Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

RGPD - Règlement Général sur la Protection des Données

RGPD - Le Règlement Général sur la Protection des Données est entré en application le 25 mai 2018 - Il s'applique uniformément dans tous les pays de l'Union Européenne.

RGPD - Règlement Général sur la Protection des Données

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigeur le 25 mai 2018.

Le RGPD est obligatoirement applicable depuis cette date dans tous les pays de l'Union Européenne et apporte des changements majeurs à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite, pour simplifier, Loi Informatique et libertés.

Le RGPD (Règlement Général sur la Protection des Données) est un règlement de l'Union Européenne (UE) qui a été adopté le 14 avril 2016 et qui, après une période de transition de deux ans, est entré en vigueur, comme annoncé, le 25 mai 2018.

Le RGPD est volumineux et complexe, mais impose essentiellement des règles strictes sur la manière dont les données privées sont collectées, stockées et partagées en ligne. En règle générale :

  • Le RGPD exige un consentement pour le traitement des données à caractère personnel
  • Le RGPD impose des limites à la manière dont les données à caractère personnel sont stockées
  • Le RGPD impose des limites aux lieux où les données à caractère personnel sont exportées
  • Le RGPD impose des limites à la durée de conservation des données à caractère personnel
  • Le RGPD exige que les organisations permettent aux utilisateurs de purger leurs archives
  • Le RGPD exige que les utilisateurs aient le droit d'effacer leurs données à caractère personnelle (sauf données juridiquement nécessaires à l'accomplissement de certaines actions comme pour les données de facturation, livraison, paiement, objet d'un contrat, etc.)
  • Le RGPD oblige ceux qui stockent des données à caractère personnel à informer les personnes impliquées, en cas de violations de leurs données (vol, hack, piratage, etc.) dans les 72 heures (ou dès que possible).

Bien que le RGPD soit européen, il s'applique à toute organisation dans le monde qui stocke des données de citoyens européens. La pratique de la collecte ne dépend plus de l'emplacement enregistré de la société qui la pratique mais de l'emplacement de l'utilisateur. Ce sont donc pratiquement toutes les entreprises du monde qui sont concernées et, particulièrement, toutes celles du monde numérique (tous les sites Web).

Le RGPD responsabilise tous ceux, organismes publics ou privés, qui collectent ou traitent des données personnelles, que les données soient collectées de manière numérique ou à l’ancienne (« à la plume d’oie »).

Qui est concerné par le RGPD ?

Il s'agit d'un « règlement » et non d'une « directive », il a donc force de Loi en lui-même, directement et tel quel pour tous les pays de l'UE, sans passer par une phase d'interprétation/adaptation suivie d'une introduction différente dans chaque corpus législatif de chaque pays.

  • Les « directives » sont transposées en droit interne par les États membres
  • Les « règlements » s'appliquent tel quel

Le champ d’application du RGPD est défini aux :

Article 2 du RGPD (champ d'application matériel)

Compte tenu de la rédaction de cet article, la protection des personnes physiques s'applique également aux traitements manuels, et pas seulement automatisés, de données à caractère personnel, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier.

1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Article 3 du RGPD (champ d'application territorial)

Le RGPD instaure une règle d’application extraterritoriale du droit européen et les sous-traitants sont à présent directement concernés par la réglementation.

4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.

En deux mots, le RGPD (Règlement Général sur la Protection des Données) oblige tout collecteur de données à en demander l'autorisation avant la collecte (c'est le principe de l'Opt-In), contrairement à ce qui se passait jusqu'au 24 mai 2018 ou la collecte des données était autorisée (et systématique dans le monde numérique) et on donnait parfois (de manière cachée, insoupçonnable) la possibilité, plus tard, aux individus/victimes d'exprimer leur désir d'en sortir (c'était le principe de l'Opt-Out).

Quel est le but du RGPD (Règlement Général sur la Protection des Données) ?

Le RGPD repose sur le droit fondamental de protection de la vie privée et des données à caractère personnel. Le RGPD vise donc à mieux protéger tous les citoyens de l'Union Européenne en harmonisant la protection des données personnelles dans l'ensemble des 28 Etats membres. En renforçant le cadre légal entourant l’utilisation des données des individus, le RGPD entend booster la confiance des consommateurs dans les nouvelles technologies et permettre ainsi un meilleur essor de l’économie numérique.

Le droit fondamental de protection de la vie privée ainsi que les contours de la notion de « vie privée » sont exprimés dans de très nombreux textes et dans la jurisprudence.

Quels sont les principaux impacts de RGPD ?

Tous les opérateurs/sociétés du monde, et particulièrement du Web, ont eu 2 ans pour mettre en place le RGPD qui les oblige à :

  • La création d’un rôle de Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
  • La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
  • La création d’un processus de notification des violations de données
  • L’obligation d’obtenir le consentement explicite du client lors de la collecte de données
  • Le renforcement du droit pour les personnes d’accéder aux données qui les concernent et du droit de les supprimer
  • La sensibilisation et la formation au thème de la protection des données de toute personne amenée à manipuler des données personnelles

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les sanctions peuvent être :

  • En cas de violation mineure, un simple rappel à l'ordre.
  • En cas de violation plus grave, une amende administrative prenant en compte la nature, la gravité, la durée de violation ainsi que son caractère intentionnel mais également les circonstances atténuantes. Cette amende administrative peut atteindre jusqu’à 4% du chiffre d’affaires d’une entreprise, contraignant ainsi à la plus grande vigilance dans la mise en œuvre de traitement de données à caractère personnel au regard du RGPD.
Aux sanctions pécuniaires s'ajoute également le risque de détériorer l'image de l'entreprise auprès de ses clients.

Si vous êtes une organisation ou une entreprise, plutôt grosse, manipulant des données privées, testez-vous (il existe plusieurs services d'audits, payants, sur le Web).

Diagnostic exhaustif de vos pratiques en matière de protection des données et évaluation de votre niveau de conformité au RGPD. Ces outils/services couvrent les 12 thèmes incontournables de la réglementation :

  1. Gouvernance et politique
  2. Responsabilité
  3. Formation
  4. Droit des clients
  5. Confidentialité par conception / Confidentialité par défaut (Privacy by design / Privacy by default)
  6. Stockage et suppression des données
  7. Sécurité et gestion des incidents
  8. Sous-traitance
  9. Analyse d'impact de protection des données
  10. Transferts
  11. Traitements à vocation statistique
  12. BCR (Binding Corporate Rules [Règles d'Entreprise Contraignantes]) / règles internes d’entreprises :

    BCR

    Instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

    Ces règles ont été développées comme une alternative au Département américain du commerce de l'UE Safe Harbor (qui est valide seulement pour les organisations américaines) à la suite de la Directive 95/46/CE sur la protection des données données personnelles2 avec notamment un groupe de travail européen "Article 29", G29, sur la protection des données.

    Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées.

    Source : Wikipedia

Remarques sur le champ d'application du RGPD :

  • Si les données collectées ne sont ni traitées par l'entreprise, ni sous-traitées, le RGPD ne s'applique pas à l'entreprise.
  • S'il n'y a aucune donnée collectée par l'entreprise, le RGPD ne s'applique pas à l'entreprise.

Texte intégral du RGPD annoté