RGPD - Règlement Général sur la Protection des Données

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigeur le 25 mai 2018.

Le RGPD est obligatoirement applicable depuis cette date dans tous les pays de l'Union Européenne et apporte des changements majeurs à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite, pour simplifier, Loi Informatique et libertés.

Le RGPD (Règlement Général sur la Protection des Données) est un règlement de l'Union Européenne (UE) qui a été adopté le 14 avril 2016 et qui, après une période de transition de deux ans, est entré en vigueur, comme annoncé, le 25 mai 2018.

Le RGPD est volumineux et complexe, mais impose essentiellement des règles strictes sur la manière dont les données privées sont collectées, stockées et partagées en ligne. En règle générale :

• Le RGPD exige un consentement pour le traitement des données à caractère personnel
• Le RGPD impose des limites à la manière dont les données à caractère personnel sont stockées
• Le RGPD impose des limites aux lieux où les données à caractère personnel sont exportées
• Le RGPD impose des limites à la durée de conservation des données à caractère personnel
• Le RGPD exige que les organisations permettent aux utilisateurs de purger leurs archives
• Le RGPD exige que les utilisateurs aient le droit d'effacer leurs données à caractère personnelle (sauf données juridiquement nécessaires à l'accomplissement de certaines actions comme pour les données de facturation, livraison, paiement, objet d'un contrat, etc.)
• Le RGPD oblige ceux qui stockent des données à caractère personnel à informer les personnes impliquées, en cas de violations de leurs données (vol, hack, piratage, etc.) dans les 72 heures (ou dès que possible).

Bien que le RGPD soit européen, il s'applique à toute organisation dans le monde qui stocke des données de citoyens européens. La pratique de la collecte ne dépend plus de l'emplacement enregistré de la société qui la pratique mais de l'emplacement de l'utilisateur. Ce sont donc pratiquement toutes les entreprises du monde qui sont concernées et, particulièrement, toutes celles du monde numérique (tous les sites Web).

Le RGPD responsabilise tous ceux, organismes publics ou privés, qui collectent ou traitent des données personnelles, que les données soient collectées de manière numérique ou à l’ancienne (« à la plume d’oie »).

Qui est concerné par le RGPD ?

Il s'agit d'un « règlement » et non d'une « directive », il a donc force de Loi en lui-même, directement et tel quel pour tous les pays de l'UE, sans passer par une phase d'interprétation/adaptation suivie d'une introduction différente dans chaque corpus législatif de chaque pays.

• Les « directives » sont transposées en droit interne par les États membres
• Les « règlements » s'appliquent tel quel

Le champ d’application du RGPD est défini aux :

En deux mots, le RGPD (Règlement Général sur la Protection des Données) oblige tout collecteur de données à en demander l'autorisation avant la collecte (c'est le principe de l'Opt-In), contrairement à ce qui se passait jusqu'au 24 mai 2018 ou la collecte des données était autorisée (et systématique dans le monde numérique) et on donnait parfois (de manière cachée, insoupçonnable) la possibilité, plus tard, aux individus/victimes d'exprimer leur désir d'en sortir (c'était le principe de l'Opt-Out).

Quel est le but du RGPD (Règlement Général sur la Protection des Données) ?

Le RGPD repose sur le droit fondamental de protection de la vie privée et des données à caractère personnel. Le RGPD vise donc à mieux protéger tous les citoyens de l'Union Européenne en harmonisant la protection des données personnelles dans l'ensemble des 28 Etats membres. En renforçant le cadre légal entourant l’utilisation des données des individus, le RGPD entend booster la confiance des consommateurs dans les nouvelles technologies et permettre ainsi un meilleur essor de l’économie numérique.

Le droit fondamental de protection de la vie privée ainsi que les contours de la notion de « vie privée » sont exprimés dans de très nombreux textes et dans la jurisprudence.

Quels sont les principaux impacts de RGPD ?

