RGPD : de quoi parle-t-on ?
Le guide récapitulatif de la conformité au RGPD
Le règlement général sur la protection des données, ou RGPD, a remanié la façon dont les entreprises traitent et gèrent les données. Ce guide explique ce que les changements signifient pour vous.
Le RGPD a remplacé les anciennes règles de protection des données à travers l’Europe qui remontaient à près de deux décennies – certaines d’entre elles ayant été rédigées pour la première fois dans les années 1990.
L’UE affirme que le RGPD a été conçu pour “harmoniser” les lois sur la confidentialité des données dans tous ses pays membres ainsi que pour offrir une plus grande protection et des droits aux individus. Le RGPD a également été créé pour modifier la façon dont les entreprises et autres organisations peuvent gérer les informations de ceux qui interagissent avec elles. Il existe un risque d’amendes importantes et d’atteinte à la réputation de ceux qui enfreignent les règles.
Qu’est-ce que le RGPD exactement?
Le RGPD peut être considéré comme l’ensemble de règles de protection des données le plus solide au monde, ce qui améliore la façon dont les gens peuvent accéder aux informations les concernant et limite ce que les organisations peuvent faire avec les données personnelles. Le texte intégral du RGPD contient 99 articles individuels.
Le règlement existe en tant que cadre législatif pour tout le continent et a remplacé la précédente directive de 1995 sur la protection des données. La forme finale du RGPD est née après plus de quatre ans de discussions et de négociations – elle a été adoptée par le Parlement européen et le Conseil européen en avril 2016.
Le RGPD est entré en vigueur le 25 mai 2018. Les pays européens ont eu la possibilité d’apporter leurs propres petits changements pour répondre à leurs propres besoins.
La force du RGPD a été saluée comme une approche progressive de la façon dont les données personnelles des personnes doivent être traitées et des comparaisons ont été faites avec la loi californienne sur la protection des consommateurs.
À qui s’applique le RGPD?
Les données personnelles sont au cœur du RGPD. Il s’agit en gros d’informations qui permettent à une personne vivante d’être identifiée directement ou indirectement à partir des données disponibles. Cela peut être quelque chose d’évident, comme le nom d’une personne, les données de localisation ou un nom d’utilisateur en ligne clair, ou cela peut être moins évident: les adresses IP et les identifiants de cookies peuvent être considérés comme des données personnelles.
Dans le cadre du RGPD, il existe également quelques catégories spéciales de données personnelles sensibles qui bénéficient d’une plus grande protection. Ces données personnelles comprennent des informations sur l’origine raciale ou éthique, les opinions politiques, les croyances religieuses, l’appartenance à un syndicat, les données génétiques et biométriques, les informations sur la santé et les données concernant la vie sexuelle ou l’orientation d’une personne.
L’essentiel de ce qui constitue des données personnelles est qu’elles permettent d’identifier une personne – les données pseudonymisées peuvent toujours relever de la définition des données personnelles. Les données personnelles sont si importantes dans le cadre du RGPD car les individus, les organisations et les entreprises qui en sont soit les responsables du traitement, soit les sous-traitants sont couverts par la loi.
Les responsables du traitement sont les principaux décideurs – ils exercent un contrôle global sur les finalités et les moyens du traitement des données personnelles. Il est également possible qu’il existe des responsables conjoints des données personnelles, où deux ou plusieurs groupes déterminent la manière dont les données sont traitées. Les responsables du traitement ont des obligations plus strictes en vertu du RGPD que les sous-traitants .
Bien que venant de l’UE, le RGPD peut également s’appliquer aux entreprises basées en dehors de la région. Si une entreprise aux États-Unis, par exemple, fait des affaires dans l’UE, le RGPD peut s’appliquer et également s’il s’agit d’un responsable du traitement des citoyens de l’UE.