Pour commencer, RGPD est le sigle de « Règlement général sur la protection des données », en français. En langue anglaise, le sigle est GDPR pour « general data protection regulation ».
Le Règlement général de la protection des données (RGPD) est un texte européen, adopté définitivement le 14 avril 2016 par le Parlement européen et promulgué au Journal officiel le 27 avril 2016. On trouve l’intégralité du texte de ce règlement sur le site de la CNIL ou de l’Union européenne.
Ce texte traite de la manière dont toute forme d’organisation (entreprise, association et administration, etc.) doit se comporter vis-à-vis des données personnelles des citoyens de l’UE.
Ce règlement est valable dans toute l’Union européenne, mais aussi en dehors puisque toute organisation qui recueille les données de citoyens européens est concernée.
Ce texte est rentré en application depuis le 25 mai 2018.
Depuis cette date, toute infraction au RGPD peut être sanctionnée par une amende allant jusqu’à 4% du chiffre d’affaires annuel de l’exercice précédent. Pour certaines organisations, cela représente un montant de 20 millions d’euros… Mais ces organisations ont des experts pour mettre en application correctement le RGPD. Ce n’est pas le cas des PME et des TPE !
Le RGPD, une initiative sans précédent
Le RGPD est le résultat d’une décision sans précédent depuis au moins 20 ans. En effet, il impacte toutes les organisations qui proposent des services aux citoyens de l’Union européenne, quelle que soit leur localisation dans le monde.
Pourquoi la mise en place du RGPD ?
Confrontée à des dérives concernant les données personnelles et ce, particulièrement depuis les trois dernières décennies où le web s’est implanté dans notre vie, l’UE à décider de permettre à chacun de ses citoyens de contrôler la manière dont sont utilisés et protégés les droits et les libertés fondamentaux des personnes physiques.
Le RGDP a donc été conçu pour adapter, moderniser la législation et harmoniser le cadre juridique européen dans le domaine de la protection des données personnelles.
Ainsi, le Règlement général sur la protection des données édicte des règles strictes relatives aux données, en matière de procédures de traitement, de transparence, de documentation et de consentement de l’utilisateur pour les organisations :
1 – Conserver une archive des activités de traitement des données personnelles
Que les données personnelles soient traitées au sein de l’organisation désignée comme « contrôleur de données » (fournisseurs de logiciel de service, services tiers intégrés, etc.) ou par un tiers désigné comme « processeur de données », toute organisation doit conserver une archive de ses activités de traitement des données personnelles.
De ce fait, toute organisation doit pouvoir rendre compte à tout moment du type de données traitées. Ce compte-rendu doit permettre d’identifier sans équivoque le type de données traitées, dans quel but du traitement, qui sont les destinataires et quel est le lieu (pays) du transfert de ces données.
Mais vous êtes aussi responsable de ce que vous transmettez à des tiers : ces données personnelles traitées ou non – ne peuvent être transmises qu’à d’autres organisations en conformité avec le RGPD ou dans des juridictions dites « convenables ».
2 – Conserver la preuve du consentement
Sans consentement préalable, selon le RGPD, aucune donnée ne peut être traitée. Le consentement doit certes être obtenu, mais préalablement, l’organisation aura fourni des informations claires et spécifiques sur le type de données recueillies et dans quel but.
Particulièrement pour les données sensibles, ce consentement doit être explicite. C’est-à-dire que le citoyen doit être informé clairement et sans vice sur les données recueillies et leur traitement pour lesquels il donne son consentement.
Ce n’est qu’après avoir obtenu de manière certaine et honnête, et ceci pouvant être prouvé devant une juridiction que l’organisation peut procéder au premier traitement de ces données.
3 – Les autres droits du citoyen européen confirmés par le RGPD
Dorénavant, les personnes disposent du droit de portabilité des données, du droit d’accès aux données, ainsi que du droit à l’oubli.
Elles peuvent aussi retirer selon leur convenance, leur consentement auprès d’une organisation.
Le contrôleur est alors dans l’obligation de supprimer les données personnelles concernant cet individu si elles ne sont plus utiles au but pour lequel elles ont été recueillies.
4 – Sécurisation des données personnelles
Le RGPD oblige maintenant les autorités publiques et les autres organisations qui traitent des données personnelles sensibles à grande échelle d’employer ou de former un responsable protection des données (RPD).
Voilà grossièrement en quoi consiste le RGPD et ce que vous devez envisager pour votre site. Vous pouvez consulter le texte dans son intégralité sur le site de la CNIL ou de l’UE. Nous vous recommandons vivement de recourir à une expertise juridique pour mettre votre site en conformité plutôt que d’utiliser une application robotisée.
Pour aller plus loin
Commentaires récents