au sommaire
Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, renforce les droits des citoyens de l'Union européenne concernant leurs données personnelles. Toutes les entreprises et associations des 28 États membres, ainsi que celles issues des pays hors UE mais collectant et traitant des données de résidents européens (comme GoogleGoogle, FacebookFacebook ou AmazonAmazon par exemple), y sont soumises.
La RGPD repose sur trois grands principes à connaître.
Principe clé de la RGPD : la transparence
Le site doit indiquer clairement pourquoi il collecte vos données, comment elles seront utilisées, combien de temps elles seront conservées et les tiers qui y auront accès. Toutes les informations doivent être écrites dans un format compréhensible (concise, lisible, rédigée dans un vocabulaire simple). Le consentement doit être un acte positif (et non pas une case cochée par défaut) qui peut être retiré facilement.
Principe clé de la RGPD : le droit des utilisateurs
Chaque utilisateur bénéficie d'un droit d’accès à ses données (formulaire, adresse email, courrier...). Il est par exemple désormais possible de télécharger sur le site d'AppleApple toutes les données que l'entreprise détient sur vous. Vous pouvez exercer un droit à l'oubli (photo ou information gênante, par exemple), un droit à l'effacement (lorsqu'on quitte un site d'e-commerce...) et demander un déférencement sur un moteur de recherche. Comme pour la téléphonie mobilemobile, il existe un droit à la portabilité : une fois vos données récupérées, vous pouvez les transmettre à un autre site.
Principe clé de la RGPD : la responsabilité des entreprises
Chaque entreprise est responsable non seulement des données qu'elle récolte mais aussi de celles transmises à des sous-traitants. Elle doit prouver qu'elle a mis en place tous les moyens adéquats pour protéger vos données et réfléchir en amont sur ce qui est pertinent de collecter ou non. En cas de violation des données (piratage, fuite...), l'entreprise concernée devra vous le signaler, ainsi qu'aux autorités compétentes, dans les 72 heures.
En cas de manquement à ces obligations, les citoyens pourront se tourner vers l'autorité référente (Commission nationale de l'informatique et des libertésCommission nationale de l'informatique et des libertés ou Cnil en France). Les sanctions encourues sont assez lourdes puisqu'elles peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires.
Le RGPD c'est quoi ?
Le règlement général de protection des données résulte de l'applicationapplication d'une décision d'origine européenne destinée à renforcer la protection des données personnelles en profitant des avantages du droit européen.
Le fruit d’une directive européenne
Le règlement général de protection des données, UE 2016/679 émane d'une décision du Conseil et du Parlement européen et renforce la protection des données personnelles , simplifie la réglementation pour les entreprises. Il a trois objectifs :
- améliorer les droits des individus,
- les internautes ont le droit d'exiger l'effacement des données personnelles. Il peut l'obtenir sous conditions. La CNIL évoque la notion de droit à l'oubli.
- responsabiliser les personnes physiquesphysiques et morales,
- les entreprises sont tenues d'indiquer le piratage des données à caractère personnel sous 72 heures maximum aux autorités compétentes et aux personnes concernées.
- améliorer la coopération entre les autorités de protection des données afin de crédibiliser la régulation.
- En pratique le RGPD concerne les organismes privés ou publics, mais plus généralement les entreprises, qui se livrent à la collecte et/ou au traitement des données.
Les avantages du cadre européen
Le RGPD tire avantage de l'harmonisation et de l'extraterritorialité du droit européen, de sorte que les habitants et les organismes de l'UE puissent en profiter à large échelle. Il concerne notamment les filiales des entreprises européennes installées dans les pays tiers.
Le RGPD comment ça marche ?
Il suffit de six étapes pour mettre en œuvre le RGPD. Il est recommandé de faire appel à la CNIL.
Les six étapes de la mise en œuvre du RGPD
- Il suffit de six étapes pour mettre en place le RGPD :
- choisir un délégué à la protection des données,
- ouvrir un registre de traitement des données,
- établir la liste des actions prioritaires,
- analyser au mieux les risques qui pèsent sur la sécurité des données,
- définir des procédures internes,
- créer une documentation en mesure de vérifier la conformité de l'entreprise au règlement.
Faites appel à la CNIL
La CNIL a conçu un dossier spécialement dédié à la mise en œuvre du RGPD. Elle a également mis en ligne un MOOC appelé l'atelier RGPD.
Il est composé de quatre modules d'une duréedurée globale de cinq heures environ :
- le RGPD et ses notions clés,
- les principes de la protection des données,
- les responsabilités des acteurs,
- le délégué à la protection des données et les outils de conformité.
À quoi sert Le RGPD ?
Le RGPD a pour intérêt d'améliorer la transparencetransparence dans la collecte et le traitement des données. Elle renforce les droits des utilisateurs.
Accroître la transparence
Les organismes concernés sont tenus d'indiquer pour quels motifs ils collectent les données, comment ils les exploitent, leur temps de conservation et la liste des personnes qui y auront accès. Le consentement devient un acte positif susceptible d'être retiré à n'importe quel moment.
Renforcer les droits des utilisateurs
Les utilisateurs disposent d'un droit d'accès aux données qui les concernent, notamment l'adresse électronique, son contenu, le formulaire, etc. Ils peuvent faire valoir leurs droits:
- à l'effacement,
- au déréférencement,
- à la portabilité.