Le RGPD : Essentiel à connaître…

par | 12 Sep 2023 | Astuces dissertation

Les entreprises européennes ont depuis un an en ligne de mire l’entrée en vigueur du Règlement Européen sur  la  Protection  des  données  personnelles  (RGDP)  depuis le  25  mai  2018. Thème à la croisée entre #secret et #numérique, voici l’essentiel à connaître : définition, périmètre, principes et mesures… à plutôt maitriser le jour J ! 1. Définition […]

Les entreprises européennes ont depuis un an en ligne de mire l’entrée en vigueur du Règlement Européen sur  la  Protection  des  données  personnelles  (RGDP)  depuis le  25  mai  2018. Thème à la croisée entre #secret et #numérique, voici l’essentiel à connaître : définition, périmètre, principes et mesures… à plutôt maitriser le jour J !

1. Définition

Le GDPR (ou RGPD)
est le nouveau règlement européen sur la protection des données. Il
entrera en application en 2018 et impactera toutes les entreprises opérant
du traitement de données à caractère personnel sur des résidents européens.
Le GDPR poursuit plusieurs objectifs ambitieux :

  • Uniformiser au niveau européen la
    réglementation sur la protection des données.
  • Responsabiliser davantage les entreprises en
    développant l’auto-contrôle.
  • Renforcer le droit des personnes (droit à
    l’accès, droit à l’oubli, droit à la portabilité, etc.).

Applicable à partir du  25 
mai  2018  à l’ensemble de l’Union Européenne, le Règlement
Européen sur la Protection des 
données  (le  «RGDP» 
ou  «GDPR» en  anglais) 
remplacera  la  Directive Européenne sur la protection des
données  de  1995.  D’applicabilité
directe (contrairement à la Directive, il n’a pas besoin d’être  transposé 
dans  le  droit d’un 
Etat  membre  de 
l’Union  pour être  applicable), 
il  renforce  le 
droit des  Européens  sur 
leurs  données  et responsabilise l’ensemble des acteurs traitant  de 
ces  données,  qu’il 
s’agisse des responsables de traitement ou des sous-traitants  et 
que  ceux-ci  soient établis ou non au sein de l’Union Européenne.
Le RGDP conserve de nombreux concepts déjà existants dans la Directive mais
transforme  la  philosophie 
de  la  protection 
des  données personnelles  en 
Europe.  L’individu est placé au
cœur du dispositif et voit ses 
droits  renforcés  (consolidation des obligations d’information,
recueil du  consentement  renforcé, 
nouveau droit à la portabilité des données et à l’effacement etc…); les
devoirs et responsabilités de l’ensemble des acteurs traitant  de 
ces  données  sont 
accrus avec  la  mise  en 
place  de  nouveaux concepts  et 
principes  comme  ceux de la «Privacy by Design» ou de «l’Accountability».  En 
pratique,  chaque acteur de la
chaine doit s’assurer, dès la conception d’un projet, qu’il ne recueillera que
les données strictement nécessaires à la réalisation de ce projet et dans le
respect des principes du RGPD.

Chaque entreprise doit se doter d’une politique générale de protection en compte en modifiant et r enforçant la  protection  des  données  personnelles  des  Européens.  Une  fois  encore,  le  droit  s’adapte  aux  évolutions technologiques  (la  transformation digitale  des  entreprises,  le  Big  Data, les objets connectés, l’intelligence artificie lle  etc…)  et  les  nouveaux  défis qu’elles engendrent en raison notamment de la multiplication des données personnelles  traitées  mais  aussi  du développement croissant de la cybercriminalité..  A  cet  égard,  je  voudrais rappeler que de nombreuses données sont considérées comme des données personnelles: bien évidemment votre nom,  votre  date  de  naissance,  votre adresse mais également votre numéro de téléphone ou votre adresse IP, vos données de connexion téléphoniques ou  internet,  vos  historiques  de  recherches etc… Le GDPR (), aussi désignée sous son acronyme français RGPD () est le nouveau texte de référence en matière de protection des données au niveau européen. Le règlement a été publié en mai 2016, après de longues années d’élaboration. La version finale du texte, qui fait plus de 88 pages, est accessible à cette adresse (en français). Le GDPR entrera en vigueur le 25 mai 2018. Dans la mesure où il s’agit d’un règlement européen, et non pas d’une directive, le texte entrera en application directement et en même temps dans tous les Etats membres de l’Union européenne, sans transposition. La RGPD, le règlement 679/2016, remplacera la directive 95/46/CE (publiée en 1995). Cette directive a servi, en France, de fondement à la loi Informatique & Libertés. Mais il est évident que depuis le milieu des années 1990, le paysage technologique et numérique a beaucoup évolué. La RGPD a été conçue pour adapter et moderniser le cadre juridique en matière de protection des données à ces évolutions. Plus largement, la RGPD a pour ambition de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». A l’heure où ces lignes sont rédigées, les entreprises disposent d’une petite année encore pour opérer leur mise en conformité GDPR.

