Le règlement RGPD, garantissant la protection des personnes et de leurs données à caractère personnel, est entré en vigueur depuis le 25 mai 2018, il fait suite à la loi Informatique et libertés. Pour la commission nationale de l’informatique et des libertés ou la CNIL, toutes les entreprises doivent se mettre en conformité avec ce règlement général.
Qu’est-ce que le RGPD et quels sont ses objectifs ?
Le RGPD, vise à protéger les données des personnes physiques directement impliquées dans les traitements. Les entreprises s’appuient sur les données personnelles des internautes et des clients pour proposer des produits et des prestations. Intégré dans le droit européen, le RGPD est valable pour tous les résidents de l’UE.
L’objectif du RGPD est d’être le nouveau texte de conformité de référence pour la protection des données à caractère personnel. Il remplace une directive datant de 1995. Mais avec l’explosion du numérique, et la mise en place de nouveaux usages et de nouveaux modèles économiques, le respect de la vie privée est de plus en plus au centre des préoccupations.
Il s’agit aussi d’harmoniser le niveau de protection des informations personnelles dans l’union européenne, et afin qu’il n’y ait qu’un seul règlement européen qui encadre le traitement et la protection des données.
D’où vient l’idée de base du RGPD ?
L’idée de base de la Commission européenne, vient du fait que la loi de 1995 ne suit pas les évolutions technologiques. En 2012, Bruxelles a donc décidé de mettre en place un nouveau règlement sur la protection des données traitées. Même si le texte a été validé au niveau européen, cette validation a été faite lorsque Google a donné l’accord aux internautes Européen, le retrait de résultats de recherche les concernant. En 2015, la Cour de Justice a invalidé le régime permettant le transfert de données personnelles de citoyens européens vers les USA.
Mais quand le RGPD a-t-il réellement été décidé ? La protection de la vie privée a toujours été une préoccupation des dirigeants européens. La mise en place du RGPD s’est faite en trois fois :
- Le 14 avril 2016: l’adoption du texte par le parlement ;
- Le 27 avril 2016: La promulgation de cette loi sur la protection des personnes au J.O.
- Le 25 mai 2018: Son application.
Ce laps de temps a été mis en place pour donner la possibilité aux entreprises privées et aux collectivités traitant des données personnelles de s’y préparer sereinement.
Qu’est-ce qu’une donnée personnelle au juste ?
Une donnée personnelle est une information sur une personne physique : sa photo, son nom, son numéro de téléphone, son identifiant, son adresse, son empreinte ou encore son email. Ce sont des données sensibles car elles peuvent donner lieu à des préjugés ou toute autre forme de discrimination. C’est pourquoi traiter les données de ces personnes doit répondre à une règle stricte.
Le contenant des données personnelles peut concerner un engagement syndical, une orientation sexuelle, une appartenance ethnique, une situation médicale ou une opinion politique. Protéger les données sensibles est donc une priorité absolue. De plus, collecter ces données ne peut se faire sans un consentement écrit, explicite et clair, validé en amont par la CNIL.
Du côté de l’internaute, qu’est-ce que le RGPD apportera ?
Le RGPD met en avant un niveau de protection accrue pour l’internaute. En effet, comme le responsable doit respecter les données des personnes concernées, cette loi assure à l’internaute de multiples protections. Avant tout traitement donc, et pour le respect des droits des personnes, il n’est pas possible de récolter des données sans l’accord du concerné. L’internaute a donc de nombreux droits : droit à l’information sur les données traitées, droit d’opposition, droit d’accès, ou droit d’effacement, droit d’information en cas de piratage de données. Il sera même possible de demander une action de groupe, via des associations pour demander l’arrêt de tout traitement illicite.
Qui doit se conformer au RGPD ?
Afin de garantir la sécurité publique, toute entreprise doit démontrer sa conformité au droit RGPD. Ce dispositif est de mise pour toutes les entités (entreprises, association, sous-traitant) traitant et manipulant les données personnelles des européens. Le champ d’application du RGPD est large, car il concerne aussi bien les grandes entreprises que les petites start-ups, du médecin à l’avocat. Pour vous aider lors d’une éventuelle analyse d’impact ou pour la tenue d’un registre de traitement, vous pouvez vous faire aider d’un DPO ou d’un sous-traitant.
Attention, en cas de non-respect au règlement, vous vous exposez à des amendes allant jusqu’à 20 millions d’euros ou 4% de votre CA annuel mondial. Pour des entreprises de grande taille, cela peut représenter une dépense conséquente. Aussi, il faut que les sous-traitants respectent bien les dispositions RGPD sous peine d’en subir les conséquences.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : Avocat RGPD.
