La Veille Règlementaire Simplifiée

L'alliance parfaite entre l'intelligence artificielle et l'expertise de juristes pour sécuriser vos décisions HSE & RSE.

27 Avril 2016 - 🛡️ Cybersécurité

Le RGPD : socle commun pour la protection des données personnelles

1) Objet du texte

Le RGPD fixe un cadre uniforme, dans l’UE, pour protéger les personnes physiques lorsque leurs données à caractère personnel sont traitées, tout en permettant la libre circulation de ces données au sein de l’Union. 

2) Personnes concernées

Sont principalement concernés :

  • Les responsables de traitement (organisations qui décident “pourquoi” et “comment” les données sont utilisées) et les sous-traitants (prestataires qui traitent pour le compte du responsable).

  • Toutes les organisations (publiques ou privées) qui traitent des données de personnes dans l’UE, y compris, dans certains cas, des organisations hors UE si elles ciblent des personnes dans l’UE (offre de biens/services ou suivi/comportement). 

  • Les personnes concernées : toute personne physique dont les données sont traitées (clients, salariés, prospects, usagers, etc.).

3) Explications (la logique du RGPD)

Le RGPD repose sur une idée simple : les données personnelles ne se traitent pas “par défaut” ; il faut un cadre, des règles, et pouvoir démontrer sa conformité.

Les grands principes à retenir :

  • Finalité : on collecte pour un objectif précis.

  • Minimisation : on ne collecte que ce qui est nécessaire.

  • Exactitude et durée de conservation limitée.

  • Sécurité et confidentialité.

  • Responsabilité (accountability) : l’organisation doit être capable de prouver qu’elle respecte ces principes. 

Et les droits “concrets” des personnes (exemples) :

  • Droit à l’effacement (“droit à l’oubli”) dans certains cas. 

  • Droit à la portabilité (récupérer/transférer certaines données). 

4) Effets concrets (opérationnellement)

En pratique, se mettre en conformité RGPD implique généralement de :

  • Cartographier les traitements (quelles données, pourquoi, où, combien de temps, qui y accède).

  • Tenir un registre des activités de traitement (obligation structurante). 

  • Encadrer les prestataires via des contrats de sous-traitance adaptés (clauses RGPD, instructions, sécurité, etc.). 

  • Mettre en place des mesures de sécurité techniques et organisationnelles proportionnées. 

  • Réaliser une analyse d’impact (AIPD/DPIA) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés. 

  • Désigner un DPO (délégué à la protection des données) dans les cas prévus (ou lorsque c’est pertinent), et organiser sa mission. 

  • Préparer une gestion des violations de données : notification à l’autorité de contrôle si possible sous 72 h après en avoir eu connaissance (avec exceptions encadrées), et parfois information des personnes. 

5) Sanctions et risques en cas de non-conformité

Le RGPD prévoit :

  • Des amendes administratives pouvant aller, selon les manquements, jusqu’à 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), et un autre palier jusqu’à 10 000 000 € ou 2 % du CA mondial.

  • Des mesures correctrices de l’autorité (ex. injonctions, limitation/interdiction de traitement, etc.).

  • Des risques civils (responsabilité et demandes d’indemnisation) et, selon les États, autres sanctions prévues par le droit national pour certains manquements. 

6) Date d’application

Le RGPD est applicable depuis le 25 mai 2018 (entrée en vigueur antérieure, mais application à partir de cette date).

← Retour aux actualités