En vigueur depuis 2018, le Règlement général sur la protection des données (RGPD) fixe les obligations à respecter par les entreprises traitant des données personnelles auprès des résidents de l’Union européenne. Origine de la réglementation, principales dispositions, entreprises concernées et démarches de mise en conformité : découvrez tout ce qu’il faut savoir sur le RGPD.
Qu’est-ce que le Règlement général sur la protection des données ?
Le General Data Protection Regulation (GDPR), ou Règlement général sur la protection des données (RGPD) en français, est une réglementation européenne relative à la protection des données personnelles des personnes physiques. Le texte abroge la directive 95/46/CE à l'échelle du continent et complète la Loi française Informatique et Libertés de 1978 en France.
En vigueur depuis le 25 mai 2018, il s'applique à l'ensemble des 27 États membres de l'Union européenne. Sa promulgation a principalement été rendue nécessaire par les évolutions technologiques et sociétales : développement du numérique, essor du e-commerce, etc. Plus concrètement, le RGPD affiche 3 objectifs principaux :
- renforcer le droit des personnes sur leurs données personnelles ;
- mieux responsabiliser les organisations traitant de la data à caractère personnel ;
- améliorer la coopération entre les différentes organisations en charge de la protection des données.
Quels sont les textes règlementaires encadrant le RGPD ?
Le Règlement général sur la protection des données repose sur plusieurs textes à l'échelle de l'Union européenne, dont :
- le Règlement général sur la protection des données ;
- les lignes directrices endossées par le CEPD (Comité Européen de la Protection des Données) qui donnent des exemples et illustrations de l'application du RGPD ;
- la Directive (UE) 2016/680 du Parlement Européen et du Conseil ;
- la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice », qui présente des champs d’application distincts du RGPD.
Mais le RGPD s’inscrit également dans le cadre réglementaire spécifique à la France, celui-ci étant basé sur plusieurs textes :
- la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- le décret n° 2019-536 du 29 mai 2019 prévoyant l’application de la loi relative à l'informatique, aux fichiers et aux libertés ;
- le règlement intérieur de la CNIL ;
- ou encore le Code pénal définissant les sanctions pénales en cas de manquement au RGPD.
Quelles sont les principales dispositions du RGPD ?
Le Règlement général sur la protection des données compte au total 99 articles. Parmi eux, plusieurs dispositions principales sont à noter.
- L’harmonisation du cadre : le RGPD fixe un ensemble de règles applicables à l'ensemble de l'Union européenne, limitant ainsi les disparités réglementaires entre les pays.
- Une application extraterritoriale : le texte ne s'applique pas uniquement aux entreprises européennes. Il concerne aussi les entreprises extraterritoriales qui traitent les données personnelles de résidents européens.
- Le consentement : les citoyens doivent désormais exprimer explicitement leur consentement avant la divulgation ou l'usage de leurs données.
- Le droit à l'effacement : les individus ont le droit de demander à ce que leurs données personnelles soient supprimées pour certains motifs spécifiques.
- Le droit à la portabilité : les personnes concernées ont le droit de demander à consulter, recevoir et transmettre leurs propres données personnelles.
- La sécurité des données : le RGPD impose aux organisations collectant ou traitant des données personnelles de garantir leur sécurisation.
- La désignation d'un DPO : dans certains cas, il est obligatoire de désigner un délégué à la protection des données (DPO), notamment lorsque le traitement est réalisé par un organisme public.
- L'étude d'impact sur la vie privée : les activités pouvant avoir un impact important sur la protection des données personnelles ont l'obligation de réaliser une étude d'impact sur la vie privée.
- Le durcissement des sanctions : en cas de manquement, les sanctions peuvent désormais atteindre 4 % du chiffre d'affaires mondial annuel de l'entreprise, dans la limite de 20 millions d'euros.
À qui s’applique le Règlement général sur la protection des données ?
Le RGPD concerne toutes les organisations traitant des données personnelles, pour son compte ou pour le compte d'un tiers. Le règlement s’applique indépendamment :
- de la nature de l’organisation : privée ou publique ;
- de son objet juridique : entreprise privée, administration publique ou encore association ;
- de sa taille : de la micro-entreprise à la multinationale ;
- de son pays d'implantation : il s'applique aux entreprises implantées au sein de l’Union européenne, mais aussi aux entreprises extraterritoriales traitant les données des résidents européens ;
- de la nature de l'activité : commerciale, artisanale ou encore prestation de services ;
- de la nature de l’utilisation : collecte des données, traitement, archivage, etc. ;
- du traitement direct ou non : il concerne aussi bien les entreprises traitant des données pour leur compte, pour le compte d'un tiers ou par le biais d'un sous-traitant.
Bon à savoir : le gouvernement met à votre disposition un auto-diagnostique RGPD à destination des PME. Il vous permet de définir si votre organisation est soumise au RGPD, les obligations à respecter et le degré d'avancement de votre mise en conformité.
Comment appliquer le RGPD ?
En charge de la mise en œuvre du Règlement général sur la protection des données, la Cnil (Commission nationale de l'informatique et des libertés) a dressé les 4 actions principales à entreprendre pour entamer et maintenir sa mise en conformité au RGPD.
- Créer un registre du traitement des données : la première étape consiste à lister les activités de l'entreprise qui ont l'usage des données personnelles (recrutement, formation, ressources humaines, relation clients, etc.). Pour chaque activité, il est ensuite nécessaire de remplir un registre présentant l'objectif poursuivi de la collecte, la nature des données utilisées, les personnes y ayant accès et la durée de conservation.
- Faire le tri dans les données : grâce au registre, l'entreprise doit vérifier qu'elle ne collecte que les données qui sont utiles à son activité, qu'elle ne traite pas de données sensibles (ou, le cas échéant, qu'elle a bien le droit de le faire), que seules les personnes habilitées disposent d'un accès aux informations et que les données sont conservées uniquement le temps nécessaire.
- Respecter le droit des personnes : lors de la collecte des données personnelles, le support doit obligatoirement comporter certaines informations afin de garantir la bonne information des personnes (la raison de la collecte, son fondement juridique, les services y ayant accès, la durée de conservation, les possibilités pour les personnes de faire valoir leurs droits, etc.). De plus, les personnes doivent pouvoir facilement exercer leurs droits (accès, rectification, effacement, etc.), notamment via la mise à disposition d'un formulaire ou d'un numéro de téléphone dédié.
- Protéger les données : les organisations doivent adopter certaines mesures physiques et informatiques pour garantir la sécurité des données collectées, traitées et conservées. Cela passe notamment par la mise à jour du logiciel anti-virus, la sécurisation des locaux, le chiffrement des données ou encore le choix de mots de passe forts.