RGPD

RGPD : de quoi parle-t-on ?

Le guide récapitulatif de la conformité au RGPD

Le règlement général sur la protection des données, ou RGPD, a remanié la façon dont les entreprises traitent et gèrent les données. Ce guide explique ce que les changements signifient pour vous.

Le RGPD a remplacé les anciennes règles de protection des données à travers l’Europe qui remontaient à près de deux décennies – certaines d’entre elles ayant été rédigées pour la première fois dans les années 1990.

L’UE affirme que le RGPD a été conçu pour “harmoniser” les lois sur la confidentialité des données dans tous ses pays membres ainsi que pour offrir une plus grande protection et des droits aux individus. Le RGPD a également été créé pour modifier la façon dont les entreprises et autres organisations peuvent gérer les informations de ceux qui interagissent avec elles. Il existe un risque d’amendes importantes et d’atteinte à la réputation de ceux qui enfreignent les règles.

Qu’est-ce que le RGPD exactement?

Le RGPD peut être considéré comme l’ensemble de règles de protection des données le plus solide au monde, ce qui améliore la façon dont les gens peuvent accéder aux informations les concernant et limite ce que les organisations peuvent faire avec les données personnelles. Le texte intégral du RGPD contient 99 articles individuels.

Le règlement existe en tant que cadre législatif pour tout le continent et a remplacé la précédente directive de 1995 sur la protection des données. La forme finale du RGPD est née après plus de quatre ans de discussions et de négociations – elle a été adoptée par le Parlement européen et le Conseil européen en avril 2016.

Le RGPD est entré en vigueur le 25 mai 2018. Les pays européens ont eu la possibilité d’apporter leurs propres petits changements pour répondre à leurs propres besoins.

La force du RGPD a été saluée comme une approche progressive de la façon dont les données personnelles des personnes doivent être traitées et des comparaisons ont été faites avec la loi californienne sur la protection des consommateurs.

À qui s’applique le RGPD?

Les données personnelles sont au cœur du RGPD. Il s’agit en gros d’informations qui permettent à une personne vivante d’être identifiée directement ou indirectement à partir des données disponibles. Cela peut être quelque chose d’évident, comme le nom d’une personne, les données de localisation ou un nom d’utilisateur en ligne clair, ou cela peut être moins évident: les adresses IP et les identifiants de cookies peuvent être considérés comme des données personnelles.

Dans le cadre du RGPD, il existe également quelques catégories spéciales de données personnelles sensibles qui bénéficient d’une plus grande protection. Ces données personnelles comprennent des informations sur l’origine raciale ou éthique, les opinions politiques, les croyances religieuses, l’appartenance à un syndicat, les données génétiques et biométriques, les informations sur la santé et les données concernant la vie sexuelle ou l’orientation d’une personne.

L’essentiel de ce qui constitue des données personnelles est qu’elles permettent d’identifier une personne – les données pseudonymisées peuvent toujours relever de la définition des données personnelles. Les données personnelles sont si importantes dans le cadre du RGPD car les individus, les organisations et les entreprises qui en sont soit les responsables du traitement, soit les sous-traitants sont couverts par la loi.

Les responsables du traitement sont les principaux décideurs – ils exercent un contrôle global sur les finalités et les moyens du traitement des données personnelles. Il est également possible qu’il existe des responsables conjoints des données personnelles, où deux ou plusieurs groupes déterminent la manière dont les données sont traitées. Les responsables du traitement ont des obligations plus strictes en vertu du RGPD que les sous-traitants .

Bien que venant de l’UE, le RGPD peut également s’appliquer aux entreprises basées en dehors de la région. Si une entreprise aux États-Unis, par exemple, fait des affaires dans l’UE, le RGPD peut s’appliquer et également s’il s’agit d’un responsable du traitement des citoyens de l’UE.

Quels sont les principes clés du RGPD?

Au cœur du GDPR se trouvent sept principes clés – ils sont énoncés à l’article 5 – qui ont été conçus pour guider la façon dont les données des personnes peuvent être traitées. Ils n’agissent pas comme des règles strictes, mais plutôt comme un cadre global conçu pour définir les objectifs généraux du RGPD.

