Lexique indispensable : Comprendre le RGPD en 32 mots-clés.

Le RGPD, dont le sigle signifie Règlement Général pour la Protection des Données, est un texte adopté par le Parlement européen en 2016 et entré en vigueur le 25 mai 2018. Après une période d’adaptation pour les entreprises ou les contrôles de la CNIL étaient non punitifs, le RGPD est désormais bel et bien applicable et contrôlé, avec sanctions potentielles à la clé.

Qu’est-ce que le RGPD ?

Le RGPD (en anglais, GDPR) est le texte européen de référence pour la protection des données des résidents de l’Union européenne. Il a été conçu pour harmoniser les normes des Etats-membres et doter l’Europe d’un seul et même cadre réglementaire sur ces sujets.

Or ceux-ci concernent beaucoup de monde : en effet, la condition pour entrer dans le champ d’application du RGPD est de collecter ou traiter des données personnelles de résidents européens. Autrement dit, le RGPD concerne aussi bien une entreprise française, par exemple, qu’une société américaine ayant des activités en Europe.

Par ailleurs, la notion de données personnelles est très large (on y reviendra juste après) et une grande partie des entreprises sont amenées à en collecter, que cette donnée provienne de leurs clients ou de leurs salariés.

En d’autres termes, l’entrée en vigueur du RGPD a une signification très importante pour les entreprises européennes ou agissant en Europe, puisque la réglementation encadre de façon assez stricte leurs pratiques.

Pourtant, de plus en plus d'entreprises se font sanctionner par la CNIL pour des manquements au RGPD.

Jusqu'à présent, une seule entrepriuse a réussi à "contourner" le RGPD. Découvrez le cas Lusha.

Comprendre le RGPD en 32 mots-clés

Accountability : l’accountability est un principe fondamental du RGPD. Le terme signifie que ce sont les entreprises qui doivent mettre en place les mesures de protection des données suffisantes et qu’elles doivent pouvoir en justifier (en rendre compte). D’où la documentation juridique nécessaire à construire (AIPD, registre des traitements…)

Analyse d’impact : L’analyse d’impact, autrement appelée AIPD ou PIA (en anglais : Privacy Impact Assessment) est à la fois un document et une étape de la gestion de projets. Dans certains cas, il est nécessaire de mener cette analyse qui a pour but d’anticiper les scénarios possibles pouvant porter atteinte à la vie privée des personnes concernées. Le DPO (voir plus loin) propose ou prévoit des mesures visant à limiter ce risque.`

Anonymisation : l’anonymisation est une des méthodes de protection des données mentionnées par le RGPD. Il s’agit d’un ensemble de mesures techniques permettant de casser définitivement le lien entre un jeu de données et la personne concernée. A ne pas confondre avec une autre technique, la pseudonymisation, qui poursuit les mêmes objectifs mais n’est pas définitive.

Audit des sous-traitants : Les sous-traitants au sens du RGPD (voir plus loin) doivent être audités par le responsable du traitement. En effet, la responsabilité de ce dernier peut être engagée en cas de manquement au RGPD, même si c’est le sous-traitant qui en est à l’origine.

Autorité de contrôle : Chaque pays membre de l'UE a une autorité indépendante chargée de surveiller l'application du RGPD. En France, c'est la CNIL. Ces autorités disposent de pouvoirs d'investigation et de sanction.

Base légale : Le RGPD énumère plusieurs bases légales qui justifient le traitement des données personnelles, comme le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la protection des intérêts vitaux, la mission d'intérêt public et l'intérêt légitime.

Chiffrement : Le chiffrement est une mesure de sécurité technique mentionnée dans le RGPD, qui permet de protéger les données en les rendant inaccessibles sans une clé de déchiffrement.

CMP : Ce sigle signifie Consent Management Platform. Il s’agit d’un espace, en général accessible sur le site web de l’entreprise, qui permet à l’utilisateur de connaître les collectes et les traitements dont il est l’objet et de modifier ses préférences en matière de consentement. Par exemple, c’est là qu’il va pouvoir refuser l’activation des cookies.

CNIL : La CNIL est l’autorité de contrôle du RGPD pour la France. Chaque Etat-membre comprend l’équivalent de la CNIL et une autorité européenne chapeaute leurs missions et s’assure que le contrôle du RGPD soit cohérent au niveau européen.

Consentement : C’est un des principes fondamentaux du RGPD. Le consentement est une des raisons autorisant une entreprise à collecter et traiter des données personnelles. Si ce n’est qu’une raison parmi d’autres, elle est toutefois très fréquemment invoquée (pour le dépôt de cookies, l’envoi de newsletters ou d’emails…). Le consentement doit répondre à certaines conditions pour être valide et il peut être retiré à tout moment par la personne concernée.

Cookies : Les fameux cookies et autres traceurs sont une des faces bien visibles du RGPD pour les sites web. C’est bien le RGPD qui impose la mise en place des célèbres bandeaux de cookies et qui nécessite que le consentement des utilisateurs soit recueilli avant leur dépôt et leur activation (sauf pour ceux qui sont nécessaires au bon fonctionnement du site).

