Qu'est-ce que le RGPD ?
Tout savoir sur le Règlement Général sur la Protection des Données (RGPD).
Cet article a pour but de vous présenter de façon générale le RGPD et de vous familiariser avec les termes et concepts qui lui sont associés.
Définition du RGPD
Entré en vigueur en mai 2018, le Règlement Général sur la Protection des Données (RGPD) est le texte européen qui pose le cadre légal en matière de protection des données personnelles.
Si vous manipulez ce type données en provenance de l’Union européenne (UE) ou depuis le sol européen, vous devez vous conformer à cette réglementation.
Mais concrètement, à quoi sert le RGPD ?
Le RGPD sert avant tout à protéger les personnes dont les données sont collectées.
Grâce au au règlement européen, ces personnes physiques pourront accéder à leurs données collectées, décider de les rectifier ou de les effacer, et solliciter leur portabilité.
Pour cela, le RGPD impose des obligations aux responsables du traitement de ces données. Celui-ci doit garantir la protection et la sécurité des données personnelles qu'il collecte et doit pouvoir le démontrer.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une information qui concerne une personne physique identifiée (article 4 RGPD). Le RGPD donne une définition large à une donnée personnelle pour assurer au maximum la protection des données. Il s'agit de toute information directe ou indirecte permettant d'identifier une personne physique.
Logiquement cela peut être son nom ou son prénom. Mais cela peut aussi être son numéro de téléphone, son numéro de sécurité sociale, son ADN ou même seulement son adresse IP.
Cela peut même être un faisceau de données qui permettent d’identifier cette personne, comme la localisation, l’âge, les comportements d’achat.
Pourquoi parle-t-on de traitement de données personnelles ?
Un traitement est une opération réalisée sur une donnée personnelle. Par traitement, on entend une opération de collecte, mise à disposition, enregistrement, transmission, croisement, destruction. Concrètement, tous ce qui peut être fait sur une donnée personnelle répond à la définition RGPD d'un traitement.
CNIL et RGPD
En France, le Règlement Général sur la Protection des Données est placé sous l'autorité de la Commission Nationale de l'Informatique et des Libertés (CNIL). Cependant, avant le RGPD, entré en vigueur en 2018, la CNIL était chargée de la protection des données sur le fondement la loi informatique et Libertés du 6 janvier 1978 qui est toujours en vigueur et s'articule avec le RGPD.
On peut donc dire qu’elle est le gendarme de la protection des données.
À ce titre, elle a le pouvoir de sanctionner les organismes non conformes, en cas de manquement, de violation ou de plainte.
D'ailleurs, la CNIL a publié son plan stratégique pour 2022/2024 que l'on a analysé ici.
Le parlement européen est également en train de voter un nouveau texte pour réguler l'intelligence artificielle "IA Act" pour lequel la CNIL se positionne comme l'autorité de régulation par essence.
À qui le RGPD s’applique-t-il ?
Il s’applique à toute entité se situant en UE ou ciblant des personnes en UE.
Toutes les entreprises présentes sur le territoire de l’Union européenne et stockant des données personnelles sont concernées.
Le RGPD s’applique :
- pour toute taille d’entreprise
- pour tout chiffre d’affaires
- pour les entreprises privées ou les organismes publics
- pour le B2B ou le B2C
Le règlement s’applique aussi aux sous-traitants (article 28 RGPD), même si ceux-ci ne sont pas basés en UE.
💡 Pour rappel, le sous-traitant est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
Quels sont les objectifs du RGPD ?
Ses objectifs sont de :
- protéger la vie privée des citoyens européens
- éviter tout accès non autorisé aux données personnelles
- éviter toute manipulation non conforme aux données personnelles
Pour cela, le RGPD permet de vérifier la mise en application de différents droits :
- Le droit à l'information (comment et où sont collectées les données et dans quel but)(article 12 RGPD)(article 13 RGPD).
- Le droit d'accès (quelles données précises sont collectées) (article 15 RGPD).
- Le droit d'opposition (interdiction de collecte) (article 21 RGPD).
- Le droit de rectification (modification de ses données) (article 16 RGPD).
