RGPD = règlement général de protection des données personnelles
Le contexte
Vous êtes entourés d’outils qui traitent de nos données personnelles (moteurs de recherche, réseaux sociaux, applications mobiles avec géolocalisation…). Ces données personnelles sont un potentiel et il convient de le protéger. Des scandales récents (Cambridge Analytica et la violation des comptes Facebook) mettent en lumière cette nécessité. Le RGPD, texte européen applicable en France, est un outil assorti d’obligations qui permettra de capitaliser sur le patrimoine de la donnée personnelle.
Qu'est-ce que le RGPD ?
RGPD = règlement général de protection des données personnelles. C'est un texte européen visant à garantir la protection des données personnelles et assujettissant les entreprises traitant des données personnelles à des obligations dans ce domaine. Les deux objectifs poursuivis sont les suivants :
- redonner aux citoyens le contrôle de leurs données personnelles,
- responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
Qu'est-ce qu'une donnée personnelle ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
- directement (exemple : nom, prénom) ;
- indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
- L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN) ;
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
Qu'est-ce qu'un traitement de données personnelles ?
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).
A noter : il ne s'agit pas que de traitements numériques. Si vous collectez des données personnelles de clients sous format papier, ce mode de collecte entre également dans le champ d'application du RGPD.
Les sanctions en cas de non-respect du RGPD
La protection des données personnelles est un enjeu majeur. A enjeu majeur, sanctions conséquentes en cas de non-respect : les entreprises peuvent ainsi être sanctionnées à hauteur de 20 millions d’euros ou de 4% de leur chiffre d’affaires annuel mondial.
Quand ?
Une date à retenir : 25 mai 2018. C'est la date d'entrée en application du RGPD et donc la date à laquelle les entreprises doivent s'engager sur la voie de la mise en en conformité par rapport à ce règlement notamment en disposant d’un registre de traitement des données.
Qui est concerné globalement ?
Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne
- que son activité cible directement des résidents européens.
Sont donc concernés les entreprises, les associations, les groupements....
Point important
Le traitement de données personnelles est une activité récurrente dans les entreprises. Donc il ne s'agit pas de s'assurer d'une mise en conformité et ensuite de passer à autre chose. La conformité de vos traitements de données personnelles, en respect du RGPD, est une affaire de tous les jours. La collecte, les traitements devront se faire en respect des procédures de conformité. Il s'agit donc pour vous d'assurer constamment cette conformité. Il vous faudra désormais avoir le réflexe RGPD.