2. Quelles sont les entreprises concernées ?

Les règles du GDPR
s’appliqueront, à compter de mai 2018, à toutes les entreprises privées ou
publiques des 28 Etats membres
de l’Union européenne. Plus précisément, aux
entreprises :

  • Proposant des biens et services sur le
    marché de l’UE.
  • Collectant et traitant des données à caractère
    personnel
    sur les résidents de l’UE.

A noter que le règlement
s’appliquera également aux entreprises non implantées en UE, dès lors qu’elles
collectent et traitent des données personnelles sur des résidents de l’UE.

Le périmètre d’application du GDPR

Les règles et obligations du
GDPR s’appliquent au traitement – automatisé ou non – des données à caractère
personne
l. L’objectif du GDPR est de renforcer l’encadrement des pratiques
en matière de collecte et d’utilisation des données à caractère personnel. La
RGPD donne une définition précise des « données à caractère
personnel » (DCP) : il s’agit de « toute information se
rapportant à une personne physique identifiée ou identifiable
 ». Par personne
physique identifiable, il faut comprendre « une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence à un
identifiant, tel qu’un nom, un numéro d’identification, des données de
localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale ».

Le GDPR concerne uniquement la
protection des données personnelles rattachées à des personnes physiques. Ce
qui signifie que la RGPD ne s’applique pas aux entreprises ne traitant
que des données relatives à des personnes morales, sauf si celles-ci sont
amenées à collecter des données sur des représentants des personnes morales (ce
qui, dans les faits, est presque toujours le cas…). Pour bien comprendre : la
collecte de données sur des représentants d’une entreprise (à partir de cartes
de visite par exemple) entre dans le champ d’application du GDPR. En revanche,
la collecte d’informations sur l’entreprise (dénomination sociale, objet
social, numéro de TVA, SIRET, etc.) en est exclue.

Le « traitement des données », au sens du GDPR, fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la destruction et à la consultation à distance des données. Concrètement, une entreprise qui délègue à un prestataire la collecte et le stockage des données fait néanmoins du traitement de données dans la mesure où elle les consulte. Au final, l’immense majorité des entreprises est concernée par les dispositions du GDPR.

3. Les 4 principes clés et les mesures qui en découlent

Les dispositions du GDPR s’articulent autour de 4 principes clés :
le consentement, le droit des personnes, la transparence et la responsabilité.

  • Le consentement

Le GDPR renforce la notion de
consentement. A partir du 25 mai 2018, le consentement des individus
quant à la collecte et au traitement des données à caractère personnel les
concernant devra être explicite et « positif »
. Ce consentement
pourra être retiré à tout moment par les individus le demandant. Les
entreprises faisant du traitement de données devront, par ailleurs, être en
mesure de prouver le recueil de ce consentement le cas échéant (en cas
de contrôle de la CNIL).

Une distinction doit être faite entre
le B2B et le B2C concernant les règles du consentement relatif aux
sollicitations email. Pour les entreprises B2B, la collecte du
consentement n’est pas obligatoire
si la finalité de la collecte est bien
respectée. Dans ce cas, les cases pré-cochées sont autorisées. En revanche, le
consentement est obligatoire (case à cocher) pour des sollicitations par des
tiers (filiales, partenaires…).

Les entreprises B2B collectant de
la donnée B2C devront veiller à bien séparer les modes de collecte suivant
qu’il s’agit de données B2B ou de données B2C. Cela pourra par exemple se
traduire par la mise en place de deux entrées différentes sur le site afin
d’adapter les règles de consentement en fonction du type de clients (B2C/ B2B).
Le GDPR emporte aussi des conséquences dans le mode de gestion des cookies.