Tous les opérateurs/sociétés du monde, et particulièrement du Web, ont eu 2 ans pour mettre en place le RGPD qui les oblige à :

• La création d’un rôle de Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
• La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
• La création d’un processus de notification des violations de données
• L’obligation d’obtenir le consentement explicite du client lors de la collecte de données
• Le renforcement du droit pour les personnes d’accéder aux données qui les concernent et du droit de les supprimer
• La sensibilisation et la formation au thème de la protection des données de toute personne amenée à manipuler des données personnelles

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les sanctions peuvent être :

• En cas de violation mineure, un simple rappel à l'ordre.
• En cas de violation plus grave, une amende administrative prenant en compte la nature, la gravité, la durée de violation ainsi que son caractère intentionnel mais également les circonstances atténuantes. Cette amende administrative peut atteindre jusqu’à 4% du chiffre d’affaires d’une entreprise, contraignant ainsi à la plus grande vigilance dans la mise en œuvre de traitement de données à caractère personnel au regard du RGPD.

Si vous êtes une organisation ou une entreprise, plutôt grosse, manipulant des données privées, testez-vous (il existe plusieurs services d'audits, payants, sur le Web).

Diagnostic exhaustif de vos pratiques en matière de protection des données et évaluation de votre niveau de conformité au RGPD. Ces outils/services couvrent les 12 thèmes incontournables de la réglementation :

1. Gouvernance et politique
2. Responsabilité
3. Formation
4. Droit des clients
5. Confidentialité par conception / Confidentialité par défaut (Privacy by design / Privacy by default)
6. Stockage et suppression des données
7. Sécurité et gestion des incidents
8. Sous-traitance
9. Analyse d'impact de protection des données
10. Transferts
11. Traitements à vocation statistique
12. BCR (Binding Corporate Rules [Règles d'Entreprise Contraignantes]) / règles internes d’entreprises :

    BCR

    Instrument juridique européen auquel une société multinationale ou un groupe d'entreprises peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données, au sein du groupe, au départ d'un pays situé dans l'Union européenne (UE) ou dans l'Espace économique européen (EEE) vers un pays tiers.

    Ces règles ont été développées comme une alternative au Département américain du commerce de l'UE Safe Harbor (qui est valide seulement pour les organisations américaines) à la suite de la Directive 95/46/CE sur la protection des données données personnelles2 avec notamment un groupe de travail européen "Article 29", G29, sur la protection des données.

    Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées.

    Source : Wikipedia

Remarques sur le champ d'application du RGPD :

• Si les données collectées ne sont ni traitées par l'entreprise, ni sous-traitées, le RGPD ne s'applique pas à l'entreprise.
  
• S'il n'y a aucune donnée collectée par l'entreprise, le RGPD ne s'applique pas à l'entreprise.

Texte intégral du RGPD annoté

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (document PDF, français, 122 pages)
  

La mise en place des conditions de respect du RGPD (Règlement Général sur la Protection des Données) dans les sites WEB est assez compliquée et nécessite un gros travail de la part des sites qui y sont assujettis.

Des sociétés (des régies publicitaires) ont donc développé des scripts ou applications (gratuits ou commerciaux) que les administrateurs de sites WEB (les « Webmasters ») utilisent dans leurs sites. Il s'agit, pour ces régies publicitaires, d'assister et fidéliser leurs clients et, accessoirement, en gagner d'autres.

Lorsque vous entrez pour la première fois sur un site qui respecte le RGPD (c'est obligatoire et ils doivent TOUS le faire), vous allez probablement rencontrer une solution de demande d'acceptation ou de refus de votre profilage. Voici deux exemples de ces solutions et ce que vous devez faire :

1. Avec la solution Quantcast qu'utilisent de nombreux sites WEB :

   
   RGPD - solution Quantcast
   
   
   RGPD - solution Quantcast
   
   
   RGPD - solution Quantcast
   

2. Avec la solution TrustArc (de TRUSTe) qu'utilisent de nombreux sites WEB :

   
   RGPD - solution TrustArc de TRUSTe
   
   
   RGPD - solution TrustArc de TRUSTe
   
   
   RGPD - solution TrustArc de TRUSTe
   

3. Avec ceux qui ne respectent pas le RGPD :

   Utilisez les solutions universelles d'Opt-Out dont nous avons fait un gros travail d'identification et de synthèse :

   Opt-Out (Outils de sortie du tracking (espionnage) et blocage/suppression des cookies)

Tout est là :

• RGPD - Règlement Général sur la Protection des Données

• Opt-Out (Outils de sortie du tracking (espionnage) et blocage/suppression des cookies)