- Le droit à l'oubli ( suppression des données) (article 17 RGPD).
- Le droit à la portabilité (récupération de ses données) (article 20 RGPD)
Quand faut-il s’occuper du RGPD ?
L’idéal est comme souvent de la prévoir dès le départ. Donc d’an-ti-ci-per ! 😊
S’en préoccuper au dernier moment, quand tout est déjà en place, est souvent une mauvaise idée.
Pourquoi ?
Parce que certaines mesures techniques et organisationnelles demanderont plus d’effort de mise en place si cela n’a pas été prévu dès le départ.
Qu’est-ce que le Privacy by Design ?
C’est justement le fait de prévoir en amont, dès la conception, la prise en compte des problématiques liées au RGPD.
Le but est de définir, le plus tôt possible, la méthodologie pour le traitement et le stockage des données à caractère personnel.
Le Privacy by Design implique donc de réfléchir à la nature des données à traiter, à leurs finalités et aux risques associés. Puis, de prendre les mesures nécessaires pour garantir la conformité au RGPD. Pour plus d'informations, nous avons rédigé un article dédié ici.
C’est une approche préventive qui est fortement recommandée par le RGPD et qui permet d’assurer la prise en compte de la protection de la vie privée dès le début.
Qu’est-ce que l’analyse d’impact sur la vie privée ?
Le Privacy Impact Assessment (PIA) permet de vérifier les risques de sécurité touchant aux données personnelles.
C’est le responsable des traitements qui doit réaliser un PIA en amont de leurs mises en œuvre.
Cela consiste à décrire les risques liés traitements à réaliser et les mesures à prendre. Pour mieux comprendre de quoi il s'agit, nous avons rédigé un article ici.
La CNIL propose un guide et un outil sur son site, pour vous aider à réaliser un PIA.
Qu’est-ce que le Délégué à la Protection des Données (DPO) ?
Le délégué à la protection des données ou data protection officer (DPO) c'est la personne chargée de mettre en œuvre le RGPD au sein d’un organisme.
Dans certains cas, sa désignation est obligatoire (article 37 RGPD). Il peut être interne ou externe.
La CNIL le qualifie de « Chef d’orchestre » et il sera son interlocuteur privilégié, en cas de besoin (article 38 RGPD).
Il s’occupera de toutes les questions relatives à la protection des données personnelles (article 39 RGPD).
Et si le DPO n’est pas obligatoire, il conviendra au minimum de désigner un pilote responsable de la gestion des données personnelles. Cette personne n'est pas obligatoirement un juriste, bien que ce soit souvent le cas. Lorsque telle n'est pas le cas, il existe plusieurs formations DPO.
Est-ce que le RGPD est obligatoire ?
Le RGPD est bien obligatoire dans l’ensemble des 28 états membres de l’UE.
Tout acteur européen utilisant des données personnelles doit se conformer à ce règlement.
Il s’applique également aux données des européens traitées par des acteurs en dehors de l’UE.
Les cinq principes clés du RGPD
L'article 5 RGPD énonce les grands principes qui doivent guider votre réflexion concernant les données que vous avec déjà collectées ou que vous allez collecter :
Principe de finalité
Vous devez limiter votre collecte des données personnelles à un seul but précis et identifié. Ces données ne doivent pas être utilisées à d’autres fins. Une finalité doit être déterminée par traitement et par base légale.
Principe de minimisation
Vous ne devez utiliser que des données nécessaires à l’atteinte de votre objectif. Les autres données ne doivent pas être enregistrées. Seules les données pertinentes pour atteindre l'objectif doivent être collectée.
Principe de durée limitée
Vous ne devez conserver les données collectées que le temps nécessaire à la réalisation de votre objectif. Chaque traitement doit avoir une durée limitée dans le temps où prédéterminée par référence à un évènement, par exemple, jusqu'à la désincription à la newsletter ou 5 ans après le départ d'un client.
Principe de sécurité
Vous devez garantir l’intégrité et la confidentialité des données collectées. Par exemple, aucun tiers non autorisé ne doit pouvoir y accéder. La sécurité des données personnelles est un élément très important du rgpd definition.