La nouvelle réglementation impose
la mention des informations suivantes : la finalité du cookie, le
droit d’opposition
de l’utilisateur et l’acceptation implicite de
l’utilisateur si celui-ci décide de poursuivre sa navigation. Le bandeau
d’information
ne devra pas disparaître tant que l’utilisateur n’aura pas
poursuivi sa navigation (en ouvrant une nouvelle page par exemple). Autre
conséquence : à compter de mai 2018, aucun cookie ne pourra être déposé
si l’utilisateur rebondit sur la page
– sauf les cookies nécessaires au bon
fonctionnement du site. Cela devra être pris en compte dans les projets de DMP
ou de mutualisation des données clients. Toujours sur le thème du consentement,
le GDPR prévoit une autre évolution majeure : l’encadrement du
profilage
.

Le règlement n’interdit pas cette
pratique, mais renforce son encadrement. Il impose notamment le recueil d’un
consentement explicite de la part des personnes (case à cocher). Le profilage
sera par ailleurs soumis à compter de mai 2018 au droit d’opposition.

  • La transparence

La transparence est le deuxième
grand principe mis en avant par la RGPD. Il s’articule au consentement, dans la
mesure où la transparence est la condition de possibilité d’un consentement
explicite et éclairé
. Les entreprises devront – et ce dès la phase de
collecte – fournir aux individus des informations claires et sans ambiguïté sur
la manière dont leurs données seront traitées. Ces informations devront
être fournies de façon concise, compréhensive et accessible par tous (par
exemple, sur les formulaires de collecte, dans les documents contractuels, sur
la page du site relative à la politique de « privacy », etc.).

  • Le droit des personnes

Un des principaux objectifs du
GDPR est de renforcer les droits des personnes physiques. Les résidents
européens se voient attribuer de nouveaux droits :

Un droit
d’accès facilité pour tous les utilisateurs
. Le responsable du traitement
devra faciliter l’exercice de ce droit, par la mise en place de process et
d’outils adaptés. Si la collecte s’opère sur le site internet par exemple, une
solution électronique devra être prévue, si possible avec un accès à distance
sécurisé. En cas de demande d’accès de la part d’un utilisateur, l’entreprise
disposera d’un délai d’un mois maximum pour la satisfaire.

Un droit
l’oubli pour tous les utilisateurs
. L’apport majeur de la réglementation
réside dans l’extension de conditions d’exercice de ce droit. Les entreprises
disposeront d’un délai réduit d’un mois, et non plus de deux mois, pour
supprimer les données à la suite d’une demande. Toutes les copies et toutes les
reproductions des données devront aussi être effacées.

Un droit à
la limitation du traitement
, applicable dans quelques cas précis.

Un droit à
la portabilité des données
. Il s’agit d’un nouveau droit qui permet à une
personne de récupérer les données qu’elle a fournies, sous une forme aisément
réutilisable et, le cas échéant, de les transférer à un tiers (en cas de
changement de fournisseur de services par exemple).

  • La responsabilité (accountability)

Le GDPR vise à
responsabiliser davantage les entreprises dans leur traitement des données à
caractère personnel. Cela se traduit par :

L’obligation
faite aux entreprises de documenter toutes les mesures et procédures en matière
de sécurité des DCP.
Les entreprises devrontêtre en mesure de
démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL.
Cette mesure se traduit par l’obligation de tenue d’un registre des
traitements. Ce registre permettra de constituer une base de données des
traitements, mais pourra aussi servir à centraliser et à suivre toutes les
démarches de conformité mises en œuvre par l’entreprise.

Le
renforcement des mesures de sécurité
. Les entreprises sont responsables de
la sécurité des données qu’elles traitent et doivent mettre en place les
mesures adéquates pour la garantir (pseudonymisation des données, analyses
d’impact, tests d’intrusion…).

La mise en
avant du principe de « Privacy By Design »
. Ce principe désigne
toute la démarche visant à prendre toutes les mesures permettant de protéger
les droits des personnes en amont (= dès la conception d’un produit ou d’un
service) et tout au long du cycle de vie des données (de leur collecte à leur
suppression).