Les sept principes du GDPR sont: la légalité, l’équité et la transparence; limitation de la finalité; minimisation des données; précision; limitation de stockage; intégrité et confidentialité (sécurité) et responsabilité.

Minimisation des données

Le principe de minimisation des données n’est pas nouveau, mais il continue d’être important à une époque où nous créons plus d’informations que jamais. Les organisations ne doivent pas collecter plus d’informations personnelles que celles dont elles ont besoin auprès de leurs utilisateurs.

Le principe est conçu pour garantir que les organisations ne dépassent pas le type de données qu’elles collectent sur les personnes. Par exemple, il est très peu probable qu’un détaillant en ligne ait besoin de recueillir les opinions politiques des gens lorsqu’ils s’inscrivent à la liste de diffusion du détaillant pour être averti lorsque des ventes ont lieu.

Intégrité et confidentialité (sécurité)

Les données personnelles doivent être protégées contre les “traitements non autorisés ou illégaux”, ainsi que contre la perte, la destruction ou les dommages accidentels. En clair, cela signifie que des protections de sécurité des informations appropriées doivent être mises en place pour s’assurer que les informations ne sont pas accessibles aux pirates ou fuites accidentellement dans le cadre d’une violation de données.

Le RGPD ne dit pas à quoi ressemblent les bonnes pratiques de sécurité, car elles sont différentes pour chaque organisation. La banque devra protéger les informations de manière plus robuste que votre dentiste local pourrait en avoir besoin. Cependant, de manière générale, des contrôles d’accès appropriés aux informations doivent être mis en place, les sites Web doivent être cryptés et la pseudonymisation est encouragée.

En cas de violation de données, les régulateurs de la protection des données examineront la configuration de la sécurité des informations d’une entreprise lors de la détermination des finalités pouvant être émises.

La responsabilité

La responsabilité est le seul nouveau principe du RGPD – il a été ajouté pour garantir que les entreprises peuvent prouver qu’elles travaillent pour se conformer aux autres principes qui forment le règlement. Au plus simple, la responsabilité peut signifier documenter la façon dont les données personnelles sont traitées et les mesures prises pour garantir que seules les personnes qui ont besoin d’accéder à certaines informations sont en mesure de le faire. La responsabilité peut également inclure la formation du personnel aux mesures de protection des données et l’évaluation et le traitement réguliers des processus de données.

La “destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux” données des personnes doivent être signalées au régulateur de la protection des données d’un pays où elles pourraient avoir un impact néfaste sur ceux dont il s’agit. Cela peut inclure, mais sans s’y limiter, les pertes financières, les atteintes à la confidentialité, les atteintes à la réputation et plus encore.

En cas de violation de données à caractère personnel, le responsable du traitement notifie le responsable du traitement de la violation en question à l’autorité de contrôle compétente (la CNIL, en France), dans les meilleurs délais et, si possible, 72 heures au plus tard après la constatation.

Une organisation doit également informer les gens des impacts des violations.

Pour les entreprises, il est nécessaire de documenter les raisons pour lesquelles les informations des personnes sont collectées et traitées, les descriptions des informations détenues, leur durée de conservation et les descriptions des mesures de sécurité techniques en place. L’article 30 du RGPD stipule que la plupart des organisations doivent conserver des enregistrements de leur traitement des données, de la façon dont les données sont partagées et également stockées.

En outre, les organisations qui effectuent une «surveillance régulière et systématique» des individus à grande échelle ou traitent un grand nombre de données personnelles sensibles doivent employer un délégué à la protection des données (DPD ou DPO). Pour de nombreuses organisations couvertes par le RGPD, cela peut impliquer l’embauche d’un nouveau membre du personnel – bien que les grandes entreprises et les autorités publiques puissent déjà avoir des personnes dans ce rôle. Dans ce travail, la personne doit faire rapport aux membres du personnel supérieur, surveiller la conformité au RGPD et être un point de contact pour les employés et les clients.

