est destiné à constituer un cadre juridique harmonisé à l’échelle de l’Union européenne (UE) concernant les traitements de données à caractère personnel.

Le RGPD vise notamment à accroître les droits des personnes concernées par les traitements de leurs données, à augmenter la responsabilité des organismes qui effectuent de tels traitements et à rendre effective la régulation par la coopération entre les différentes autorités de contrôle et l'augmentation significative des sanctions par rapport au cadre juridique antérieur.

A qui s’applique-t-il ?

Il faut ici distinguer le champ d’application matériel du champ d’application territorial.Concernant le champ d’application matériel, l’article 2 du RGPD indique que celui-ci s’applique à tout traitement de données à caractère personnel, que ce traitement soit automatisé ou non.

Toutefois, le règlement ne s’applique pas aux traitements réalisés :

  • dans le cadre d’une activité qui ne relève pas du champ d'application du droit de l'Union.
  • par l’un des Etats membres dans le cadre des dispositions spécifiques du Traité sur l’Union européenne concernant la politique étrangère et la sécurité commune.
  • par une personne physique dont l’activité est personnelle.
  • par une autorité compétente dans un but de gestion des infractions et des sanctions pénales.

Pour ce qui est du champ d’application territorial du RGPD, l’article 3 du règlement énonce que ce dernier s’applique d’abord aux traitements de données à caractère personnel effectués par un organisme dont l’établissement est situé sur le territoire de l’UE (ou à un endroit régi par le droit d’un Etat membre au regard du droit international public), et ce quelle que soit la localisation des traitements.

L’article 3 indique également que le RGPD s’applique aux traitements de données de personnes situées sur le territoire de l’UE, y compris si l’organisme procédant aux traitements n’est pas établi dans l’UE, dès lors que les activités ont un lien avec une offre de biens ou de services située sur le territoire de l’UE ou avec le suivi du comportement des personnes concernées par les traitements.

Qu’est-ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante instituée par la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978.

La CNIL est chargée de quatre missions principales :

  • informer les personnes,
  • conseiller les organismes sur leur mise en conformité au RGPD,
  • constituer un cadre de réflexion sur les enjeux éthiques des données,
  • effectuer des contrôles et, le cas échéant, infliger des sanctions.

Quels sont les risques en cas de non-respect du RGPD ?

La CNIL peut prononcer une sanction dont le montant peut s’élever jusqu’à 20 millions d’euros d’amende, ou 4% du chiffre d’affaires mondial si l’entité visée par la sanction est une entreprise, le montant le plus élevé étant retenu (RGPD, article 83, paragraphe 6). Il faut également souligner que cette sanction peut être rendue publique, ce qui est susceptible d’affecter la réputation de l’organisation.

La CNIL dispose aussi d’autres manières d’agir, comme obliger l’organisation à mettre le traitement en conformité, y compris sous astreinte, ou encore limiter temporairement ou définitivement un traitement.

Qu’est-ce qu’une donnée personnelle ?

L’article 4, paragraphe 1, du RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire une personne physique qui peut être identifiée par un identifiant ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce que le « Privacy by design » et le « Privacy by default » ?

Le principe du « Privacy by design » consiste en la protection des données dès la conception d’un produit ou service. L’article 25, paragraphe 1, du RGPD impose ainsi au responsable du traitement de mettre en place des mesures techniques et organisationnelles appropriées en prenant en considération :

  • l’état des connaissances
  • les coûts engendrés par ces mesures
  • la nature, la portée, le contexte et les finalités du traitement
  • les risques du traitement pour les droits et libertés des personnes physiques

Ces mesures peuvent être mises en œuvre aussi bien au moment de la détermination des moyens du traitement que pendant le traitement lui-même.

Avec le principe du « Privacy by default », le responsable du traitement est tenu de faire en sorte que, par défaut, le traitement ne concerne que les données nécessaires au regard de chaque finalité spécifique du traitement (RGPD, article 25, paragraphe 2).

Pour ce faire, le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées, en tenant compte de :

  • la quantité de données à caractère personnel collectées
  • l’étendue du traitement de ces données
  • leur durée de conservation
  • leur accessibilité

Quelle est la différence entre un responsable de traitements et un sous-traitant ?

L’article 4, paragraphe 7, du RGPD définit le responsable du traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel.

Le sous-traitant est, quant à lui, défini par l’article 4, paragraphe 8, du RGPD comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.

Qu’est-ce qu’un traitement de données ?

Le traitement est appréhendé par l’article 4, paragraphe 2, du RGPD qui le définit comme toute opération ou ensemble d’opérations relatives à des données à caractère personnel, peu important que ces opérations soient réalisées de manière automatisée ou non.

Peuvent par exemple constituer des traitements de données l’enregistrement, la conservation ou encore la modification de données à caractère personnel.

Est-ce obligatoire de désigner un DPO ?

Au regard de l’article 37, paragraphe 1, du RGPD, le Data Protection Officer (DPO) (ou Délégué à la protection des données en français) n’est obligatoire que lorsque le traitement est réalisé :

  • par une autorité publique ou un organisme public.
  • par les organismes dont les activités de base les conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle. En d’autres termes, ces traitements sont ceux qui visent à traiter un volume considérable de données à caractère personnel pouvant affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé pour ces personnes.
  • par les organismes dont les activités de base les conduisent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales ou à des infractions.

Qu’est-ce que l’« Accountability » ?

Il s’agit de l’obligation pour les organisations qui effectuent des traitements de données à caractère personnel de mettre en place un ensemble de moyens par lesquels il leur sera possible de démontrer leur bonne application des textes en vigueur en matière de protection des données.

Ce principe est inscrit à l’article 5, paragraphe 2, du RGPD, selon lequel le responsable du traitement doit être en capacité de démontrer le respect des principes relatifs au traitement des données à caractère personnel.

On retrouve également l’affirmation du principe d’« Accountability » à l’article 24, paragraphe 1, du RGPD qui impose au responsable du traitement de mettre en oeuvre les mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD.

Nous vous proposons une plateforme conçue spécifiquement en vue de vous permettre de mettre en œuvre en toute simplicité les mécanismes et procédures internes destinés à démontrer votre respect de la réglementation relative aux données à caractère personnel.Prenez contact avec nous pour que nous définissions l’offre la plus adaptée à vos besoins.