RGPD : Définition

Le RGPD : définition et application

Le RGPD c’est le Règlement Général sur la Protection des Données personnelles.

https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd

Le RGPD s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

Les objectifs du RGPD

Il s’agit de créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés.

Il a été conçu autour de trois objectifs :

• renforcer les droits des personnes
• responsabiliser les acteurs traitant des données
• crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Qui est concerné par le RGPD ?

Le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille. Le règlement s’applique à tous les organismes établis sur le territoire de l’Union européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.

À noter que le RGPD concerne également les sous-traitants qui traiteraient ou collecteraient des données personnelles pour le compte d’une autre entité.

Ainsi, si vous collectez et/ou traitez des données personnelles, vous avez des obligations vis-à-vis de l'internaute

Risques en cas de non conformité

Les amendes pour violation du RGPD sont très élevées.

Il existe deux niveaux de sanctions, qui atteignent au maximum 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), et les personnes concernées ont le droit de demander des dommages et intérêts.

Pour les entreprises, le RGPD pose davantage de restrictions sur ce qu'elles peuvent faire avec les données pour en extraire des avantages commerciaux.

Les processus opérationnels et les données dans les changements structurels peuvent coûter des millions d'euros en dépenses de conformité.

En France, c'est la CNIL qui est compétente pour prononcer des sanctions en cas de non-conformité au RGPD.

Données personnelles : de quoi parle-t-on ?

La notion de « données personnelles » est à comprendre de façon très large

• Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».Une personne peut être identifiée :

• directement (exemple : nom, prénom)
• ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

• tenue d’un fichier de ses clients
• collecte de coordonnées de prospects via un questionnaire
• mise à jour d’un fichier de fournisseurs.