Principe des droits des personnes
Vous devez laisser la maîtrise des données collectées aux personnes concernées par le traitement des données. Il faut donc informer les personnes du traitement de leurs données personnelles, notamment par l'intermédiaire de la Politique de confidentialité.
Le règlement général impose également d'y décrire l'ensemble des droits que les personnes : information, accès, modification, opposition, suppression etc. Notons également qu'au titre de l'information des personnes, l'entreprise doit également communiquer sur les sous traitants à qui sont transférés les données personnelles des personnes concernées. C'est un principe important de la protection des données.
Comment s’assurer d’être conforme au RGPD ?
Pour cela, il s’agit de :
- Collecter uniquement les données pertinentes (principe de minimisation)
- Recenser les données stockées et vérifier leur conformité
- Être transparent en informant clairement des données collectées
- Maîtriser l’utilisation des données collectées
- Sécuriser les données collectées et stockées
- Identifier et gérer les risques associés aux traitements des données personnelles
Nous avons consacré un Livre Blanc si vous souhaitez en savoir plus sur la protection des données et comment se mettre en conformité au rgpd.
Par où commencer ?
La CNIL recommande de suivre ces 4 étapes pour commencer :
- Mettez en place un registre des traitements de données. Le but est d’avoir une cartographie exhaustive de traitements que vous réalisez.
- Vérifiez si vos données collectées et stockées sont nécessaires à votre activité.
- Informez des données que vous collectez, permettez leur modification, leur suppression ou leur portabilité.
- Sécurisez vos données. Vous devez réduire au maximum le risque de perte de données. Pour cela, de nouveaux réflexes doivent être mis en place concernant les mots de passe, les mises à jour de logiciel, le chiffrement des données, les sauvegardes, etc.
Quelles sanctions en cas de non-conformité ?
Les sanctions peuvent être assez lourdes :
- Sanctions pénales : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende
- Sanctions administratives : injonction de cesser la violation des données personnelles, avertissement et mise en demeure à se conformer au RGPD, limitation ou suspension temporaire du traitement des données, amende comprise entre 2 et 4% du chiffre d’affaires annuel (jusqu’à 20 millions d’euros)
- Sanctions additionnelles : versement de dommages et intérêts en cas dommage matériel ou moral ou de déficit d’image, sans oublier l’impact réputationnel d’une telle sanction sur votre entreprise qui peut avoir l’effet d’une double sanction !
Il est donc fortement conseillé de se conformer au RGPD ! 😊
Faut-il se doter d’un outil spécifique pour répondre au RGPD ?
Le RGPD responsabilise les différents acteurs qui doivent être capables de démontrer le bon respect des règles.
Il est donc vital d’instaurer de nouvelles procédures pour s’assurer d’être conforme au RGPD.
Certains outils informatiques, comme Leto, peuvent aider à minimiser les risques de sanctions.
Si vous traitez et stockez de nombreuses données personnelles, les vérifications manuelles auront rapidement une limite. Il faudra alors penser à automatiser vos processus en matière de données personnelles.
👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !
Conclusion
La CNIL sanctionne de plus en plus régulièrement les entreprises fautives. Certaines amendes atteignent même des montants astronomiques (50 millions pour Google ou 405 millions d’euros pour Instagram, par exemple).
Les signalements sont aussi de plus en plus nombreux.
Cela indique que les sociétés, même les plus fortunées, n’arrivent pas à gérer et protéger leurs données efficacement.
Le plus souvent, les entreprises sont dépassées face à cette gestion complexe des données personnelles.
On peut retenir les erreurs typiques suivantes :
- Ne pas bien comprendre les enjeux du RGPD
- Ne pas avoir de support de sa direction
- Confondre intégrité des données et conformité au RGPD
- Ne pas adopter une méthodologie claire et un plan précis
Si vous avez un doute sur votre politique interne concernant le RGPD, c’est sûrement que celle-ci n’est pas la hauteur pour garantir une bonne conformité.
N’hésitez pas à prendre rendez-vous avec l’équipe Leto pour en discuter!