18.12.2023
Le Règlement Général sur la Protection des Données (RGPD), ou General Data Protection Regulation (GDPR) en anglais, est un règlement européen adopté le 14 avril 2016 et entré en application le 25 mai 2018.
Il est destiné à constituer un cadre juridique harmonisé à l’échelle de l’Union européenne (UE) concernant les traitements de données à caractère personnel.
Le RGPD vise notamment à accroître les droits des personnes concernées par les traitements de leurs données, à augmenter la responsabilité des organismes qui effectuent de tels traitements et à rendre effective la régulation par la coopération entre les différentes autorités de contrôle et l'augmentation significative des sanctions par rapport au cadre juridique antérieur.
Il faut ici distinguer le champ d’application matériel du champ d’application territorial.Concernant le champ d’application matériel, l’article 2 du RGPD indique que celui-ci s’applique à tout traitement de données à caractère personnel, que ce traitement soit automatisé ou non.
Toutefois, le règlement ne s’applique pas aux traitements réalisés :
Pour ce qui est du champ d’application territorial du RGPD, l’article 3 du règlement énonce que ce dernier s’applique d’abord aux traitements de données à caractère personnel effectués par un organisme dont l’établissement est situé sur le territoire de l’UE (ou à un endroit régi par le droit d’un Etat membre au regard du droit international public), et ce quelle que soit la localisation des traitements.
L’article 3 indique également que le RGPD s’applique aux traitements de données de personnes situées sur le territoire de l’UE, y compris si l’organisme procédant aux traitements n’est pas établi dans l’UE, dès lors que les activités ont un lien avec une offre de biens ou de services située sur le territoire de l’UE ou avec le suivi du comportement des personnes concernées par les traitements.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante instituée par la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978.
La CNIL est chargée de quatre missions principales :
La CNIL peut prononcer une sanction dont le montant peut s’élever jusqu’à 20 millions d’euros d’amende, ou 4% du chiffre d’affaires mondial si l’entité visée par la sanction est une entreprise, le montant le plus élevé étant retenu (RGPD, article 83, paragraphe 6). Il faut également souligner que cette sanction peut être rendue publique, ce qui est susceptible d’affecter la réputation de l’organisation.
La CNIL dispose aussi d’autres manières d’agir, comme obliger l’organisation à mettre le traitement en conformité, y compris sous astreinte, ou encore limiter temporairement ou définitivement un traitement.
L’article 4, paragraphe 1, du RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable », c’est-à-dire une personne physique qui peut être identifiée par un identifiant ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Le principe du « Privacy by design » consiste en la protection des données dès la conception d’un produit ou service. L’article 25, paragraphe 1, du RGPD impose ainsi au responsable du traitement de mettre en place des mesures techniques et organisationnelles appropriées en prenant en considération :
Ces mesures peuvent être mises en œuvre aussi bien au moment de la détermination des moyens du traitement que pendant le traitement lui-même.
Avec le principe du « Privacy by default », le responsable du traitement est tenu de faire en sorte que, par défaut, le traitement ne concerne que les données nécessaires au regard de chaque finalité spécifique du traitement (RGPD, article 25, paragraphe 2).
Pour ce faire, le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées, en tenant compte de :
L’article 4, paragraphe 7, du RGPD définit le responsable du traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel.
Le sous-traitant est, quant à lui, défini par l’article 4, paragraphe 8, du RGPD comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le traitement est appréhendé par l’article 4, paragraphe 2, du RGPD qui le définit comme toute opération ou ensemble d’opérations relatives à des données à caractère personnel, peu important que ces opérations soient réalisées de manière automatisée ou non.
Peuvent par exemple constituer des traitements de données l’enregistrement, la conservation ou encore la modification de données à caractère personnel.
Au regard de l’article 37, paragraphe 1, du RGPD, le Data Protection Officer (DPO) (ou Délégué à la protection des données en français) n’est obligatoire que lorsque le traitement est réalisé :
Il s’agit de l’obligation pour les organisations qui effectuent des traitements de données à caractère personnel de mettre en place un ensemble de moyens par lesquels il leur sera possible de démontrer leur bonne application des textes en vigueur en matière de protection des données.
Ce principe est inscrit à l’article 5, paragraphe 2, du RGPD, selon lequel le responsable du traitement doit être en capacité de démontrer le respect des principes relatifs au traitement des données à caractère personnel.
On retrouve également l’affirmation du principe d’« Accountability » à l’article 24, paragraphe 1, du RGPD qui impose au responsable du traitement de mettre en oeuvre les mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD.
Nous vous proposons une plateforme conçue spécifiquement en vue de vous permettre de mettre en œuvre en toute simplicité les mécanismes et procédures internes destinés à démontrer votre respect de la réglementation relative aux données à caractère personnel.Prenez contact avec nous pour que nous définissions l’offre la plus adaptée à vos besoins.