Le principe de responsabilité peut également être crucial si une organisation fait l’objet d’une enquête pour violation potentielle d’un des principes du RGPD. Le fait d’avoir un enregistrement précis de tous les systèmes en place, de la façon dont les informations sont traitées et des mesures prises pour atténuer les erreurs aidera une organisation à prouver aux autorités de réglementation qu’elle prend ses obligations au titre du RGPD au sérieux.

Quels sont les droits des personnes RGPD?

La législation est conçue pour aider à protéger les droits des individus. À ce titre, huit droits sont définis par le RGPD. Celles-ci vont de permettre aux gens d’avoir un accès plus facile aux données que les entreprises détiennent à leur sujet et de les supprimer également dans certains scénarios.

Les droits complets du RGPD pour les particuliers sont: le droit d’être informé, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit de restreindre le traitement, le droit à la portabilité des données, le droit d’opposition et également les droits d’automatisation prise de décision et profilage.

Accédez à vos données

Si vous voulez savoir ce qu’une entreprise ou une organisation sait de vous, vous avez besoin d’une demande d’accès au sujet. Vous ne pouvez pas faire de demande de renseignements sur quelqu’un d’autre, bien que quelqu’un, comme un avocat, puisse faire une demande au nom d’une autre personne.

Lorsqu’une personne fait une demande d’accès au sujet, elle a légalement le droit de recevoir une confirmation qu’une organisation traite ses données personnelles, une copie de ces données personnelles (sauf si des exemptions s’appliquent) et toute autre information supplémentaire pertinente pour la demande. . La demande doit être traitée dans un délai d’un mois.

Les demandes d’accès peuvent être faites par écrit ou verbalement – ce qui signifie qu’une organisation doit déterminer si ce qui a été demandé est classé en tant que données personnelles en vertu du RGPD. La demande d’accès n’a pas à dire qu’il s’agit d’une demande d’accès au sujet et peut être adressée à toute personne dans une organisation.Elle peut même être envoyée via les médias sociaux, bien que le courrier électronique soit le format le plus courant pour la plupart des gens. En plus des informations demandées, une organisation doit fournir des détails sur les raisons pour lesquelles elle traitait des informations personnelles, comment ces informations sont utilisées et pendant combien de temps elles doivent être conservées.

Traitement automatisé, effacement et portabilité des données

Le RGPD renforce également les droits d’une personne concernant le traitement automatisé des données. Les individus ont le droit de ne pas être soumis à une décision si elle est automatique et qu’elle produit un effet significatif sur une personne. Il existe certaines exceptions, mais en général, les personnes doivent recevoir une explication d’une décision prise à leur sujet.

Le règlement donne également aux individus le pouvoir d’effacer leurs données personnelles dans certaines circonstances. Cela comprend les cas où ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis, si le consentement est retiré, il n’y a aucun intérêt légitime et s’il a été illégalement traité.

Portabilité des données fait possible de partager des informations d’un service à un autre.

Infractions et amendes au RGPD

L’un des éléments les plus importants et les plus évoqués du RGPD a été la capacité des régulateurs à frapper les entreprises qui ne se conforment pas à des objectifs énormes. Si une organisation ne traite pas correctement les données d’un individu, elles peuvent être condamnées à une amende. Si elle nécessite et n’a pas de délégué à la protection des données, elle peut être condamnée à une amende. S’il y a une violation de la sécurité, il peut être condamné à une amende.

En France, ces sanctions pécuniaires sont décidées par la CNIL. Le RGPD indique que les infractions plus petites peuvent entraîner des amendes pouvant aller jusqu’à 10 millions d’euros ou deux pour cent du chiffre d’affaires mondial d’une entreprise (selon le montant le plus élevé). Les violations les plus importantes du RGPD peuvent avoir des conséquences plus graves: des amendes pouvant atteindre 20 millions d’euros ou quatre pour cent du chiffre d’affaires mondial d’une entreprise (selon le montant le plus élevé).