RGPD : Définition

De www.yakakliker.org

Le RGPD : définition et application

Le RGPD c’est le Règlement Général sur la Protection des Données personnelles.

https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd

Le RGPD s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

Le RGPD précise que la protection des données personnelles nécessite de prendre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » pour les droits et libertés des personnes physiques, notamment leur vie privée.

Les objectifs du RGPD

Il s’agit de créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés.

Il a été conçu autour de trois objectifs :

  • renforcer les droits des personnes
  • responsabiliser les acteurs traitant des données
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.


Pour évaluer les mesures à mettre en place, deux approches complémentaires sont à déployer :

  • La mise en place d'un socle de sécurité reprenant les bonnes pratiques issues d’années de capitalisation d’hygiène et de sécurité informatique (ex. : règlementations, normes, guides). Ce socle vise à répondre aux risques les plus courants ;
  • L’analyse des risques pour les personnes concernées par le traitement qui vise à identifier et évaluer les risques spécifiques au traitement. Une telle analyse permet d’étayer la prise de décision objective sur le traitement de ces risques et la détermination de mesures nécessaires et adaptées au contexte.

Qui est concerné par le RGPD ?

Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.

À noter que le RGPD concerne également les sous-traitants qui traiteraient ou collecteraient des données personnelles pour le compte d’une autre entité.

Ainsi, si vous collectez et/ou traitez des données personnelles, vous avez des obligations vis-à-vis de l'internaute

Risques en cas de non conformité

Les amendes pour violation du RGPD sont très élevées.

Il existe deux niveaux de sanctions, qui atteignent au maximum 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), et les personnes concernées ont le droit de demander des dommages et intérêts.

Pour les entreprises, le RGPD pose davantage de restrictions sur ce qu'elles peuvent faire avec les données pour en extraire des avantages commerciaux.

Les processus opérationnels et les données dans les changements structurels peuvent coûter des millions d'euros en dépenses de conformité.

En France, c'est la CNIL qui est compétente pour prononcer des sanctions en cas de non-conformité au RGPD.

Données personnelles : de quoi parle-t-on ?

La notion de « données personnelles » est à comprendre de façon très large

  • Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».Une personne peut être identifiée :
  • directement (exemple : nom, prénom)
  • ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

  • tenue d’un fichier de ses clients
  • collecte de coordonnées de prospects via un questionnaire
  • mise à jour d’un fichier de fournisseurs.

Qu’est-ce qu’un traitement de données personnelles ?

Cette notion est également très large.

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). 

Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.

Exemple : vous collectez sur vos clients de nombreuses informations, lorsque vous effectuez une livraison, éditez une facture ou, proposez une carte de fidélité. Toutes ces opérations sur ces données constituent votre traitement de données personnelles ayant pour objectif la gestion de votre clientèle.


Liens

RGPD : 6 grands principes

https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

https://www.cnil.fr/sites/cnil/files/2024-03/cnil_plaquette_cybersecurite_vd_version_web_0.pdf

https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf


compteur web gratuit sans pub

Récupérée de « http://www.yakakliker.org/index.php?title=RGPD_:_Définition&oldid=1483 »