Le Règlement général sur la protection des données (RGPD) est issu du règlement n°2016/679 UE du 27 avril 2016, et remplace la directive 95/46/CE. Il vise à renforcer la protection des données à caractère personnel des citoyens de l’UE et à harmoniser les législations nationales en matière de protection des données.
Ce texte de référence s’applique à toutes les organisations traitant des données personnelles de résidents de l’UE, qu’elles soient basées dans l’UE ou ailleurs.
Les principes fondamentaux du RGPD
Le RGPD est basé sur sept principes fondamentaux :
1. Licéité, loyauté et transparence : Les données personnelles doivent être traitées de manière licite, loyale et transparente.
2. Limitation des finalités : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
3. Minimisation des données : Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
4. Exactitude : Les données doivent être exactes et, si nécessaire, mises à jour.
5. Limitation de la conservation : Les données ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont traitées.
6. Intégrité et confidentialité : Les données doivent être traitées de manière à garantir leur sécurité, notamment contre les accès et traitements non autorisés.
7. Responsabilité : Le responsable du traitement doit être en mesure de démontrer la conformité de ses traitements avec les principes énoncés ci-dessus.
Les droits des personnes concernées
Le RGPD garantit aux individus un certain nombre de droits concernant leurs données personnelles :
– Droit d’accès : Les personnes concernées ont le droit d’obtenir du responsable du traitement la confirmation que des données les concernant sont ou ne sont pas traitées, ainsi que l’accès à ces données.
– Droit de rectification : Les personnes concernées ont le droit d’obtenir la rectification des données inexactes les concernant.
– Droit à l’effacement (« droit à l’oubli ») : Les personnes concernées ont le droit d’obtenir l’effacement de leurs données dans certaines circonstances.
– Droit à la limitation du traitement : Les personnes concernées ont le droit d’obtenir la limitation du traitement de leurs données dans certaines situations.
– Droit à la portabilité des données : Les personnes concernées ont le droit de recevoir les données les concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.
– Droit d’opposition : Les personnes concernées ont le droit de s’opposer au traitement de leurs données dans certaines circonstances.
– Droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé : Les personnes concernées ont le droit de ne pas faire l’objet d’une décision ayant des effets juridiques ou les affectant de manière significative qui repose uniquement sur un traitement automatisé, y compris le profilage, sauf si certaines conditions sont remplies.
– Droit de retirer son consentement : Lorsque le traitement est fondé sur le consentement, les personnes concernées ont le droit de retirer leur consentement à tout moment, sans que cela n’affecte la licéité du traitement effectué avant ce retrait.
Les responsabilités des organisations
Les organisations traitant des données personnelles ont plusieurs responsabilités en vertu du RGPD :
a) Désigner un délégué à la protection des données (DPO) : Les organisations dont les activités de base consistent en des traitements à grande échelle de données sensibles ou en un suivi systématique à grande échelle des personnes concernées doivent désigner un DPO pour superviser la conformité au RGPD.
b) Tenir un registre des traitements : Les responsables du traitement et les sous-traitants doivent tenir un registre de toutes les activités de traitement des données personnelles.
c) Effectuer des analyses d’impact sur la protection des données (AIPD) : Les organisations doivent réaliser des AIPD lorsque les traitements présentent un risque élevé pour les droits et libertés des personnes concernées.
d) Notifier les violations de données : Les responsables du traitement doivent notifier à l’autorité de contrôle compétente toute violation de données à caractère personnel dans les 72 heures suivant la prise de connaissance de la violation, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Les personnes concernées doivent également être informées en cas de risque élevé pour leurs droits et libertés.
e) Mettre en œuvre des mesures de sécurité adéquates : Les organisations sont tenues de mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données et la protection des droits et libertés des personnes concernées.
Transferts de données en dehors de l’UE
Le RGPD encadre strictement les transferts de données personnelles en dehors de l’UE. Les organisations doivent s’assurer que les transferts internationaux respectent les principes du RGPD et offrent un niveau de protection adéquat.
L’application du RGPD hors U.E ?
Le Règlement général sur la protection des données (RGPD) ne s’applique pas uniquement aux organisations européennes.
En réalité, le RGPD s’applique également lorsqu’un responsable de traitement ou un sous-traitant dispose d’un établissement situé au sein de l’Union européenne (UE), ou lorsque les données traitées concernent une personne se trouvant au sein de l’UE.
Cette étendue territoriale du RGPD signifie donc que, dans de telles situations, les entités non européennes doivent également se conformer aux exigences établies par ce règlement.
Conclusion
Le RGPD a renforcé la protection des données personnelles des citoyens de l’UE et a un impact significatif sur les organisations traitant ces données. La conformité au RGPD est essentielle pour éviter les sanctions potentielles, qui peuvent atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.
Les organisations doivent veiller à respecter les principes clés du RGPD, à garantir les droits des personnes concernées et à mettre en place des mesures de sécurité et de responsabilité appropriées pour assurer la conformité.
Articles essentiels du RGPD
- Article 3 – Territorialité : Cet article définit la portée territoriale du RGPD et énonce que le règlement s’applique aux responsables de traitement et aux sous-traitants situés au sein de l’UE, ainsi qu’à ceux situés en dehors de l’UE dans certaines circonstances.
- Article 4 – Définitions : Cet article fournit les définitions clés utilisées dans le RGPD, notamment celles de « responsable du traitement », « sous-traitant » et « personne concernée ».
- Article 17 – Le « droit à l’effacement » des données, également connu sous le nom de « droit à l’oubli ». Ce droit permet aux personnes concernées de demander la suppression de leurs données personnelles par le responsable du traitement dans certaines circonstances.
- Article 27 – Représentants des responsables du traitement ou des sous-traitants ne relevant pas de l’Union : Cet article précise que, dans certaines situations, les responsables du traitement et les sous-traitants établis en dehors de l’UE doivent désigner un représentant au sein de l’UE pour les questions relatives au RGPD.
Article 28 – Sous-traitant : Cet article établit les obligations des sous-traitants en matière de protection des données et les conditions pour recourir à un sous-traitant dans le cadre du traitement des données personnelles.