Cybersécurité : La cybersécurité tient un rôle essentiel dans le respect des normes de protection de la vie privée. En effet, c’est elle qui prévient les fuites ou vols de données et qui peut limiter leur impact, par exemple par la mise en place de l’anonymisation des données.

Données personnelles : Le RGPD donne la signification précise du terme “données personnelles”. Il s’agit de “toute information se rapportant à une personne physique identifiée ou identifiable”. On pense au nom, adresse email, mais aussi à un ensemble de données qui rendent la personne identifiable, comme dans certains cas son profil de recherche internet par exemple.

Données sensibles : Les données sensibles sont une catégorie de données personnelles qui revêtent un caractère particulier en raison de leur nature : elles portent notamment sur des informations de santé, sur des appartenances religieuses, l’orientation sexuelle, etc.

DPO : Le DPO pour Data Protection Officer ou Délégué à la Protection des Données (DPD) en français est le chef d’orchestre de la conformité des entreprises au RGPD. C’est lui qui est en charge de l’application de la réglementation dans l’entreprise. A noter qu’il n’existe pas toujours de DPO dans les organisations notamment en fonction de leur taille.

Des solutions comme Witik, proposent des DPO externalisé et digitalisé.

Durée de conservation : une donnée personnelle doit répondre à certains critères pour être collectée, mais une fois cela fait, cela ne signifie pas que vous pouvez les conserver à vie ! La durée de conservation des données est précisée par les textes en fonction de leur nature et est un volet important de la conformité au RGPD.

Finalité du traitement : La finalité du traitement est un élément essentiel dans la gestion des données personnelles selon le RGPD, assurant que les données sont collectées et traitées de manière transparente, équitable et légale, avec un objectif clairement défini et justifié.

Exercice des droits : L’exercice des droits des personnes doit être facilitée par les entreprises, selon les termes du RGPD. Ces droits recouvrent le droit à l’oubli, à la suppression des données les concernant, le droit d’accès à ces données ou encore la portabilité.

Minimisation des données : Les données personnelles collectées doivent être limitées au strict nécessaire au regard des finalités pour lesquelles elles sont traitées. Il ne faut pas collecter plus de données que nécessaire.

Notification de violation : En cas de violation de données personnelles, le responsable de traitement doit notifier l’autorité de contrôle (CNIL en France) dans les 72 heures, sauf si la violation n’est pas susceptible de constituer un risque pour les droits et libertés des personnes concernées.

Personne concernée : Ce terme désigne l'individu à qui appartiennent les données personnelles. Le RGPD confère à chaque personne concernée des droits spécifiques (droit d'accès, droit de rectification, etc.).

Portabilité des données : Le droit à la portabilité permet aux personnes concernées de recevoir les données personnelles les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable.

Privacy by Default : Ce principe impose que les paramètres par défaut d’un produit ou d’un service doivent garantir le plus haut niveau de protection des données personnelles, sans action de la part des utilisateurs.

Privacy by Design : Principe selon lequel la protection des données personnelles doit être prise en compte dès la conception d'un projet, et non seulement après coup. Cela inclut la mise en place de mesures de sécurité dès les premières étapes de développement d'un service ou d'un produit.

Profilage : Il s'agit de toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels d'une personne, notamment pour analyser ou prédire des éléments relatifs à ses performances au travail, sa situation économique, sa santé, ses préférences personnelles, etc.

Pseudonymisation : Processus qui consiste à remplacer les informations identifiantes dans les données personnelles par des identifiants artificiels, ce qui permet de réduire le risque d'identification tout en conservant la possibilité de réidentifier les données si nécessaire.

Registre des traitements : Le registre des traitements est un document majeur à tenir à jour pour la conformité de votre entreprise. Le registre RGPD rassemble l’ensemble des opérations de traitement menées par l’entreprise et qui en détaille les responsables et les principales caractéristiques. En vertu du principe d’accountability, il permet de prouver que vous menez une politique conforme au règlement européen.

Responsable de traitement : Le responsable de traitement est la personne qui décide de l’opération et pour laquelle elle est réalisée. Il s’agit le plus souvent de l’entreprise qui conduit le traitement, mais celui-ci peut être opéré par un sous-traitant (voir plus loin) agissant pour le compte du responsable.

Sanctions : Eh oui, un manquement aux obligations du RGPD peut donner lieu à des sanctions… c’est la CNIL qui les prononce, et elles peuvent atteindre jusqu’à 20 millions d’euros ou 4% du CA mondial de l’entreprise !

Sous-traitant : le sous-traitant au sens du RGPD est un prestataire qui effectue une opération de traitement pour le compte d’un tiers, qui est le responsable du traitement. A noter qu’il est possible d’être à la fois sous-traitant et responsable de traitement (il faut dans ce cas remplir deux registres des traitements).

Traitement de données : Ce terme désigne une opération portant sur des données personnelles. Il s’agit aussi bien de la collecte, de la modification, de la consultation des données… et chaque traitement doit avoir un objectif, qu’on nomme finalité du traitement.

Violation de données : Une violation de données est définie comme un incident de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles, ou l'accès non autorisé à celles-ci.

Si vous souhaitez en découvrir plus sur le monde du RGPD, nous vous conseillons de télécharger notre livre blanc : Les 6 étapes de la mise en conformité au RGPD - Le guide complet