Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
Publication initiale : 18.09.2017
Dernière révision : 22.12.2018
RGPD - Règlement Général sur la Protection des Données
Le RGPD (Règlement Général sur la Protection des Données) est entré en vigeur le 25 mai 2018.
Le RGPD est obligatoirement applicable depuis cette date dans tous les pays de l'Union Européenne et apporte des changements majeurs à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite, pour simplifier, Loi Informatique et libertés.
Le RGPD (Règlement Général sur la Protection des Données) est un règlement de l'Union Européenne (UE) qui a été adopté le 14 avril 2016 et qui, après une période de transition de deux ans, est entré en vigueur, comme annoncé, le 25 mai 2018.
Le RGPD est volumineux et complexe, mais impose essentiellement des règles strictes sur la manière dont les données privées sont collectées, stockées et partagées en ligne. En règle générale :
Bien que le RGPD soit européen, il s'applique à toute organisation dans le monde qui stocke des données de citoyens européens. La pratique de la collecte ne dépend plus de l'emplacement enregistré de la société qui la pratique mais de l'emplacement de l'utilisateur. Ce sont donc pratiquement toutes les entreprises du monde qui sont concernées et, particulièrement, toutes celles du monde numérique (tous les sites Web).
Le RGPD responsabilise tous ceux, organismes publics ou privés, qui collectent ou traitent des données personnelles, que les données soient collectées de manière numérique ou à l’ancienne (« à la plume d’oie »).
Il s'agit d'un « règlement » et non d'une « directive », il a donc force de Loi en lui-même, directement et tel quel pour tous les pays de l'UE, sans passer par une phase d'interprétation/adaptation suivie d'une introduction différente dans chaque corpus législatif de chaque pays.
Le champ d’application du RGPD est défini aux :
Article 2 du RGPD (champ d'application matériel)
Compte tenu de la rédaction de cet article, la protection des personnes physiques s'applique également aux traitements manuels, et pas seulement automatisés, de données à caractère personnel, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier.
1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Article 3 du RGPD (champ d'application territorial)
Le RGPD instaure une règle d’application extraterritoriale du droit européen et les sous-traitants sont à présent directement concernés par la réglementation.
4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.
En deux mots, le RGPD (Règlement Général sur la Protection des Données) oblige tout collecteur de données à en demander l'autorisation avant la collecte (c'est le principe de l'Opt-In), contrairement à ce qui se passait jusqu'au 24 mai 2018 ou la collecte des données était autorisée (et systématique dans le monde numérique) et on donnait parfois (de manière cachée, insoupçonnable) la possibilité, plus tard, aux individus/victimes d'exprimer leur désir d'en sortir (c'était le principe de l'Opt-Out).
Le RGPD repose sur le droit fondamental de protection de la vie privée et des données à caractère personnel. Le RGPD vise donc à mieux protéger tous les citoyens de l'Union Européenne en harmonisant la protection des données personnelles dans l'ensemble des 28 Etats membres. En renforçant le cadre légal entourant l’utilisation des données des individus, le RGPD entend booster la confiance des consommateurs dans les nouvelles technologies et permettre ainsi un meilleur essor de l’économie numérique.
Le droit fondamental de protection de la vie privée ainsi que les contours de la notion de « vie privée » sont exprimés dans de très nombreux textes et dans la jurisprudence.
Tous les opérateurs/sociétés du monde, et particulièrement du Web, ont eu 2 ans pour mettre en place le RGPD qui les oblige à :
Les sanctions peuvent être :
Si vous êtes une organisation ou une entreprise, plutôt grosse, manipulant des données privées, testez-vous (il existe plusieurs services d'audits, payants, sur le Web).
Diagnostic exhaustif de vos pratiques en matière de protection des données et évaluation de votre niveau de conformité au RGPD. Ces outils/services couvrent les 12 thèmes incontournables de la réglementation :
BCR
Instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.
Ces règles ont été développées comme une alternative au Département américain du commerce de l'UE Safe Harbor (qui est valide seulement pour les organisations américaines) à la suite de la Directive 95/46/CE sur la protection des données données personnelles2 avec notamment un groupe de travail européen "Article 29", G29, sur la protection des données.
Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées.
Source : Wikipedia
![]() | Article rédigé en écoutant...2Cellos (Luka Sulic et Stjepan Hauser) jouant « With Or Without You », de U2, lors de leur concert historique organisé à l'occasion du 5e anniversaire de leur formation (2011), à Arena di Verona, en mai 2016. |