L’encadrement
des sous-traitants
. Les entreprises devront choisir des sous-traitants
présentant des garanties suffisantes. En cas de faille de sécurité au niveau du
sous-traitant, ce sera l’entreprise cliente (= le responsable des traitements)
qui sera tenue pour responsable. En conséquence, les entreprises devront revoir
les contrats signés avec les sous-traitants en intégrant des clauses concernant
les DCP. Le GDPR instaure en fait un régime de co-responsabilité des
sous-traitants.

Il revient aux entreprises de
garantir le droit des personnes par la mise en place de mesures, d’outils et
de process appropriés
. Ce qui nous amène au quatrième principe du
GDPR : la responsabilité.

  • La notification en cas de faille de sécurité (data
    breach). Les entreprises auront pour obligation de mettre en place des
    actions en cas de violation de sécurité entraînant la destruction, la
    perte, l’altération ou la divulgation non autorisée de DCP. En cas de
    faille de sécurité, l’entreprise devra la notifier à l’autorité de
    régulation compétente (en France, la CNIL) dans un délai de 72h. Les
    personnes physiques concernées devront être informées « dans les
    meilleurs délais » si la faille ou la violation de données comporte
    un risque élevé pour les droits et libertés.
  • L’obligation de désignation d’un Data Protection
    Officer
    (en français : « Délégué à la Protection des
    Données »). Doté d’un rôle très important, le DPO sera chargé de
    piloter la gouvernance des données, de contrôler la conformité de
    l’entreprise avec le GDPR et de conseiller le responsable des traitements.
    Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises
    réalisant des traitements sur des données sensibles et/ou à grande
    échelle
    .
  • La suppression de l’obligation de déclaration
    préalable à la CNIL
    . Cette mesure traduit le principe qui gouverne le
    GDPR : responsabiliser les entreprises, en développant
    l’auto-contrôle.

Le GDPR opère de grands changements dans le paysage réglementaire relatif à la protection des données à caractère personnel. La conformité au GDPR sera demain la clé de réussite de la performance CRM. Dans un deuxième article, nous parlerons de l’impact de cette nouvelle réglementation sur les entreprises.

4.  Les 6 mots clefs pour comprendre le GDPR

Voici les définitions de quelques
termes importants pour une bonne compréhension de le GDPR :

  • DPO – Data Protection Officer : personne dont le rôle est de contrôler la conformité à la RGPD et de conseiller le responsable des traitements. Les entreprises traitant des données sensibles et/ou à grande échelle ont obligation de désigner un DPO.
  • DCP – Données à caractère personnel, sensible : il s’agit, selon le GDPR, de « toute information se rapportant à une personne physique identifiée ou identifiable » : noms et prénoms, identifiants, numéros d’identification, téléphones, emails, données comportementales dès lors qu’elles peuvent être rattachées à un individu…
  • CNIL – Commission nationale de l’Informatique et des Libertés : autorité de contrôle et de régulation française chargée de veiller à la bonne application par les acteurs économiques de la Loi Informatique et Libertés, et bientôt du GDPR.
  • Traitement des données : désigne la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données. Le GDPR a une compréhension très large du traitement des données.
  • Profilage : forme de traitement automatisé de DCP visant à évaluer certains aspects personnels relatifs à une personne physique (sa productivité au travail, son état de santé, etc.). La RGPD prévoit un encadrement renforcé de cette pratique.
  • Privacy by Design : démarche consistant à prendre des mesures visant la protection des droits des personnes dès la phase de conception d’un produit ou d’un service. Démarche promue par le GDPR, liée au principe de responsabilisation des entreprises.


Jean-François madissertation

Jean-François 

📍 Localisation : Résidant à Lyon
🎓 Formation : Diplômé en Sciences de l'Éducation, spécialisé en méthodes pédagogiques innovantes et e-learning
🏢 Expérience professionnelle : Ancien responsable de programme chez EduFuture Academy
🔬 Expertise : Concepteur de programmes éducatifs pour CAP, BAC, concours et préparations aux examens
📚 Passion : Dédié à rendre l'éducation plus accessible et à promouvoir des techniques d'apprentissage modernes
🌐 Engagement : Pionnier de l'éducation numérique, travaillant à révolutionner l'expérience éducative avec les technologies de pointe
🌟 Reconnaissance : Leader dans les cercles éducatifs, souvent sollicité en tant qu'expert lors de conférences sur l'éducation
📄 Hashtags : #FormationEnLigne #Éducation #PréparationConcours #InnovationPédagogique

Dissertations similaires