La loi RGPD ou Règlement Général sur la Protection des Données est l’encadrement juridique du traitement des données personnelles au sein du territoire de l’Union Européenne. Elle légifère la protection des données à caractère personnel des citoyens, collectées par les professionnels de l’activité numérique et informatique, et en cette période de révolution numérique, la loi s’est fortement renforcée afin que ces données ne soient utilisées à des fins frauduleuses et illégales. Il faut alors que toute organisation qui traite de ces données privées et potentiellement sensibles se renseigne sur le règlement général en la matière.
Présentation du RGPD
Mise en application
Ce règlement est appliqué depuis 2018 et a pour missions :
- L’uniformisation au niveau européen de la règlementation pour la protection des données en devenant le texte de référencement en la matière,
- La responsabilisation des organisations qui traitent les données personnelles des utilisateurs,
- Le renforcement des droits des utilisateurs.
Qui sont concernés ?
Le RPGD concerne les grandes entreprises, les TPE et les PME qui œuvrent dans les activités qui traitent et collectent les données personnelles. Il a adapté et modernisé le cadre juridique de la protection de données afin de redonner aux utilisateurs et citoyens le contrôle de leurs données personnelles. Il s’applique donc à toutes les entreprises privées et publiques des 27 états membres de l’UE : celles qui proposent des biens et services et celles qui traitent des données à caractère personnelles sur des résidents de l’UE. Ne sont pas concernées, les entreprises qui traitent de données sur les personnes morales sauf si ces personnes morales doivent collecter des données sur les représentants des personnes morales.
Les principes du RGPD
- Le consentement des utilisateurs doit être explicite et positif et il peut être retiré à tout moment. En cas de contrôle de la CNIL (Commission Nationale de l’Informatique et des Libertés), l’entreprise doit prouver ce consentement. La politique appliquée concernant les cookies et leur mode de gestion fait également partie de la notion de consentement.
- La transparence est indissociable au consentement, et chaque individu a le droit de demander des informations claires et sans ambiguïté concernant le traitement de leurs données.
- Le droit des personnes physiques : un droit d’accès facilité dans un délai de un mois, un droit d’oubli (la suppression des données et de leurs reproductions), un droit à la limitation du traitement, un droit à la portabilité des données (récupération des données sur un format réutilisable).
- La responsabilité des entreprises
En quoi consiste la conformité au RGPD
Les risques inhérents à la non-conformité RGPD
Tout dirigeant d’entreprise se doit de garantir que son entreprise est en conformité avec le RGPD. Il doit documenter toutes les mesures et procédures en matière de protection des données en cas de contrôle de la CNIL. Un registre avec une base de données des traitements. Les données sont également sous la protection et la responsabilité de l’entreprise et celle-ci doit aussi bien encadrer ses sous-traitants car en cas de fuite de données, c’est l’entreprise qui est responsable et non le sous-traitant. Dans le cas de non-conformité RGPD de l’entreprise, la CNIL peut décider de prendre des mesures et des sanctions. Pour en savoir un peu plus, on peut lire l’article sur la non-conformité RGPD.
La responsabilité pénale du dirigeant
Le risque de sanctions financières en matière de non-conformité au RGPD peut atteindre 4% du chiffre d’affaires annuel pour une personne morale. Il est donc préférable pour le dirigeant de mettre en œuvre dans les plus brefs délais l’application des mesures appropriées, avec l’aide de ses collaborateurs. Il doit veiller au renforcement de la sécurité des données à caractère personnel mais aussi à celle du stockage de ces données. Il doit également désigner un Délégué à la Protection des Données, particulièrement pour le traitement de données sensibles à grande échelle.