Adopté en avril 2016 par le Parlement Européen, le Règlement Général sur la Protection des Données (RGPD) est le dispositif légal qui remplace la Directive sur la Protection des Données Personnelles. Cette loi s’applique directement au sein des 27 États membres de l’Union Européenne (UE). Elle est prioritaire et au-dessus de toutes les législations nationales relatives à la protection des données dans tous les pays concernés. Le RGPD ou GDPR (en anglais, General Data Protection Regulation) s’avère une disposition juridique extraterritoriale. Cette réglementation donne aux citoyens plusieurs droits et aux responsables de traitements de données, des devoirs. Que faut-il comprendre à propos du RGPD ?
Plan de l'article
- Traitement de données personnelles : une notion à cerner
- RGPD : quelques principes importants
- L’entreprise désormais actrice de sa mise en conformité avec le RGPD
- Les droits des personnes concernées : un renforcement avec le RGPD
- Les sanctions en cas de non-conformité au RGPD : quelles conséquences pour les entreprises ?
Traitement de données personnelles : une notion à cerner
Pour la Commission Nationale de l’Informatique et des Libertés (CNIL), un traitement de données personnelles désigne : « une opération, ou un ensemble d‘opérations, portant sur des données personnelles, quel que soit le procédé utilisé », c’est ainsi que vous pourrez comprendre le rgpd. Cette autorité de surveillance numérique basée en France précise que « les fichiers papier sont également concernés ». Ainsi, sont catégorisées comme opérations de traitement de données, toutes actions, manœuvre ou procédure en lien avec :
A lire aussi : 4 idées d’investissement originales pour 2023
- la collecte,
- la conservation,
- l’enregistrement organisation,
- la modification,
- l’adaptation ou
- l’extraction consultation des données de toute personne physique.
A découvrir également : Pourquoi faire un stage en Irlande lorsqu’on est français ?
Sont également concernées, toutes actions liées à l’utilisation, la diffusion, la communication par transmission ou tout autre procédé de rapprochement ou de mise à disposition des informations dites personnelles. De ce fait, on parlera de traitement de données dès qu’une personne, une entreprise ou toute forme d’organisation intervient sur au moins une donnée personnelle.
Qu’appelle-t-on donnée personnelle ?
Est considérée comme données personnelles, toute information pouvant directement ou indirectement servir à identifier une personne physique. Il s’agit ainsi du nom et du prénom (information directe) ainsi que des informations indirectes comme le numéro de téléphone, le numéro de client, le numéro de la carte d’identité ou du passeport et le numéro de la sécurité sociale. Les adresses MAC et IP sont ainsi des données personnelles au même titre que les informations des salariés, des sous-traitants et des clients, tant qu’il s’agit de personnes physiques.
Qu’en est-il des données sensibles ?
Constitue une donnée sensible, toute information qui renseigne sur la santé, les données génétiques, les origines, les opinions et l’orientation sexuelle. L’appartenance à un syndicat et les potentielles condamnations pénales y sont aussi incluses. Ces informations dites sensibles sont encore plus protégées du fait de leur grande sensibilité.
RGPD : quelques principes importants
Outre l’harmonisation de la réglementation dans les pays de l’UE, le RGPD régit certains principes à connaître et à respecter. L’extra-territorialité de cette loi en est un exemple. En réalité, le RGPD stipule que les entreprises établies hors du territoire de l’UE, mais qui procèdent au traitement des données relatives aux résidents ou aux activités de l’espace Euro sont tenues de respecter ladite loi. Quant au principe du consentement explicite et positif, il s’agit d’une disposition qui oblige les entreprises à donner plus de contrôle aux citoyens, salariés et clients, sur leurs données personnelles.
Par exemple, les sites internet doivent forcément et explicitement demander l’autorisation des visiteurs de leurs plateformes sur l’utilisation et le stockage de leurs informations. De plus, avec le droit à l’effacement, toute personne peut demander la suppression de ces données dans les meilleurs délais. Elle pourra également réclamer que l’entreprise lui fournisse les données traitées dans un format lisible (droit à la portabilité). La sécurité des informations personnelles doit aussi être assurée.
L’entreprise désormais actrice de sa mise en conformité avec le RGPD
Les entreprises ou les organisations doivent mettre au point des moyens et stratégies afin d’assurer leurs conformités avec le RGPD. Ladite conformité devra être prouvée, à tout moment, à travers une documentation justificative. Le registre des activités de traitement en est un exemple. Ce document présente l’ensemble des traitements effectués sur les données personnelles des utilisateurs, des clients ou des employés.
La liste des données devant figurer dans le registre de traitement dépend de la nature et de la taille de l’entreprise. Pour être en conformité avec cette réglementation, il est recommandé de désigner une personne ou une structure chargée de suivre les procédures et de s’assurer de l’existence et de la disponibilité des documents justificatifs. Il s’agit du délégué à la protection des données ou Data Protection Officier (DPO).
Le RGPD est un dispositif de réglementation qui s’applique tant aux sites internet, à toute plateforme en ligne, ainsi qu’à toute structure gouvernementale ou privée qui collectent et traitent des données relatives aux résidents de l’Union Européenne. Pour se conformer à cette loi, il est important d’avoir un registre de traitement. Travailler avec un délégué à la protection des données est aussi recommandé.
Les droits des personnes concernées : un renforcement avec le RGPD
Le RGPD marque un tournant majeur en renforçant les droits des personnes concernées. Il accorde aux individus plus de contrôle sur leurs données personnelles et leur permet d’exercer leurs droits de manière plus efficace. Parmi ces droits, nous pouvons citer le droit d’accès, le droit à la rectification, le droit à l’effacement (aussi connu sous le nom de « droit à l’oubli »), le droit à la limitation du traitement, ainsi que le droit à la portabilité des données.
Le droit d’accès donne aux individus la possibilité de demander aux entreprises quelles sont les données personnelles qui les concernent et dans quel but elles sont traitées. Les entreprises doivent fournir une réponse claire et détaillée dans un délai raisonnable.
Le droit à la rectification permet aux individus de demander la modification ou la mise à jour de leurs données personnelles si elles sont incorrectement enregistrées ou incomplètes.
Quant au droit à l’effacement, il donne aux personnes concernées le pouvoir de demander la suppression totale ou partielle de leurs données personnelles. Cela peut être réalisé lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsque leur traitement est illicite ou encore lorsqu’une opposition légitime a été formulée contre ce traitement.
Le droit à la limitation du traitement, quant à lui, offre aux personnes concernées la possibilité d’imposer une restriction temporaire sur l’utilisation future de leurs données personnelles par une entreprise. Cela peut être demandé dans certains cas, par exemple si l’exactitude des données est contestée ou si le traitement est illicite.
Le droit à la portabilité des données permet aux personnes concernées de récupérer leurs données personnelles auprès d’une entreprise dans un format structuré, couramment utilisé et lisible par machine. Elles ont aussi la possibilité de transférer ces informations directement à une autre entreprise, sans entrave de la part du responsable du traitement initial.
Pensez à bien noter que ces droits ne sont pas absolus et peuvent être limités en fonction des intérêts légitimes de l’entreprise ou des obligations légales auxquelles elle est soumise. Pensez à bien respecter les droits accordés aux personnes concernées afin d’y répondre adéquatement tout en respectant les exigences du RGPD.
Les sanctions en cas de non-conformité au RGPD : quelles conséquences pour les entreprises ?
Les sanctions en cas de non-conformité au RGPD peuvent avoir des conséquences significatives pour les entreprises qui ne respectent pas les règles établies. Effectivement, l’Union européenne a mis en place un arsenal de mesures dissuasives afin d’assurer une application effective du règlement.
Il faut mentionner que le montant des amendes peut être extrêmement élevé. Selon la gravité de l’infraction et les circonstances l’entourant, une entreprise peut se voir infliger une amende pouvant atteindre jusqu’à 4 % de son chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. Il s’agit là d’une sanction financière considérable qui pourrait mettre en péril la viabilité économique même des entreprises les plus importantes.
Il faut souligner que ces amendes ne sont pas uniquement limitées aux grandes entreprises multinationales. Les petites et moyennes entreprises (PME) ne sont pas exemptées et doivent aussi se conformer aux dispositions du RGPD. Des amendes proportionnées à leur taille et à leurs moyens peuvent aussi leur être imposées si elles contreviennent aux obligations légales.
Il n’est pas seulement question d’amendes monétaires. Le RGPD prévoit aussi des mesures correctives supplémentaires telles que la limitation temporaire ou définitive du traitement des données personnelles par l’entreprise concernée ainsi que l’exigence de notifier toute violation de données personnelles à l’autorité compétente dans un délai maximal de 72 heures après sa découverte.
Il faut comprendre les risques inhérents à la non-conformité au RGPD. Au-delà des sanctions financières, elles peuvent aussi subir des répercussions sur leur image de marque et leur réputation. Les clients sont de plus en plus attentifs à la protection de leurs données personnelles et une entreprise qui ne respecte pas le RGPD peut perdre la confiance des consommateurs.
Il est donc primordial pour toute entreprise traitant des données personnelles de s’assurer d’une mise en conformité rigoureuse avec le RGPD. Cela implique notamment une revue approfondie des politiques internes et des procédures relatives à la gestion des données ainsi qu’une sensibilisation du personnel aux obligations légales en matière de protection des données.
Le RGPD représente un changement majeur dans l’univers numérique, plaçant l’individu au centre du dispositif réglementaire. Les entreprises doivent maintenant assumer pleinement leur responsabilité dans la protection et l’utilisation appropriée des données personnelles. La non-conformité au RGPD peut entraîner des sanctions financières considérables ainsi que d’autres conséquences néfastes sur le plan économique et l’image de l’entreprise. L’entreprise doit donc s’y conformer sans délai afin d’éviter ces risques potentiels.
